网络工程-现代酒店网络规划与构建

现代酒店网络规划与构建摘要：当今时代经济的迅速发展和交通的便利化，使得酒店行业快速发展。酒店既满足了人们出行的需要，又满足了商务旅行的需求。随着需求的扩大，目前的酒店的数量迅速增长。酒店的发展潜力依赖于其品牌形象的提高和服务质量是否给顾客带来认同感。互联网是当前信息交流和商务办公的主要方式。必要合理的网络规划已成为现代酒店的核心竞争力。此次网络规划使用了HUAWEI设备构建一个具有服务器、无线局域网和访问控制的网络。一旦有了上述的网络，就能够满足顾客的基本需求，提高顾客的体验。也能够确保酒店内部运营的便利和管理的规范化，提升酒店的服务质量。关键词：路由，交换，网络规划

ModernhotelnetworkplanningandconstructionAbstract：Withtherapidevolutionofscienceandtechnologyandtheconvenienceoftransportation,thehotelindustrydevelopsrapidly.Thehotelisnotonlyforpeopletotravel,butalsoneedsofbusinesstravel.Withtheexpansionofdemand,thenumberofhotelsisgrowingrapidly.Thedevelopmentpotentialofthehoteldependsontheimprovementofitsbrandimageandwhethertheservicequalitybringscustomersasenseofidentity.Internetisthemainwayofinformationexchangeandbusinessoffice.Necessaryandreasonablenetworkplanninghasbecomethecorecompetitivenessofmodernhotels.ThisnetworkplanningusesHuaweiproductstobuildanetworkwithWLAN,server,firewallandaccesscontrol.Whenthehotelusessuchnetworkplanning,itcanensuretheleisureandonlineworkofcustomersandimprovethecustomerexperience.Itcanalsoensuretheconvenienceofinternaloperationandnormalizationofmanagement,andupgradeservicesofthehotel.Keywords：route，switch，networkplanning目录TOC\o"1-3"\h\u1绪论 绪论1.1项目建设背景及意义经济的快速发展带动了国内酒店业的蓬勃发展，现代酒店已从传统的住宿模式转变为以商务为中心，集娱乐、休闲融合为一体的多功能中心。现代酒店蓬勃发展的背后，网络是不可或缺的。酒店网络的建设和维护对酒店的发展起着重要的作用。现代酒店的顾客需要浏览互联网。其中一些是上班族，一些是游客，高速、安全、可靠的上网络才能满足他们的工作甚至娱乐活动。网络系统能够使酒店的顾客享受到灵活快捷的网络服务，有了WLAN之后，顾客可以在客房、餐厅、会议室以及娱乐场所随时随地的享受到网络服务，增加了他们的体验感。高档客房配置的有网络电视、网络监控系统、点餐系统等，只有畅通的网络接入可以满足顾客的各种需求。现代酒店的网络要求有足够的功能和较高的保密性。还需一套使用简单的管理系统及酒店内部通讯系统。这套系统取代了原有的对讲机，让酒店员工通过无线网络自由交流，这可以提高酒店大型员工的工作效率，为酒店节约成本。该管理系统可以对每个员工实施智能监控，有效提高服务质量。酒店的部分网络系统需要与外网完全隔离，保证安全性，比如酒店的财务管理、客房管理、人员管理等，这样可以有效安全地服务顾客。安全稳定的网络系统与现代酒店的高端服务相结合，可以为顾客提供高端的舒适体验，提高酒店的服务质量，管理效率和竞争力。1.2论文的结构安排论文的结构安排如下：1绪论：介绍项目建设背景及意义来说明网络的建设和维护对酒店的发展起着重要作用。2网络需求分析：对网络接入点、网络结构、综合布线、网络功能、网络安全与管理等方面进行分析，为网络设计打好基础。3网络系统设计：根据网络需求分析，进行IP地址分配、网络拓扑设计、无线局域网设计、服务器设计、远程管理设计、安全设计等。4设备选型：对网络设计选择交换机和路由器等网络设备的型号和价格进行说明。5实施方案与测试：对网络设备的配置命令进行说明，并使用模拟器完成了大部分的测试。6.总结：对本次设计进行总结。

