以一个酒店网络为例,实现无线全覆盖上网以及有线办公,需要考虑以下几个关键点:
1. **网络拓扑规划**:根据用户需求,酒店应该划分为员工和访客两个无线网络,以及有线网络。同时,通过三层交换机划分VLAN,将设备管理、员工、访客、服务器网络分开。这样可以确保网络安全,防止未经授权的访问。
2. **IP地址规划**:为了使网络设备能够互相通信,需要为每个设备分配一个唯一的ip地址。通常,这些地址会根据子网掩码进行分组,形成不同的子网。例如,员工网络可以是一个子网,而访客网络可以是另一个子网。
3. **路由器配置**:路由器是连接不同子网的关键设备。它需要配置NAT(网络地址转换)规则,以允许内部网络访问外部网络,同时保护内部网络不被外部访问。此外,还需要配置静态路由,以便路由器知道如何将数据包转发到正确的网络。
4. **三层交换机配置**:三层交换机负责连接不同的网络设备,并通过VLAN来隔离不同的网络流量。此外,它还需要配置DHCP服务器,以便为网络设备自动分配IP地址。
5. **无线AC控制器配置**:无线AC控制器负责管理所有无线AP。它需要配置无线服务,并为每个无线网络设置唯一的SSID(服务集标识符)和安全设置。
6. **访问控制**:为了确保网络安全,需要配置ACL(访问控制列表)来控制不同VLAN之间的访问权限。例如,访客网络应该无法访问员工网络或服务器网络。
7. **无线AP配置**:无线AP负责提供无线网络服务。它需要配置无线网络名称、安全设置和与AC控制器的通信参数。
通过以上配置,可以实现一个高效、安全且满足用户需求的酒店网络。这不仅提高了网络性能,还增强了网络的稳定性。同时,通过合理的配置和管理,可以确保网络的长期稳定运行。
目录
用户需求分析
应用拓扑结构
配置三层交换机
1. 设置端口类型及PVID
2. 划分VLAN
3. 设置三层交换机路由接口
4. 设置IPv4静态路由
5. 设置dhcp服务器
1. 设置路由器联网
2. 修改管理IP
3. 配置NAPT,三层交换机下网段NAT转发
4. 配置静态路由,实现路由器回程转发数据给三层交换机
配置无线AC控制器
1. 修改管理IP
2. 修改分配给AP的IP地址池
3. 设置无线服务并绑定AP
TP-LINK 商用路由器可以配合三层交换机、AC、AP实现区分管理VLAN和业务VLAN的有线和无线组网。下面就这种应用方式介绍必要的设置步骤。
一、用户需求分析
某酒店需要实现无线全覆盖上网以及有线办公,使用TP-LINK商用路由器、三层交换机、PoE接入交换机、无线AC控制器以及无线AP。要求如下:
1、酒店各个区域实现无线覆盖,分为员工和访客两个无线网络,员工网络包含有线和无线两部分;
2、三层交换机划分VLAN,将设备管理、员工、访客、服务器网络分开,且访客网络无法访问其他内部网络;
3、管理、员工、访客网络开启DHCP服务器,保证地址池足够,服务器网络不开启DHCP服务器;
4、使用无线控制器管理所有无线AP。AP的管理地址由AC分配。
二、应用拓扑结构
根据上述用户需求和客户实际现场环境,规划网络拓扑如下图所示。
根据上述网络规划,三层交换机端口VLAN与接口IP规划如下表所示。
本例中采用的TP-LINK商用路由器TL-ER3220G V4.0,三层交换机TL-SG5428 V3.0,无线控制器 TL-AC300 V3.0,基本设置步骤如下:
三、配置三层交换机
注意:三层交换机的21-22号端口是空余的,电脑可以接在这两个端口上进行配置,这样就不用担心配置VLAN和接口参数过程中出现无法登录管理界面的问题了。如果后续需要用到这两个端口可以通过管理VLAN进界面修改配置。
1、设置端口类型及PVID
根据上述规划,1-12口需要修改接口类型为“General”,PVID为“10”。13-24号口为“Access”,PVID会跟随新建的VLAN ID,所以13-24号口不用修改端口类型和PVID,打开三层交换机配置页面的“VLAN->802.1Q VLAN->端口配置”页面。如下图所示。
