無(wú)線網(wǎng)絡(luò)實(shí)施方案

無(wú)線辦公網(wǎng)絡(luò)項(xiàng)目實(shí)施方案無(wú)線辦公網(wǎng)絡(luò)項(xiàng)目實(shí)施方案無(wú)線辦公網(wǎng)絡(luò)項(xiàng)目實(shí)施方案無(wú)線辦公網(wǎng)絡(luò)實(shí)施方案H3C2012年7月文檔修訂記錄版本版本更新日期更新摘要V1.02012年８月２日V2.02012年８月５日更新AP、客戶端地址列表等信息V3.02012年８月10日更新中信廣場(chǎng)WX5004拓?fù)鋱D目錄第1章項(xiàng)目概況1.1項(xiàng)目背景11.2項(xiàng)目目標(biāo)11.3項(xiàng)目規(guī)模及設(shè)備數(shù)量1第2章項(xiàng)目計(jì)劃2.1工程進(jìn)度計(jì)劃22.2人力資源計(jì)劃5第3章網(wǎng)絡(luò)總體規(guī)劃3.1網(wǎng)絡(luò)拓?fù)鋱D63.2無(wú)線控制器的地址規(guī)劃及其命名73.1AP地址段規(guī)劃及其命名規(guī)則83.2無(wú)線SSID及其命名規(guī)劃103.3用戶地址段規(guī)劃123.4認(rèn)證方式的規(guī)劃133.5設(shè)備冗余方案總體規(guī)劃133.6無(wú)線信道及漫游14第4章設(shè)備安裝環(huán)境要求144.1AP安裝環(huán)境要求144.2無(wú)線控制器安裝環(huán)境要求154.3IMC服務(wù)器硬件要求15第5章總體工程實(shí)施配置方案165.1AP的物理安裝165.2AP注冊(cè)上線175.3無(wú)線用戶安全接入認(rèn)證185.4GUEST用戶無(wú)線接入安全解決方案185.5無(wú)線用戶漫游195.6訪客認(rèn)證、帳號(hào)管理20第6章無(wú)線網(wǎng)絡(luò)功能的配置實(shí)施206.1無(wú)線控制器上AP注冊(cè)206.2服務(wù)模板及無(wú)線空口（802.1X認(rèn)證+WPA2加密）等配置216.3RADIUS認(rèn)證配置216.4無(wú)線控制器熱備配置226.5跨無(wú)線控制器漫游配置226.6VIPTUNNEL配置236.7IMC訪客管理功能配置23第7章無(wú)線網(wǎng)管功能的實(shí)施24第8章無(wú)線AP的物理位置熱圖268.1廣州中信廣場(chǎng)AP的物理位置熱圖268.2廣州美銀大廈AP的物理位置熱圖28第9章測(cè)試方案28無(wú)線辦公網(wǎng)絡(luò)項(xiàng)目工程實(shí)施方案無(wú)線辦公網(wǎng)絡(luò)項(xiàng)目工程實(shí)施方案 第頁(yè)AP安裝時(shí)需要牢記的是：每裝一個(gè)AP，都要記錄下它的物理位置、AP名稱、序列號(hào)的對(duì)應(yīng)關(guān)系。5.2AP注冊(cè)上線在完成了前期的IP地址、VLAN與SSID的規(guī)劃和AP的物理安裝后，需要確定以下兩個(gè)條件確定PoE交換機(jī)相對(duì)應(yīng)的端口已經(jīng)打開(kāi)，這部分的工作可以在AP安裝時(shí)進(jìn)行，并記錄相關(guān)的交換機(jī)端口確定AP是通過(guò)二層注冊(cè)還是三層注冊(cè)方式。對(duì)于二層注冊(cè)，在控制器上手動(dòng)添加AP,AP拿到IP地址后就應(yīng)該可以注冊(cè)到控制器上；對(duì)于三層注冊(cè)，需要在DHCPServer上配置Option43參數(shù)來(lái)告訴AP控制器的IP地址，使其能順利注冊(cè)。確認(rèn)以上兩點(diǎn)條件后，開(kāi)始對(duì)無(wú)線控制器進(jìn)行添加AP等基本功能配置。配置完成后檢查所有AP是否已經(jīng)正常上線。如果發(fā)現(xiàn)AP還沒(méi)有上線的，需要通過(guò)Console口接入AP查看：AP是否獲得IP地址，AP是否通過(guò)Option43參數(shù)獲得了正確的控制器IP地址，AP是否能Ping通控制器等信息。排除相應(yīng)故障后，然后才進(jìn)入下一步工作。5.3無(wú)線用戶安全接入認(rèn)證完成SSID、用戶VLAN及IP網(wǎng)段配置，并測(cè)試確認(rèn)無(wú)線用戶能接入無(wú)線網(wǎng)絡(luò)后，需要添加無(wú)線用戶安全接入認(rèn)證機(jī)制。