2网络需求分析2.1网络接入点分析酒店网络分为两部分：工作网络和服务网络。网络采用有线网络和无线网络进行访问，要求全网无线覆盖，工作区以及服务区的客房和会议室需要有线网络接入。如图2-1：网络出口网络出口工作区服务区监控前台财政行政客房会议餐厅服务器无线区图2-1酒店区域分布图酒店的构造为：1楼前台、财务和行政办公室，2-3楼餐厅和会议室，4-8楼为普通客房，9-10楼为总统套房，11-17楼为高档客房，18-19楼为机房。如图2-2：图2-2酒店立体图根据房间数量及无线全覆盖要求列出了有线接入点的需求量，如表2-1：表2-1接入点需求量工作网有线接入点需求数量（个）无线接入点需求数量（个）前台10100财务部1010行政部1010监控系统800服务网3楼餐厅201402楼会议室40804-8楼普通客房2505009-10楼总统套房10020011-17楼高档客房280560共计80016002.2网络结构需求分析网络结构采用三层拓扑结构，即核心层，汇聚层和接入层。使用HUAWEI网络设备，可实现100m到桌面，满足顾客的网络需求。酒店网络结构如图2-3：核心层核心层核心路由器、核心三层交换机、防火墙汇聚层汇聚三层交换机、无线控制器接入层-工作网手动配置IP地址接入二层交换机接入层-服务网自动获取IP地址接入二层交换机、无线接入点图2-3网络结构图2.2.1接入层需求分析接入层用于直连计算机或者无线接入点，因此使用二层交换机。为了提升网络安全性，可以使用一些方法隔离广播。酒店的接入层划分为服务网和工作网，其中工作网全部采用有线电脑入网可以通过网口与二层交换机直连。1、服务网：为客房、会议室及餐厅主机配置自动获取IP地址，可以获得三层交换机下发的IP地址接入互联网。无线网用户通过无线接入点入网，同样从三层交换机获取IP地址，为减轻无线接入点管理的难度，无线网控制器采用华为的无线控制器，实现接入点在全网的自动配置和传输，射频和信道的管理和分配，实现统一管理和安全访问控制。2、工作网：监控、前台、财务以及行政采用手动配置IP地址，通过访问控制列表过滤使前台、行政可以接入互联网并且三层互通，财务和监控与其他的部门隔离。监控、前台和财务采用端口绑定技术，不仅便于管理，还可以提高工作网络的安全。酒店存在大量顾客，每天都有成千上万的人在流动，所以酒店需要实时监控。标准清晰度IP摄像机用于酒店楼层、街道、会议室、休息中心、俱乐部、停车场和其他区域。2.2.2汇聚层需求分析汇聚层连接着接入层和核心层，采用三层交换机，汇聚来自接入层的IP地址。酒店网络汇聚层通过动态主机配置协议下发IP地址供接入层终端使用，而手动分配IP地址的工作网则在这里做网关，此外接入层的vlan之间通信也通过路由在这里完成。2.2.3核心层需求分析核心层是为了实现主干网络间的最优传输，对核心层网络设备的性能要求非常高。因此，核心交换机选用HUAWEI的三层交换机，并且用两台设备冗余设计，可以实现一定的负载均衡。核心层与出口路由器通过配置路由协议完成通信，出口路由器通过网络地址转换协议将酒店的私网地址转换为公网地址与外网通信。2.3综合布线分析综合布线系统是基于计算机技术和通信技术发展的结果，以进一步满足科学技术发展的需要。综合布线是网络工程的基础。2.3.1子系统需求分析根据综合布线设计原则，考虑到整个系统的可靠性，传输特性和可伸缩性，本酒店中心机房位于顶楼，通过竖井与楼下配线间连接。水平布线子系统设计：在办公楼中，从网络房到办公楼最远数据信息点的长度仍小于双绞线的标准转输距离为100米。水平布线路径：网络房→楼层竖直通道→各楼层配线间→预埋PVC线管→AP位置通过网络拓扑分析，每个楼层有一个或两个接入层交换机，所有这些交换机都通过竖井到达屋顶机房的汇聚交换机，再到机房的核心交换机。2.3.2中心机房需求分析中心机房是网络系统的信息交换中心，中心机房需求分析的主要内容有：1、供电使用酒店供电专线，不能够断电或断电后有备用电源。2、酒店配备独立机房，机房配备自动灭火器，保证机房能及时清除火源。