大型酒店网络综合部署案例

敏捷园区网络解决方案大型酒店网络综合部署案例文档版本01发布日期2017-06-30华为技术有限公司版权所有©华为技术有限公司2017。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：(2017-06-30)华为专有和保密信息版权所有©华为技术有限公司i目录1适用范围和业务需求.......................................................................................................................12方案设计...........................................................................................................................................33配置思路和数据规划.......................................................................................................................74配置步骤.........................................................................................................................................284.1配置USG6650.............................................................................................................................................................294.2配置S7706...................................................................................................................................................................554.3配置AgileController-Campus.....................................................................................................................................905结果验证.......................................................................................................................................1196配置脚本.......................................................................................................................................120敏捷园区网络解决方案大型酒店网络综合部署案例目录文档版本01(2017-06-30)华为专有和保密信息版权所有©华为技术有限公司ii1适用范围和业务需求适用范围本案例主要适用于规模较大（用户数可达5000左右）的酒店场景。业务需求l用户接入需求–为酒店办公员工提供有线和无线接入方式。–为监控摄像头、IPTV终端提供有线接入方式。–为酒店访客和房客提供无线接入方式。–酒店网络的接入用户可以访问Internet。–酒店网络总部与分支之间通过IPSecVPN互联。针对酒店办公用户，访问分支的数据流需要通过IPSecVPN加密。–区分不同类型的用户，访问Internet时进行带宽限制，内网访问流量不做带宽限制，酒店员工、住客和访客分别限制带宽为4Mbps、2Mbps、1Mbps，对于视频和P2P流量每用户带宽限制为1Mbps。–针对不同类型的用户，提供不同的网络访问权限，如表1-1所示。表1-1用户网络权限控制表用户组办公服务器iptv服务器InternetemployeePermitDenyPermitlodgerDenyDenyPermitguestDenyDenyPermitiptvDenyPermitDeny在所有允许访问的策略中配置精细规则，开启反病毒和入侵检测。l接入认证需求简化认证，实现“一次认证，多次接入”服务。l无线漫游需求实现无缝漫游，业务不中断，用户无需重新认证。敏捷园区网络解决方案大型酒店网络综合部署案例1适用范围和业务需求文档版本01(2017-06-30)华为专有和保密信息版权所有©华为技术有限公司1l安全性需求–禁止外网用户访问内网；酒店内部用户能够访问Internet，但不能在Internet上玩游戏和观看网络视频。–保护酒店内部用户和Web服务器避免受到来自Internet的攻击。–保护酒店内部用户和Web服务器避免受到病毒威胁。–对用户上网行为进行审计，记录用户上网日志，供网络管理员后续进行审查和分析。–不同类型无线用户之间不可互访，实现无线用户隔离。