选中1-12号端口,端口类型选择“GENERAL”,PVID设置为“10”,点击“提交”,修改完成,如下图所示。
2、划分VLAN
打开“VLAN->802.1Q VLAN->VLAN配置”页面,如下图所示。
点击“新建”,创建VLAN10。如下图所示。
a、VLAN ID:本例中设置VLAN ID 为 “10”;
b、VLAN名称:任意填写,本例中设置为“管理”;
c、Untagged端口:选择预期规划的“端口1-12,23-24”;
d、Tagged端口:按照预期规划,不选择任何端口。
设置完成,点击“提交”。VLAN 10创建成功。如下图所示。
创建VLAN20:
a、VLAN ID:本例中设置VLAN ID 为 “20”;
b、VLAN名称:任意填写,本例中设置为“员工网络”;
c、Untagged端口:选择预期规划的“端口13-16”;
d、Tagged端口:选择预期规划的“端口1-12”。
设置完成,点击“提交”。VLAN 20创建成功。
创建VLAN30:
a、VLAN ID:本例中设置VLAN ID 为 “30”;
b、VLAN名称:任意填写,本例中设置为“访客无线”;
c、Untagged端口:按照预期规划,不选择任何端口;
d、Tagged端口:选择预期规划的“端口1-12”。
设置完成,点击“提交”。VLAN 30创建成功。
创建VLAN40:
a、VLAN ID:本例中设置VLAN ID 为 “40”;
b、VLAN名称:任意填写,本例中设置为“服务器”;
c、Untagged端口:选择预期规划的“端口17-20”;
d、Tagged端口:按照预期规划,不选择任何端口。
设置完成,点击“提交”。VLAN 40创建成功。至此所有预期规划的VLAN全部设置完成,VLAN配置列表如下图所示。
3、设置三层交换机路由接口
(1) 保留默认VLAN1接口IP地址
打开“路由功能->接口”页面,默认VLAN1的接口IP地址为192.168.0.1,如下图所示。这个默认VLAN我们不用改动,保持默认就好。
(2) 创建各个VLAN接口IP
打开“路由功能->接口”页面,输入如下参数,如下图所示。
a、接口ID:VLAN中输入10;
b、IP地址模式:选择“Static”;
c、IP地址:VLAN10接口的IP地址,本例为“172.16.10.2”;
d、子网掩码:VLAN10接口的子网掩码,与IP地址组合确定子网的范围,本例为标准C类子网掩码“255.255.255.0”;
e、管理状态:选择“开启”;
f、接口名称:任意设置,本例设置为“设备管理”。
设置完成,点击“创建”,VLAN10接口IP创建完成。如下图所示。
相同方法,创建VLAN20、30、40接口,设置完成之后,VLAN接口列表如下图所示。
4、设置IPV4静态路由
打开“路由功能->静态路由->IPv4静态路由条目”页面,设置静态路由参数,如下图所示。
a、目的地址:与子网掩码组合确认目的地址范围,本例中为所有IP地址,设置为“0.0.0.0”;
b、子网掩码:与目的地址组合确认目的地址范围,本例中为所有IP地址,设置为“0.0.0.0”;
c、下一跳地址:本例中为路由器网关地址“172.16.10.1”;
d、管理距离:不填。
设置完毕,点击“创建”,静态路由条目创建完成,如下图所示
5、设置DHCP服务器
(1) DHCP服务器全局设置
打开“路由功能->DHCP服务器->DHCP服务器”页面,启用DHCP服务。因为AC和AP本身在一个VLAN中,所以不需要设置option字段,如下option 60、option 138保持为“空”,并点击“提交”,如下图所示。
(2) DHCP地址池设置
打开“路由功能->DHCP服务器->地址池设置”,首先添加VLAN20的DHCP服务器参数,如下图所示。