3、酒店机房配备空调，使机房温度保持在正常范围内，让设备正常工作。2.4网络功能需求分析酒店应该提供一流的网络服务，根据不同顾客的要求，酒店的网络应该实现以下8点功能：1、实现高速网络接入，能够同时支持2400个用户快速上网。2、提供无线网络服务，满足顾客在酒店任意区域的上网需求。3、提供稳定的有线网络接口，满足顾客办公或者娱乐的需求。4、建立酒店网站服务器，提供内网外网访问服务。5、提供基本网络服务功能，DHCP服务，FTP服务，NAT服务。6、工作网络拥有办公自动化的功能，不仅能够承载先进的管理系统，还能够安全的接入互联网，提供网上预订，网上支付等功能。7、酒店所有监控摄像头可以全天候的运作，采用网络摄像头，并且保存至少30天。8、酒店通过VPN实现远程访问到连锁酒店，外地员工同样也可通过VPN访问到酒店内部资源。2.5网络安全与管理需求分析1、网络安全，酒店网络的威胁主要来源于内部服务网和外网，来源于内网的威胁主要是病毒攻击。为了保障酒店的网络安全酒店应该采取以下5个措施：（1）硬件可靠性。酒店的网络服务器、交换及路由设备的性能和质量必须有较高的安全保证，核心交换机采用了冗余设计。（2）酒店使用划分的vlan将服务网络与工作网络隔离开，从而可以有效地防止来自酒店服务网络的攻击。（3）核心路由器建立一个访问控制列表，通过禁止在特定网段和服务上建立通信来阻止对酒店出口路由器的大部分攻击。（4）酒店工作网使用加密通信，使攻击者不容易获取或修改酒店的敏感信息。（5）不允许财务部访问外部网络，但可以与内部网络服务互通。2、网络管理是指监视和控制网络设备的运行状态的一系列管理操作。为了使酒店所有网络设备的管理都通过vlan管理，采取以下2个措施：（1）配置Telnet，交换机均支持Telnet，因此管理员登陆至任何一台网络设备均能访问其他任意一台设备。（2）配置SSH，SSH相比于Telnet更安全，是通过加密传输，但是华为交换机之间并不支持SSH登陆，因此管理从桌面可以安全的登陆至任意一台设备。

3网络系统设计3.1系统设计原则酒店的网络系统应该充分考虑到网络系统设计原则，以便使酒店网络性能更好，更加经济，系统设计原则如下：1、先进性，设计网络系统的主要目的就是让在应用层工作的设备能够正常运行。酒店用户网络带宽需求量高，同时上网人数巨大，因此酒店应采用先进的网络技术和可靠的网络产品。2、开放性，标准化，酒店首先要采用国家和国际标准，然后是实用的行业标准，能够使网络更加方便地使用。可以保证酒店网络在增加网络需求量或者在扩展网络覆盖面积时，可以兼容其他厂家的不同类型的网络产品及应用软件。3、可靠性，稳定性，首先采用各种容错技术及冗余技术，可以使酒店网络有较高的可靠性及稳定性，其次采用vlan划分，访问控制列表，端口绑定等安全措施，使酒店网络更加安全。3.2网络规模计算机网络的规模一般按网络覆盖范围分为工作组级、部门级、园区级和企业级。酒店网络属于园区级网络，组网的主要目的是实现网络化办公，接入互联网，网络规模大，网络安全重要。3.3IP地址分配酒店网络所有网络设备及主机使用私网地址，通过NAPT将私网地址转换为与外网通信的公网地址，公网地址由电信服务商提供。3.3.1工作IP地址为保证酒店工作网的安全，工作网与服务网通过二层vlan隔离，并且工作网所有电脑配有独立的IP地址，IP地址与MAC地址进行绑定。IP规划如表3-1：表3-1工作网IP规划工作网VlanIP地址网关DNS前台Vlan2-5414财务部Vlan3-5414行政部Vlan4-5414监控Vlan5-54143.3.2服务IP地址服务网络采用DHCP协议来分配IP地址，并且自动为顾客分配IP地址，使酒店顾客接入互联网。接入点需求量如表3-2：表3-2DHCP接入点需求量服务网有线DHCP接入点需求数量（个）无线DHCP接入点需求数量（个）3楼餐厅201402楼会议室40804-8楼普通客房2505009-10楼总统套房10020011-17楼高档客房280560前台、财务、行政0120共计7201600根据表3，需要分配的IP地址有大约2300个因此设计了如表3-3所示的IP地址划分：表3-3服务网IP地址划分服务网VlanIP地址子网掩码网关DNS2楼会议室Vlan11-55143楼餐厅Vlan12-55144楼客房Vlan13-55145楼客房Vlan14-5514………………17楼客房Vlan26-5514无线网络ACVlan1000014无线网络一楼Vlan101-5514无线网络二楼Vlan102-5514………………无线网络十七楼Vlan117-5514点餐系统Vlan27143.3.3公网IP地址工作网和服务网使用的都是私网地址，访问外网使用网络端口地址转换技术。