【环境信息】
某咖啡厅内需要实现无线覆盖,使得客人在咖啡厅内包间及大厅都可以通过有线网络或无线网络访问互联网。内部员工可以通过无线或有线连接公司内网络办公,咖啡厅高级别管理人员既可以访问公司内网也可以上互联网。
【需求分析】
1. 咖啡厅的客人只可以访问互联网,不能访问其公司内网;
2. 餐厅一般工作人员上班时间只能访问公司内网,不可以访问互联网;
3. 餐厅高级别管理人员可以既可以访问公司内网也可以上互联网;
4. 高级管理人员、客人与员工连接不同的无线SSID,并且高级管理人员、客人和员工之间的电脑不能互访。
【设备推荐】
路由器TL-ER6120、交换机TL-SL2428WEB、无线AP TL-WA801N
【方案设计】
1. TL-ER6120作为公司上网网关,所有内部电脑共享上网。
2. TL-SL2428WEB作为公司核心交换机,划分802.1Q VLAN,对高级管理人员、一般工作人员及客人进行隔离。
3. TL-WA801N中采用Multi-SSID模式,配合开启VLAN。并与TL-SL2428WEB 的VLAN实现对接。
4. 每个SSID可以单独设置无线加密,不同的人员分配不同的SSID,不同VLAN ID的SSID之间不能互访。
5. 由于只有三个无线接入群体,而TL-WA801N默认划分四个SSID,所以必然有一个SSID是无需使用的。有两种处理方式:
◆ 设置为无线接入较多群体使用的SSID,与其中一个SSID相同,加密也相同。
◆ 单独设置一个SSID,但是没有任何权限,同时进行无线加密,该SSID留作备用。这是此案例选择的处理方式。
【拓扑结构】
根据用户的需求,设计的网路拓扑结构如下图所示:
【详细配置方法】
1. 交换机TL-SL2428WEB端口分配
|
端口用途 |
端口编号 |
PVID |
Untag帧处理 |
|
高级管理人员 |
1、2、3、4、5 |
2 |
通过 |
|
一般工作人员 |
6、7、8、9、10 |
3 |
通过 |
|
客人 |
11、12、13、14、15 |
4 |
通过 |
|
TL-WA801N级联端口 |
21 |
5 |
通过 |
|
内部服务器 |
22、23 |
1 |
通过 |
|
TL-SL2428WEB级联端口 |
24 |
1 |
通过 |
|
备用端口 |
16、17、18、19、20 |
1 |
通过 |
2. TL-SL2428WEB VLAN划分
|
VLAN号 |
成员端口 |
出口规则 |
|
1 |
1--5、6--10、11--15、16--20、21、22--23、24 |
去tag |
|
2 |
1---5、21、22---23、24 |
去tag |
|
3 |
6---10、21、22---23 |
去tag |
|
4 |
11---15、21、24 |
去tag |
◆ TL-SL2428WEB VLAN模式配置截图如下:
◆ TL-SL2428WEB Tag VLAN全局配置截图如下:
3. TL-WA801N SSID分配及VLAN划分
|
无线用户群 |
SSID分配 |
VLAN划分 |
|
高级管理人员 |
SSID-2 |
VLAN2 |
|
一般工作人员 |
SSID-3 |
VLAN3 |
|
客人 |
SSID-4 |
VLAN4 |
|
暂未使用 |
SSID-1 |
VLAN1 |
TL-WA801N SSID及VLAN配置截图如下:
备注:TL-WA801N有线接口默认VLAN1,可以与所有无线VLAN通信。SSID可以根据客户需求自定义。SSID-1由于属于VLAN1,数据包经过有线口发出是不带Tag的,所以与交换机所有端口都不能通信,并且禁止使用,同时可以留作备用。
TL-WA801N各个SSID无线加密配置截图如下:
◆ 高级管理人员使用SSID-2无线或指定有线端口连接网络,可以同时访问外网和内部服务器;
◆ 一般工作人员使用SSID-3无线或指定有线端口连接网络,只能访问内部服务器;
◆ 外来客人使用SSID-4无线或指定有线端口连接网络,只能访问外网。
