【環境信息】
某咖啡廳內需要實現無線覆蓋,使得客人在咖啡廳內包間及大廳都可以通過有線網絡或無線網絡訪問互聯網。內部員工可以通過無線或有線連接公司內網絡辦公,咖啡廳高級別管理人員既可以訪問公司內網也可以上互聯網。
【需求分析】
1. 咖啡廳的客人只可以訪問互聯網,不能訪問其公司內網;
2. 餐廳一般工作人員上班時間只能訪問公司內網,不可以訪問互聯網;
3. 餐廳高級別管理人員可以既可以訪問公司內網也可以上互聯網;
4. 高級管理人員、客人與員工連接不同的無線SSID,并且高級管理人員、客人和員工之間的電腦不能互訪。
【設備推薦】
路由器TL-ER6120、交換機TL-SL2428WEB、無線AP TL-WA801N
【方案設計】
1. TL-ER6120作為公司上網網關,所有內部電腦共享上網。
2. TL-SL2428WEB作為公司核心交換機,劃分802.1Q VLAN,對高級管理人員、一般工作人員及客人進行隔離。
3. TL-WA801N中采用Multi-SSID模式,配合開啟VLAN。并與TL-SL2428WEB 的VLAN實現對接。
4. 每個SSID可以單獨設置無線加密,不同的人員分配不同的SSID,不同VLAN ID的SSID之間不能互訪。
5. 由于只有三個無線接入群體,而TL-WA801N默認劃分四個SSID,所以必然有一個SSID是無需使用的。有兩種處理方式:
◆ 設置為無線接入較多群體使用的SSID,與其中一個SSID相同,加密也相同。
◆ 單獨設置一個SSID,但是沒有任何權限,同時進行無線加密,該SSID留作備用。這是此案例選擇的處理方式。
【拓撲結構】
根據用戶的需求,設計的網路拓撲結構如下圖所示:
【詳細配置方法】
1. 交換機TL-SL2428WEB端口分配
|
端口用途 |
端口編號 |
PVID |
Untag幀處理 |
|
高級管理人員 |
1、2、3、4、5 |
2 |
通過 |
|
一般工作人員 |
6、7、8、9、10 |
3 |
通過 |
|
客人 |
11、12、13、14、15 |
4 |
通過 |
|
TL-WA801N級聯端口 |
21 |
5 |
通過 |
|
內部服務器 |
22、23 |
1 |
通過 |
|
TL-SL2428WEB級聯端口 |
24 |
1 |
通過 |
|
備用端口 |
16、17、18、19、20 |
1 |
通過 |
2. TL-SL2428WEB VLAN劃分
|
VLAN號 |
成員端口 |
出口規則 |
|
1 |
1--5、6--10、11--15、16--20、21、22--23、24 |
去tag |
|
2 |
1---5、21、22---23、24 |
去tag |
|
3 |
6---10、21、22---23 |
去tag |
|
4 |
11---15、21、24 |
去tag |
◆ TL-SL2428WEB VLAN模式配置截圖如下:
◆ TL-SL2428WEB Tag VLAN全局配置截圖如下:
3. TL-WA801N SSID分配及VLAN劃分
|
無線用戶群 |
SSID分配 |
VLAN劃分 |
|
高級管理人員 |
SSID-2 |
VLAN2 |
|
一般工作人員 |
SSID-3 |
VLAN3 |
|
客人 |
SSID-4 |
VLAN4 |
|
暫未使用 |
SSID-1 |
VLAN1 |
TL-WA801N SSID及VLAN配置截圖如下:
備注:TL-WA801N有線接口默認VLAN1,可以與所有無線VLAN通信。SSID可以根據客戶需求自定義。SSID-1由于屬于VLAN1,數據包經過有線口發出是不帶Tag的,所以與交換機所有端口都不能通信,并且禁止使用,同時可以留作備用。
TL-WA801N各個SSID無線加密配置截圖如下:
至此整個網絡的配置完成,實現需求如下:
◆ 高級管理人員使用SSID-2無線或指定有線端口連接網絡,可以同時訪問外網和內部服務器;
◆ 一般工作人員使用SSID-3無線或指定有線端口連接網絡,只能訪問內部服務器;
◆ 外來客人使用SSID-4無線或指定有線端口連接網絡,只能訪問外網。