公网采取中国电信的FTTB+LAN，具体如下：1、FTTB+LAN采用数字宽带技术，使光纤接入酒店客房。基本做到1000m到核心、100m到桌面。顾客仅需一块网卡即可轻松快速的上网。2、酒店带宽需求量高，因此向电信购买如表3-4地址段。表3-4公网IP地址公网地址池-3.4网络拓扑结构酒店网络使用三层拓扑结构，即核心层，汇聚层和接入层，总体网络设计及设备命名如图3-1：图3-1网络拓扑图3.4.1接入层网络设计1、VLAN划分VLAN即虚拟局域网。根据各部门工作性质的不同，将酒店的工作网络划分为不同的VLAN。酒店客房网络按楼层划分为不同的VLAN。即使在同一VLAN之间，也可以使用端口隔离技术，这样使用具有以下3个特点：（1）防范广播风暴，不在同一VLAN内，不会收到其他VLAN发送的广播。（2）提高网络安全性，在接入层交换机中，不同的VLAN无法通讯，必须通过汇聚层交换机进行通信，既提高了网络安全性，又降低了酒店客户信息泄露的可能性。（3）灵活性，VLAN可以将酒店的不同部门，网络和客户结合起来，组成一个既方便又灵活的小区域网络。工作网，服务网及网络设备的VLAN划分情况如表3-5：表3-5vlan划分部门或设备VLAN部门或设备VLAN部门或设备VLAN前台2会议室11无线网络99-117财务3餐厅12管理地址701行政4客房13-26出口vlan700监控5点餐系统272、端口与地址绑定端口和地址绑定技术是将主机绑定到交换机的端口。如果主机更改了交换机端口，则无法正常连网。端口和地址绑定技术实现酒店工作网安全性和易管理性，如果财务室有人用别的终端插入财务的网络将无法上网。端口与地址绑定技术用在酒店接入层交换机JR-LSW1对接到主机的ACCESS口上，将主机的MAC地址，IP地址和VLAN进行绑定。3.4.2汇聚层网络设计1、DHCP服务器搭建DHCP动态主机配置协议，自动将IP地址分配给内部网络或网络服务提供商。酒店服务网接入点较多，为了使用户可以随时上网，所以要搭建DHCP服务器。在汇聚层交换机HJ-LSW上搭建DHCP服务器，可以将IP地址发送到接入层交换机。地址池如表3-6：表3-6DHCP地址池VLANIP地址池网关Vlan11-55Vlan12-55Vlan13-55Vlan14-55………………Vlan26-55VLAN101-55VLAN102-55………………VLAN117-552、MSTP多生成树协议MSTP是以STP为基础开发的，作用是消除局域网中的环路。MSTP通过阻塞掉网络中的多余的链路，将整个网络修剪成没有环路的树状网络，阻止了信息的无限循环。酒店网络核心层设备(HX-LSW1、HXLSW2)和汇聚层设备（HJ-LSW）存在环路采用MSTP可以避免由环路造成的广播风暴等问题。3.4.3核心层网络设计1、OSPF路由协议OSPF是一种链路状态路由协议，它属于内部网关协议。酒店网络核心层有一台防火墙和一台出口路由器，在这里分配一个区域Area0，WLAN网络需要配置路由协议，在这里分配一个区域Area1。端口IP地址及Area分布如图3-2：图3-2OSPF区域分布2、网络地址转换网络地址转换，即把多个私网地址转化成一个或几个公网地址。由于酒店网络拥有大量的终端，需要大量的IP地址。所以在酒店网络设计的时候采用地址转换技术，将酒店的私网的地址转化为公网的地址，来接入互联网。核心层路由器支持NAT技术，因此在AR的端口GE0/0/0做出口NAPT，内部地址为工作网和服务网的网络地址，外部地址是从电信购买的地址，具体如表3-7：表3-7NAT地址池地址IP内部地址：/外部地址：-3、链路聚合链路聚合是将两条或多条数据链路组合为一条具有更高带宽的逻辑链路。酒店网络核心层交换机HX-LSW1、HX-LSW2及HJ-LSW采用链路聚合提高带宽，几条线路分别为Eth-trunk（0-2）。链路聚合设计如图3-3：图3-3链路聚合4、VRRP及VRRP负载均衡VRRP为网络设备提供备份。原理是根据优先级从备份组中选择一个设备作为主设备，用来转发网络设备之间的流量。当这台设备故障后，VRRP会重新选择一个新的主设备，以保证网络设备之间流量不会中断转发。