–能否抵御DHCP的各种攻击。–防止非法设备、非法攻击入侵网络，配合认证系统，满足安全合规要求。l可靠性需求–主要设备需要提供备份功能，设备出现故障时，保证网络业务不中断。–主要链路提供链路备份功能，链路出现故障时，保证网络业务不中断。l运维管理需求要求对用户的上网行为进行统一管理、简化运维。敏捷园区网络解决方案大型酒店网络综合部署案例1适用范围和业务需求文档版本01(2017-06-30)华为专有和保密信息版权所有©华为技术有限公司22方案设计组网图大型酒店综合案例推荐组网如图2-1所示。敏捷园区网络解决方案大型酒店网络综合部署案例2方案设计文档版本01(2017-06-30)华为专有和保密信息版权所有©华为技术有限公司3图2-1大型酒店综合案例组网图网络设计分析l接入设计–出口防火墙USG6650承担外网出口业务，隔离内外网区域。–为了使内网用户访问外网，在USG6650上配置NAT，实现私网地址和公网地址之间的转换。–酒店总部和分支之间通过在出口防火墙配置IPSecVPN实现互联。–在核心交换机上配置无线智能漫游功能，实现无缝漫游。l用户接入认证设计敏捷园区网络解决方案大型酒店网络综合部署案例2方案设计文档版本01(2017-06-30)华为专有和保密信息版权所有©华为技术有限公司4–针对酒店办公有线用户，在S7706上配置有线接入认证方式为MAC+Portal混合认证。–针对酒店无线用户，在S7706上部署无线接入认证为MAC+Portal混合认证。–在AgileController-Campus上配置MAC优先认证，实现“一次认证，多次接入”服务。l安全性设计–配置安全策略，对流量进行过滤，禁止外网用户访问内网；办公室员工能够访问Internet，但不能在Internet上玩游戏（Game）和观看网络视频。–在防火墙上开启入侵防御功能，部署DDOS攻击防范，保护酒店内部用户和Web服务器避免受到来自Internet的攻击。–在防火墙配置反病毒功能，保护酒店内部用户和Web服务器避免受到病毒威胁。–在防火墙上部署上网行为审计，对用户的上网行为记录日志，供管理员后续进行审查和分析。–在S7706上分别配置多个SSID，将各种业务进行隔离，不同SSID绑定不同的业务VLAN，实现无线用户隔离。–在接入交换机和汇聚交换机上配置DHCPSnooping，以抵御网络中针对DHCP的各种攻击。l可靠性设计–USG6650部署主备方式的双机热备，防火墙连接核心交换机和Internet分别采用VRRP部署，保证业务不中断。–核心交换机S7706部署集群，保证设备级可靠性。配置多主检测，可以检测并处理集群分裂时网络中出现的多主冲突。–S7706与USG6650、S7706与S5700-28P-PWR-LI-AC、S7706与S5720-56C-PWR-EI-AC之间分别采用Eth-Trunk互联，提高链路可靠性。l运维管理设计–配置基于用户组的带宽策略，为不同用户组提供不同带宽。–通过AgileController-Campus，实现策略的统一控制和用户行为的统一管理。防火墙通过获取AgileController-Campus的用户登录消息，针对不同用户组实现不同的策略控制。–通过eSight实现设备的统一管理。方案涉及产品的软件版本要求本方案涉及产品的软件版本要求如表2-1所示。表2-1方案涉及产品的软件版本列表产品名称软件版本S7706V200R010C00SPC600+最新补丁USG6650V500R001C30SPC100S5720-56C-PWR-EI-ACV200R010C00SPC600+最新补丁S5700-28P-PWR-LI-ACV200R010C00SPC600+最新补丁AD9430DN+R240DV200R007C20敏捷园区网络解决方案大型酒店网络综合部署案例2方案设计文档版本01(2017-06-30)华为专有和保密信息版权所有©华为技术有限公司5产品名称软件版本AP5030DNV200R007C20AgileController-CampusV100R002C10SPC405eSightV300R006C00SPC500+V300R006C00SPC505补丁敏捷园区网络解决方案大型酒店网络综合部署案例2方案设计文档版本01(2017-06-30)华为专有和保密信息版权所有©华为技术有限公司63配置思路和数据规划配置思路采用如下的思路进行配置：1.在USG6650上配置设备的接口、VLAN、IP地址、路由等，使得网络互通。2.在USG6650上部署主备备份方式的双机热备，USG6650连接S7706和连接Internet分别采用VRRP部署。配置Eth-Trunk，提高链路可靠性。3.在USG6650上配置NAT，让内网用户可以访问Internet。4.在USG6650上开启DDoS攻击防范。5.在USG6650上配置安全区域（防火墙DMZ区域用于架设酒店的Web服务器）。6.在USG6650上部署上网行为审计，对用户的上网行为记录日志，供管理员后续进行审查和分析。7.在USG6650上配置根据链路质量负载分担，选择传输质量最佳的链路转发流量。8.在USG6650上配置总部分支互访IPSecVPN，总部分支互访流量通过IPSecVPN加密。9.USG6650与AgileController-Campus配置单点登录参数，防火墙通过获取AgileController-Campus的用户登录消息，使用户在防火墙上线。10.在USG6650上部署业务随行，作为策略执行点，执行基于应用的权限控制策略