a、地址池名称:设置任意名称,本例中设置“员工网络”;
b、网络号:设置VLAN20的网络号“172.16.20.0”;
c、掩码:设置VLAN20的掩码“255.255.254.0”;
d、起始地址:填写地址池开始地址,本例中前后保留少数IP备用,设置起始地址“172.16.20.10”;
e、结束地址:填写结束地址,本例中设置为“172.16.21.250”;
f、租期:本例中保持默认为空,即120分钟;
g、默认网关:设置为VLAN20的接口IP地址,本例中设置“172.16.20.1”;
h、DNS服务器:设置当地宽带线路分配的DNS服务器地址,本例中为深圳的宽带DNS服务器“202.96.128.166以及202.96.134.33”。
下面的其他参数不用填写。填写完成后,点击“添加”,添加完成。如下图所示。
相同方法,添加VLAN30的DHCP服务器地址池,设置完成之后,DHCP服务器地址池列表如下图所示。
注意:这里宾客无线的地址范围是172.16.28.0/22,这个对应的地址范围与172.16.30.0/22地址范围是相同的。所以可以看到后续的设置中,也会有172.16.28.0/22的设置。
(3) 设置ACL访问控制规则
打开“访问控制->ACL配置->新建ACL”页面,如下图所示。
添加标准IP访问控制ID,本例中设置为“500”,点击“创建”,创建成功。
打开“访问控制->ACL配置->标准IP ACL”页面,如下图所示。
a、访问控制列表ID:选择上个步骤新建的“ACL 500”;
b、规则ID:可以设置“0-1999”任意数字,本例中设置为“1”;
c、安全操作:本例中为禁止访问,所以选择“丢弃”;
d、源IP+地址掩码:本例中为宾客网络地址段,设置为“172.16.28.0,255.255.252.0”;
e、目的IP+地址掩码:本例中为管理VLAN的网络地址段,设置为“172.16.10.0,255.255.255.0”;
f、时间段:无限制。
设置完成点击“提交”,如下图所示。
继续创建规则2,宾客网络禁止访问员工网络。如下图所示。
继续创建规则3,宾客网络禁止访问服务器网络。如下图所示。
所有ACL规则创建完毕,如下图所示。
(4) 设置ACL规则绑定VLAN
打开“访问控制->ACL绑定配置->VLAN绑定”页面,如下图所示。
a、ACL ID:选择创建的ACL ID “500”;
b、VLAN ID:设置宾客网络所在的VLAN ID “30”。
设置完成,点击“添加”,如下图所示。
至此,三层交换机配置完成。点击“配置保存”,保存三层交换机所有配置。
四、配置路由器
1、设置路由器联网
ER系列路由器配置路由器联网的具体配置方法见:ER3、5、6系列企业路由器基本设置指南
2、修改管理IP
打开“基本设置->LAN设置-> LAN设置”页面,如下图所示。
将IPv4的地址修改为“172.16.10.1”,子网掩码保持为“255.255.255.0”,修改之后,点击“设置”。页面会跳转到新的管理IP。如下图所示。
注意:为了能够访问新的页面,电脑的IP地址也必须同步修改到172.16.10.0/24网段,路由器默认开启了DHCP服务器,所以电脑如果自动获取IP地址,一般无需配置即可自动跳转,如果不能跳转,建议尝试拔插电脑的网线即可重新获取新的IP地址。
3、配置NAPT,三层交换机下网段NAT转发
开“传输控制->NAT设置->NAPT”页面,点击“新增”,如下图所示。
a、规则名称:设置任意名称,本例中设置“NAT_yuangong”;
b、出接口:选择路由器上连接互联网的WAN接口作为出接口,本例中连接宽带的是WAN1口,所以设置为“WAN1”;
c、源地址范围:设置员工网络的地址范围,本例中设置为“172.16.20.0/23”;
d、状态:勾选“启用”;
e、备注:设置任意备注信息,本例为“员工网络”。