VRRP设计如图3-4：图3-4VRRP设计3.5无线局域网设计无线局域网是一种使用射频和电磁波的技术。取代了原来的有线网络。它使用无线进行通信，能够非常方便的接入。如今，人人都有一部手机，酒店顾客来到酒店需要随时随地上网，三层组网AP上线可以满足顾客的上网需求。三层网络接入点设计为每层有两个接入点，一个VLAN和一个网段。接入点可以连接到任何接入层交换机，只要配置了交换机的端口模式，AP便不会受到其他网络的影响，这样的设计一层楼可以提供253人同时在线，满足酒店顾客的需求。酒店一共有17层楼则有34个AP，一个AC可以管理所有AP，汇聚层交换机（HJ-LSW）通过DHCP下发IP地址，总体WLAN设计如图3-5：图3-5WLAN分布图3.6服务器设计1、WWW服务器，方便游客网上参观和网上订房，方便酒店内顾客了解酒店的活动，酒店有自己的网站，因此WWW服务器不可缺少。服务器位于防火墙的dmz区域内，在防火墙里配置untrust可以访问dmz区域，并设置静态NAT，可以给服务器一个外网地址供外部游客访问，WWW服务器外网地址为。2、FTP服务器，酒店有多个部门，行政需要随时给前台或财务下发文件，一个FTP服务器能够满足这样的要求。FTP服务器在防火墙（FW）的Trust区域内，并设置ACL，可以供工作网所有主机访问，而外网主机及服务网主机无法访问，ftp服务器使用私网地址。3、DNS服务器，酒店内部有一整套的网络与互联网单向隔离，DNS服务器能够带来很多方便之处。DNS服务器放在防火墙(FW)的Trust区域内，与所有私网地址互通，与外部隔离，DNS服务器使用地址14。4、点餐系统，酒店有各种各样的顾客，点餐系统可以给顾客带来很多便利，顾客只要连接到了酒店的网络，即可随时点餐，餐厅可以马上收到顾客的需求。点餐系统连接在核心层交换机上，属于一个独立的VLAN，与所有私网地址互通，与外部隔离，属于VLAN27的餐厅可以随时收到顾客的点餐信号完成点餐，点餐系统使用私网地址。3.7远程管理设计1、Telnet是远程登录的主要方法。它可以使用户在本地计算机上就能完成远程主机的工作。使用户计算机上的Telnet程序连接到远程设备，和直接在交换机路由器的控制台上输入一样。华为交换机支持Telnet不支持ssh，所以交换机登陆交换机只能配置Telnet。2、SSH远程管理和维护。SSH以加密的方式传输信息，它能够有效防止传输信息过程中的泄漏。Telnet以纯文本发送所有数据包括用户输入的密码，所以SSH比Telnet更安全。3、管理VLAN及Loopback，Telnet及SSH均需要一个地址来登陆，因此这里添加了管理VLAN和Loopback，交换机路由器全部加入一个VLAN701，配置相应的VLANIF的IP地址，路由器加入一个Loopback0并配置IP地址，就是登陆的IP地址了，IP地址分配如表3-8：表3-8管理IP地址设备名IP地址设备名IP地址R1HJ-LSWFWACHX-LSW1JR-LSW1HX-LSW2JR-LSW20JR-LSW4JR-LSW31根据酒店IP地址的设计，任何地点，只要在任何一台网络设备上便能管理与维护其他任何设备。可以及时排除设备错误，方便设备的管理。3.8安全设计酒店网络的安全威胁主要来源于互联网，主要的威胁是计算机病毒和黑客的攻击。工作网接入层端口绑定技术能够有效地抵御ARP攻击。3.8.1访问控制列表设计ACL是保证网络安全的一项关键技术，它使用软件控制设备之间的通信，限制网络中的流量。酒店网络配置ACL如下：1、配置财务不能访问外网，在出口路由器(AR1)的端口G0/0/1上配置ACL不允许财务网段进入。2、配置工作网与服务网不能互通，在接入交换机（JR-LSW1）的端口E0/0/1上配置ACL不允许服务网网段进入。3、配置NAT需要访问控制列表，在出口路由器（AR1）的端口G0/0/0上配置ACL允许所有内网网段通过。3.8.2防火墙设计防火墙是介于外网与酒店内网之间的一种安全系统。需要配置防火墙来限制外网对内网的访问，而外网可以访问WWW服务器。防火墙区域设计如图3-6:图3-6防火墙区域图

