品牌中小连锁咖啡厅(门店)部署案例-华为防火墙方案

品牌中小连锁咖啡厅(门店)部署案例-华为防火墙方案

1 适用范围和业务需求

适用范围

本方案适用于品牌中小连锁咖啡厅(门店),为用户终端、监控摄像头、宣传视频显示器等提供网络接入通道,实现多业务承载,整个连锁店全网络覆盖的场景。

业务需求

  • 接入需求提供有线和无线接入方式。
  • 安全性需求随着各类网络业务的发展,接入用户具有高移动性的特点,网络信息安全显得尤其重要。客户希望:
    • 不同类型用户具备不同的访问权限。
    • 对连锁店总公司与分公司之间传输的数据进行保护处理。
  • 认证需求对于门店区的顾客的无线接入无认证需求,但是员工无线接入,需要输入密码后才能接入网络。有线用户无认证需求。

2 方案设计

组网图

品牌中小连锁咖啡厅(门店)组网方案如下图所示。

图2-1 组网图

网络设计分析

  • 无线覆盖无线网络覆盖主要为咖啡厅员工和访客提供网络接入Internet,顾客采用开放认证(Open方式),员工主要采用预共享密钥的方式,需要输入密码才能接入网络。
  • 无线业务统一由AP3030DN(FAT AP)管理。USG6310S作为无线终端的网关,并作为无线终端的DHCP Server,为无线终端分配IP地。
  • 有线接入有线接入主要给员工办公和接入Internet。AR511通过视频接口连接的视频显示器提供视频广告服务。
  • 有线用户不需要认证。
  • USG6310S作为有线终端的网关,也是有线终端的DHCP Server,为有线终端分配IP地址。
  • 安全性需求USG6310S上配置NAT功能,用于公私网地址转换;配置IPsec VPN功能,用于总部互联;配置安全功能,部署域间策略和上网行为管理(比如:员工有线不允许访问QQ);USG6310S上配置用户权限管控,控制访客访问内网。

方案涉及网元的软件版本要求

本方案适用的产品和版本如下表所示。

产品名称 产品版本
USG6310S V500R001C30
S5700S-28P-PWR-LI V200R009C00
AP3030DN(FAT AP) V200R006C10
AR511 V200R007C00

3 配置思路和数据规划

配置思路

采用如下的思路进行配置:

  1. USG6310S上配置NAT功能,用于公私网地址转换;配置IPsec VPN功能,用于总部互联;配置安全功能,部署域间策略和上网行为管理(比如:员工有线不允许访问QQ)。USG6310S上配置用户权限管控,控制访客访问内网。USG6310S同时作为有线和无线终端的网关,并为有线和无线终端分配IP地址。
  2. S5700S-28P-PWR-LI部署有线功能,为有线用户、摄像头、收银台提供接入。
  3. AP3030DN(FAT AP)部署无线功能,为无线终端提供无线接入。顾客采用开放认证(Open方式),员工主要采用预共享密钥的方式,需要输入密码才能接入网络。
  4. AR511通过视频接口连接的视频显示器提供视频广告服务。

数据规划

表3-1 VLAN规划

项目 描述
VLAN102 有线用户业务VLAN
VLAN103 无线用户业务VLAN

表3-2 接口规划

设备名 接口编号 所属VLAN IP地址 描述
USG6310S GE1/0/0 - 200.1.1.1/24 上行出口
GE1/0/1 VLAN102和VLAN103 VLANIF102:192.168.102.1/24

VLANIF103:192.168.103.1/24

下行连接S5700S-28P-PWR-LI
S5700S-28P-PWR-LI GE0/0/24 VLAN102和VLAN103 - 连接USG6310S
GE0/0/17 VLAN102 - 连接员工有线接入用户
GE0/0/18 VLAN102 - 连接AR511
GE0/0/23 VLAN103 - 连接AP3030DN-AGN
AR511 GE0/0/0 - 192.168.102.2/24 连接交换机S5700S-28P-PWR-LI

表3-3 USG6310S业务数据规划

项目 数据
DHCP
  • 接口地址池:
    • VLANIF102:有线用户
    • VLANIF103:无线用户
  • DNS服务器:114.114.114.114
静态路由
  • 目的地址/掩码:0.0.0.0/0.0.0.0
  • 下一跳:200.1.1.2
  • 出接口:GE1/0/0
安全域
  • trust:VLANIF102和VLANIF103
  • untrust:GE1/0/0
NAT
  • EasyIP
  • 源安全区域:trust
  • 目的类型:出接口GE1/0/0
  • 转换方式:出接口地址
IPSec VPN
  • 场景:点到点
  • 对端地址:200.1.1.2
  • 认证方式:预共享密钥
  • 预共享密钥:huawei123
  • 本端ID:200.1.1.1
  • 对端ID:200.1.1.2
  • 加密IP源:192.168.102.0/24
包过滤 基于应用控制用户访问Internet的权限(员工有线不允许访问QQ)
安全策略
  • 允许有线用户和无线用户访问Internet
    • 策略名称:egress
    • 源安全域:trust
    • 目的安全域:untrust
    • 源IP组名称:102和103
    • 包含IP地址:192.168.102.0/24和192.168.103.0/24
    • 动作:允许
  • 不允许有线用户访问无线用户
    • 策略名称:wired&wireless
    • 源安全域:trust
    • 目的安全域:trust
    • 源IP组名称:102
    • 包含IP地址:192.168.102.0/24
    • 目的IP组名称:103
    • 包含IP地址:192.168.103.0/24
    • 动作:禁止
  • 不允许无线用户访问有线用户
    • 策略名称:wireless_to_wired
    • 源安全域:trust
    • 目的安全域:trust
    • 源IP组名称:103
    • 包含IP地址:192.168.103.0/24
    • 目的IP组名称:102
    • 包含IP地址:192.168.102.0/24
    • 动作:禁止

表3-4 AP3030DN(FAT AP)业务数据规划

项目 数据
服务集huawei-guest
  • 射频:0
  • WLAN:1
  • 安全配置:Open
  • 业务VLAN:VLAN103
服务集huawei-employee
  • 射频:0
  • WLAN:2
  • 安全配置:WPA-WPA2 PSK,加密方式为AES,密码类型为PASS-PHRASE,密码为huawei123
  • 业务VLAN:VLAN103
服务集huawei-guest-5g
  • 射频:1
  • WLAN:1
  • 安全配置:Open
  • 业务VLAN:VLAN103
服务集huawei-employee-5g
  • 射频:1
  • WLAN:2
  • 安全配置:WPA-WPA2 PSK,加密方式为AES,密码类型为PASS-PHRASE,密码为huawei123
  • 业务VLAN:VLAN103