关于商超网络部署参考
2022-07-10 02:38:22

本案适用于规模较大(用户数可达5000左右)的商超场景。

用户接入需求
为商超办公员工提供有线和无线接入方式。
为店铺员工、POS机终端和顾客提供无线接入方式。
商超网络的接入用户可以访问Internet。
商超网络与总部之间通过IPSec VPN互联。针对商超办公有线用户,访问总部的数据流需要通过IPSec VPN加密。
区分不同类型的用户,访问Internet时进行带宽限制:POS机终端和有线办公员
不做带宽限制,商超办公无线用户、店铺员工、普通顾客和VIP顾客分别限制带宽为4Mbps、2Mbps、1Mbps和3Mbps。

接入认证需求
简化认证,实现“一次认证,多次接入”服务。
无线漫游需求
无缝漫游,业务不中断,用户无需重新认证。安全性需求
防止非法设备、非法攻击入侵网络,配合认证系统,满足安全合规要求。禁止外网用户访问内网。
商超办公有线用户能够访问Internet,但不能在Internet上玩游戏和观看网络视频。
针对POS机无线终端的接入网络,希望配置隐藏功能,提高安全性。
可靠性需求
需要提供备份功能,网络中链路或设备出现故障时,保证网络业务不中断。
运维管理需求
要求对用户的上网行为进行统一管理、简化运维。
图1 中大型商超场景组网图

网络设计分析
用户接入需求
出口防火墙USG6650承担外网出口业务,隔离内外网区域。为了使内网用户访问外网,在USG6650上配置NAT,实现私网地址和公网地址之间的转换。
配置基于用户组的带宽策略,为不同用户组提供不同带宽。USG6650作为出口防火墙,通过配置IPSec VPN实现与总部互联。核心交换机S7706,作为有线用户和无线用户的网关,通过DHCP方式为用户终端分配IP地址。在S7706上对不同类型用户区分不同网段,执行ACL策略,用于管理不同用户群的网络权限。VIP顾客与普通顾客部署在同一SSID中,通过AgileControllerCampus授权动态VLAN来区分权限。AC6605上配置WLAN基本业务,作为DHCP服务器为AP分配IP地址,管理全网AP上线。
接入认证需求
针对商超办公有线用户,在S7706上配置有线接入认证方式为MAC+Portal混合认证。
针对无线用户,在AC6605上部署无线接入认证方式为MAC+Portal混合认证。
在Agile Controller-Campus上配置MAC优先认证,实现“一次认证,多次接入”服务。
无线漫游需求在AC6605上配置无线智能漫游功能,实现无缝漫游。
安全性需求
在USG6650上配置安全策略,对流量进行过滤,禁止外网用户访问内网,
商超办公有线用户能够访问Internet,但不能在Internet上玩游戏和观看网络视频。开启DDOS攻击防范功能,防止非法设备、非法攻击入侵网络。部署上网行为审计,对用户的上网行为记录日志,供管理员后续进行审查和分析。
在S7706上配置防攻击功能:用户级限速、基于端口的防攻击、攻击溯源功能。在AC6605上分别配置多个SSID,将各种业务进行隔离,不同SSID绑定不同的业务VLAN,实现无线用户隔离。
针对POS机专用SSID,配置隐藏功能,并部署终端省电状态抑制功能。配置广播泛洪检测与抑制功能。在S5720-56C-PWR-EI-AC连接AP的接口上
配置端口隔离、无线组播报文抑制功能。在S5700-28P-PWR-LI-AC上配置DHCP Snooping,防止非法用户接入。
可靠性需求
USG6650部署主备方式的双机热备,防火墙连接核心交换机和Internet分别采用VRRP部署,保证业务不中断。核心交换机S7706部署集群,保证设备级可靠性。配置多主检测,可以检测并处理集群分裂时网络中出现的多主冲突。汇聚交换机S5720-56C-PWR-EI-AC部署堆叠,保证设备级可靠性。S7706与USG6650、S7706与AC6605、S5720-56C-PWR-EI-AC与S7706之间分别采用Eth-Trunk互连,提高链路可靠性。AC6605旁挂式部署,配置1+1 VRRP备份,保证设备级可靠性。
运维管理需求
通过Agile Controller-Campus,实现策略的统一控制和用户行为的统一管理。
通过eSight实现设备的统一管理。
方案涉及产品的软件版本要求