4设备选型近几年来，华为的网络技术和网络设备不断更新和完善。华为的产品有着良好的信誉，售后服务到位，价格友好。为了达到稳定可靠的目的，酒店网络设备全部采用华为，本次设计选择交换机和路由器型号和价格如表4-1：表4-1设备选型设备名产品型号单价/元汇聚层交换机HX-LSW1、HX-LSW2、HJ-LSWS5700-28C-HI19900防火墙FWUSG550037000路由器AR1AR22208700接入层交换机JR-LSWS3700-26C-HI16000服务器FusionServerRH2288HV2-811500无线控制器ACAC6605-2623000无线接入点APAP6050DN3900

5实施方案与测试5.1VLAN搭建接入层交换机的全部接入端口模式为Access，交换机之间端口模式为Trunk。每个部门、每层楼客房和WLAN拥有不同的VLAN，前台为例，前台属于VLAN2，在JR-LSW1配置VLAN相关命令：interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan2JR-LSW1和HJ-LSW连接的接口命令：interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan2to5701在接入层交换机（JR-LSW1）使用命令displayvlan如图5-1：图5-1displayvlan要求服务网络三层互通及工作网三层部分互通，在HJ-LSW1配置互通命令，部分结果如图5-2：interfaceVlanif2ipaddressinterfaceVlanif4ipaddress图5-2三层互通行政（vlan4）ping前台(vlan2）5.2动态路由协议上层核心交换机、防火墙及出口路由器之间采用OSPF，FW配置命令如下：ospf1area（区域0）networknetworknetworkHX-LSW1配置命令如下：ospf1area（区域1）networknetworknetwork在防火墙上displayiprouting-table如图5-3：图5-3displayiprouting-table5.3无线AP搭建酒店网络要求无线网络全覆盖。傻瓜式路由器可以自动获取到IP地址便能自动发布WLAN，但是不利于管理及维护。这里利用三层组网AC控制AP实现WLAN，其中AC部分命令如下：interfaceWlan-Ess0porthybridpvidvlan101（出口加vlan101的标签）porthybriduntaggedvlan101to102（vlan101、102解标签）wlanwlanacsourceinterfacevlanif100（WLAN源为vlan100）ap-regionid101apid0type-id19mac00e0-fcD4-0E10sn210235448310AF1EC310（配置AP预认证列表，使特定AP上线）wmm-profilenamewmmid0（配置WMM，默认配置）traffic-profilenametraid0（配置流量模板，默认配置）security-profilenamesecid0（配置安全模板，开放认证）service-setnameregion101id0（配置服务集region101）forward-modetunnelwlan-ess0ssidhotel1（SSID）traffic-profileid0（配置模板）security-profileid0（配置模板）service-vlan101（业务VLAN）radio-profilename2g11nid0(配置2.4G射频模板bgn配置11N)radio-type80211bgnwmm-profileid0ap0radio1（配置AP0的射频）radio-profileid1channel40MHz-minus153service-setid0wlan1AP的IP地址通过三层核心交换机通过DHCP下发，HX-LSW1部分与AP相关的命令如下：interfaceVlanif99（配置AC列表）ipaddressdhcpselectinterfacedhcpserveroption43sub-option3ascii00interfaceVlanif101（配置VLAN101的DHCP地址池）ipaddressdhcpselectinterfacedhcpserverdns-list14interfaceVlanif100（配置交换机与AC之间的连通）ipaddressospf1router-id（配置相关路由协议）areanetworkareanetworknetworknetwork接入层交换机JR-LSW4端口e0/