点击“确定”,员工网络上网的NAPT规则添加完成,如下图所示。
相同方法添加宾客网络和服务器网络的NAPT规则,添加完毕。如下图所示。
4、配置静态路由,实现路由器回程转发数据给三层交换机
打开“传输控制->路由设置->静态路由”页面,点击“新增”,如下图所示。
a、规则名称:任意填写,本例中为“员工网络回程路由”;
b、目的地址:设置三层交换机下各个网段的地址范围,本例中为员工网络的网段的网络号 “172.16.20.0”;
c、子网掩码:搭配目的地址确定三层交换机下子网范围,本例为员工网络的子网掩码“255.255.254.0”;
d、下一跳:本例为三层交换机与路由器对接的VLAN1的接口的IP地址“172.16.10.2”;
e、出接口:选择与三层交换机连接的接口,本例中为局域网接口“LAN”;
f、其他选项:保持默认即可。
点击“确定”,员工网络的回程静态路由规则添加完毕。如下图所示。
相同方法添加宾客网络和服务器网络的回程路由,添加完毕,如下图所示。
至此,路由器的所有设置已经完成。
五、配置无线AC控制器
经过上述设置AC中已经可以正常发现内网的所有无线AP,下面按照规划进行设置。
1、修改管理IP
打开“网络设置”---“接口设置”---“接口设置”页面,如下图所示。
点击编辑图标,如下图所示。
修改IP地址为“172.16.10.253”,子网掩码保持不变,网关地址为“172.16.10.1”,修改完成,点击“确定”; 页面会跳转到新的管理IP。如下图所示。
注意:为了能够访问新的页面,电脑的IP地址也必须同步修改到172.16.10.0/24网段。
2、修改分配给AP的IP地址池
打开“网络设置”---“IP地址分配”---“DHCP服务”页面,如下图所示。
本例中使用TL-AC300 V3.0默认的地址池是172.16.10.200-172.16.10.249共50个IP地址,如果网络中的AP的数量超过50的话,就要修改地址池范围,本例中规划网络中有100个AP,点击编辑图标,如下图所示。
修改开启地址为“172.16.10.100”,结束地址为“172.16.10.200”,点击“确定”,修改完成,如下图所示。
地址池修改完成之后,所有AP会自动重启并重新发现AC,打开“AP管理”---“AP设置”---“AP设置”页面,可以看到AP分组列表将会发现接入的无线AP,如下图所示。
3、设置无线服务并绑定AP
打开“无线管理>无线管理”,选择“继续本地设置”, 如下图所示。
默认已经有两条无线服务,点击删除按钮,将这两默认服务删除。然后点击“新增”,设置无线名称并且绑定AP,如下图所示。
a、状态:选择“启用”;
b、SSID:设置无线网络名称,本例中设置“STAFF”。
c、描述:任意填写,本例中“员工无线”;
d、无线网络内部隔离:开启后同一AP下的终端之间不能互相访问,本例中“禁用”;
e、隐藏无线网络:开启后无线网络名称将不可见,连接时需要输入SSID,本例中“禁用”;
f、安全选项:设置无线加密选项,一般客户选择“WPA-PSK/WPA2-PSK”;
g、认证类型:设置无线加密的认证类型,本例中保持默认“自动”;
h、加密算法:设置无线加密算法,本例中保持默认“自动”;
i、组密钥更新周期:保持默认;
j、PSK密码:设置无线连接时的密码,本例中设置为“1a2b3c4d”;
k、带宽控制:保持默认,选择“禁用”;
l、自动绑定所有AP:本例中选择“启用”,设置之后自动绑定所有发现的无线AP。
m、射频选择:选择绑定AP的无线射频,本例中保持默认的“全部”;
n、绑定VLAN:本例中绑定员工网络的VLAN ID“20”。
点击“确定”,添加完成。如下图所示。
相同方法继续新建宾客网络无线,如下图所示。
两个无线网络全部新建完毕,如下图所示。
无线控制设置完毕,点击页面右上角“保存配置”按钮,保存上述AC的所有配置。如下图所示。
至此,整个网络的所有设置已经完成。