0/2命令：interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan99配置号AC后启动相应的AP，成功后AP将自动发射WIFI信号，酒店一栋楼AP全覆盖，因此AP并没有设置密码，用户连接WIFI上网具体如下：图5-4配置好AC后AP发出WIFI信号图5-5用户收到WIFI信号图5-6用户采用DHCP自动分配IP地址终端用户连接WIFI信号后可以自动获取到IP地址，如图5-7：图5-7用户自动获取IP5.4DHCP服务器搭建服务网均采用自动获取IP地址，以vlan13和vlan26为例，定义地址池vlanif13及vlanif26在HX-LSW2配置命令如下：dhcpenable（启用DHCP服务）interfaceVlanif13ipaddressdhcpselectinterfacedhcpserverdns-list14interfaceVlanif26ipaddressdhcpselectinterfacedhcpserverdns-list14接入层交换机JR-LSW2端口e0/0/5的主机获取到vlan13的IP地址：interfaceEthernet0/0/5portlink-typeaccessportdefaultvlan13服务网上任意一台主机查看自动获取的IP地址，如图5-8图5-8服务网主机从没有IP地址到获取到IP地址5.5网络地址转换酒店所有私网地址想要访问外网，NAPT技术必不可少，NAPT配置在核心出口路由器上，R1配置命令如下：aclnumber2000（定义访问控制列表）rule5permitsource55nataddress-group054（定义NAT地址池0）interfaceGigabitEthernet0/0/0（定义NAT出口规则）ipaddressnatoutbound2000address-group0配置了之后再加上出口到Internet的静态路由，内网任意一台主机ping外网主机，抓包结果及路由器上的NAT表如下：图5-9私网地址Ping外网主机图5-10Wireshark抓包效果图5-11disnatsessionall5.6MSTP与VRRPMSTP和VRRP结合使用可以实现负载分担和冗余备份。1、vlanif2及vlanif12在HX-LSW2下vrrp部分命令如下：interfaceVlanif2（配置vlanif2在HX-LSW2为backup）ipaddress52vrrpvrid1virtual-ip54vrrpvrid1priority90interfaceVlanif12（配置vlanif12在HX-LSW2为master）ipaddressvrrpvrid6virtual-ipvrrpvrid6priority120dhcpselectinterfacedhcpserverdns-list14在HX-LSW1下vrrp部分命令如下：interfaceVlanif2（配置vlanif2在HX-LSW1为master）ipaddress51vrrpvrid1virtual-ip54vrrpvrid1priority120interfaceVlanif12（配置vlanif12在HX-LSW1为backup）ipaddressvrrpvrid6virtual-ipvrrpvrid6priority90dhcpselectinterfacedhcpserverdns-list14图5-12HX-LSW2disvrrp图5-13HX-LSW1disvrrp2、HX-LSW1的MSTP命令及STP概要如下：stpenable(启动STP)stpmodemstp（STP模式为MSTP）stpinstance1rootprimary（列子1为主根）stpinstance2rootsecondary（列子2位从根）stpregion-configurationregion-namelhxinstance1vlan2to5（列子1为vlan2到5）instance2vlan11to13（列子2为vlan11到13）activeregion-configuration图5-14disstpbrief5.7端口与地址绑定以前台和财务为例，如图5-15图5-15端口绑定JR-LSW1配置命令如下：user-bindstaticmac-address5489-986C-637Fip-addressvlan2user-bindstaticmac-address5489-986C-637FinterfaceE0/0/2vlan2user-bindstaticmac-address5489-983C-744Cip-addressvlan3user-bindstaticmac-address5489-983C-744CinterfaceE0/0/2vlan3前台的主机本来可以正常上网，可能由于不正当操作将网口插进不同的主机上与端口绑定的主机MAC地址改变，将会导致无法上网，如下：图5-16前台主机Ping网关图5-17地址改变前图5-18地址改变后5.8远程管理与维护1、为交换机配置SSH，以核心交换机2为例，HX-LSW2的SHH配置命令如下：rsalocal-key-paircreate（生成本地RSA主机密钥）stelnetserverenablesshauthentication-typedefaultpasswordaaalocal-userlhxpasswordsimplelhx(设置SSH用户名密码)local-userlhxprivilegelevel3（设置SSH登陆权限）local-userlhxservice-typessh（设置服务类型为SSH）user-interfacevty04authentication-modeaaaprotocolinboundssh配置了SSH后，在设备互通的前提下，交换机之间不支持SSH登陆，所以使用SecureCRT软件进行登陆，在SecureCRT上输入交换机HX-LSW2的IP地址，采用协议SSH2，输入用户名及密码登陆：图5-19配置CRT登陆图5-20输入SSH用户名密码图5-21SSH远程登陆成功2、telnet远程管理与维护，telnet支持交换机与交换机之间互相登陆，因此配置telnet更加方便，核心交换机HX-LSW2的telnet配置命令如下：aaalocal-userlhxtelpasswordsimplelhx（设置telnet用户名密码）local-userlhxtelprivilegelevel3（设置telnet权限）local-userlhxtelservice-typetelnet（设置服务类型为telnet）user-interfacevty04authentication-modeaaaprotocolinboundtelnet配置了telnet之后，在设备互通的前提下，任意一台设备（HX-LSW1）可以登陆至任意另一台设备，效果如图5-22：图5-22telnet远程登陆5.9链路聚合核心层设备HX-LSW1、HX-LSW2和汇聚层设备HJ-LSW使用链路聚合提高带宽，分别在HX-LSW1接口G0/0/2、G0/0/3、G0/0/4、G0/0/5上实施，HX-LSW1配置命令及结果如下：interfaceEth-Trunk0（定义Eth-Trunk0）portlink-typetrunkporttrunkallow-passvlan2to4094interfaceGigabitEthernet0/0/2(将端口G0/0/2加入Eth-Trunk0)eth-trunk0interfaceGigabitEthernet0/0/3(将端口G0/0/3加入Eth-Trunk0)eth-trunk0interfaceEth-Trunk1（定义Eth-Trunk1）portlink-typetrunkporttrunkallow-passvlan2to4094interfaceGigabitEthernet0/0/4(将端口G0/0/4加入Eth-Trunk1)eth-trunk1interfaceGigabitEthernet0/0/5(将端口G0/0/5加入Eth-Trunk1)eth-trunk1图5-23distrunkmembershipeth-trunk15.10DNS服务器搭建外网有一台IP地址为0的服务器，如图5-24：图5-24服务器内部DNS服务器的地址为14，如图5-25：图5-25DNS服务器配置HX-LSW1配置命令如下：dnsresolvednsserver14在保证了主机的DNS服务器地址为14的情况下Ping，域名将得到解析如图5-26：图5-26ping:5.11IPSECVPN搭建酒店总店私网地址，公网地址，酒店分店私网地址，公网地址，R2配置命令如下：acl