安利內(nèi)部員工使用域賬號(hào)通過(guò)WPA2加密+802.1x認(rèn)證接入無(wú)線網(wǎng)絡(luò)，控制器上需要配置無(wú)線802.1x認(rèn)證模式配置正確的Radius認(rèn)證參數(shù)跟微軟Radius服務(wù)器配合認(rèn)證訪客用戶使用從IMC上申請(qǐng)的訪客賬戶通過(guò)WPA2加密+Portal認(rèn)證接入無(wú)線網(wǎng)絡(luò)，控制器上需要配置無(wú)線Portal認(rèn)證模式配置正確的Radius認(rèn)證參數(shù)跟IMCUAM認(rèn)證服務(wù)器組件配合認(rèn)證。由于每個(gè)radius認(rèn)證服務(wù)器在控制器上都要對(duì)應(yīng)一個(gè)域名，且缺省域名只能有一個(gè)，所以為了區(qū)分不同的域，訪客必須攜帶域名進(jìn)行認(rèn)證。Guest用戶無(wú)線接入安全解決方案訪客用戶來(lái)到企業(yè)內(nèi)部需要使用網(wǎng)絡(luò)，但為了保證企業(yè)內(nèi)網(wǎng)的安全，最好的辦法就是將訪客用戶的流量與內(nèi)網(wǎng)業(yè)務(wù)流量從邏輯上隔離開(kāi)。本次項(xiàng)目使用H3CVIPTunnel技術(shù)來(lái)達(dá)到這一目的如下圖所示：在非安全區(qū)（例如DMZ區(qū)）部署WX3024E作為GuestAccessAC，本地ACWX5004與GuestAccessAC建立安全隧道VIPTunnel（內(nèi)網(wǎng)防火墻需要配置策略讓W(xué)X5004和WX3024E能互相通信建立起VIPTunnel,VIPTunnel同時(shí)使用TCP和UDP協(xié)議，端口號(hào)都是18001）。Guest用戶流量在LocalACWX5004上不終結(jié)Capwap隧道，而是通過(guò)Capwap隧道傳輸?shù)紾uestAccessAC，再?gòu)腉uestAccessAC上出外網(wǎng)，與其他數(shù)據(jù)隔離；無(wú)線用戶漫游無(wú)線用戶可以在同一控制器管理的多個(gè)AP間進(jìn)行二層和三層無(wú)縫漫游。對(duì)于部署多個(gè)AC的無(wú)線網(wǎng)絡(luò)，漫游可能發(fā)生在不同AC管理的AP間，為保證漫游的平滑進(jìn)行，需要開(kāi)啟跨AC的漫游支持功能。IACTP(InterAccessControllerTunnelingProtocol訪問(wèn)控制器間隧道協(xié)議)是H3C公司自主研發(fā)的協(xié)議，該協(xié)議在不同控制器間定義漫游組，屬于同一漫游組的無(wú)線控制器會(huì)同步接入用戶的信息，實(shí)現(xiàn)無(wú)線用戶在不同控制器間的平滑無(wú)縫漫游訪客認(rèn)證、帳號(hào)管理為了實(shí)現(xiàn)訪客賬號(hào)智能化分發(fā)，同時(shí)加強(qiáng)訪客賬號(hào)管理，本項(xiàng)目配置IMC訪客管理平臺(tái)配合短信貓來(lái)實(shí)現(xiàn)訪客賬號(hào)授權(quán)、審計(jì)以及短信分發(fā)。訪客來(lái)訪時(shí)需要到指定的訪客管理員（例如前臺(tái)文員）處填寫相關(guān)資料、登記手機(jī)號(hào)碼，此后訪客管理員登錄訪客管理平臺(tái)錄入相關(guān)信息、申請(qǐng)?jiān)L客接入賬號(hào)，申請(qǐng)成功后，IMC平臺(tái)會(huì)通過(guò)短信貓以短信的方式將訪客賬號(hào)發(fā)送給訪客本人。訪客賬號(hào)是有生效時(shí)間的，過(guò)期無(wú)效。同時(shí)IMC平臺(tái)也可限制訪客用戶接入無(wú)線網(wǎng)絡(luò)的位置，讓其只能在特定區(qū)域從從特定的AP接入無(wú)線網(wǎng)絡(luò)。第6章無(wú)線網(wǎng)絡(luò)功能的配置實(shí)施6.1無(wú)線控制器上AP注冊(cè)配置示例如下wlanapap1modelWA2620-AGNid1prioritylevel7//控制器冗余時(shí)，AP注冊(cè)優(yōu)先級(jí)，數(shù)值越大表示控制器優(yōu)先級(jí)越高。serial-id219801A0A89116G02796//AP序列號(hào)radio1radio26.2服務(wù)模板及無(wú)線空口（802.1x認(rèn)證+WPA2加密）等配置配置示例如下：wlanservice-template1cryptossidAmwayMobile//配置SSIDbindWLAN-ESS1cipher-suiteccmp//配置WPA2加密security-iersn//配置WPA2加密service-templateenable//使能服務(wù)模板interfaceWLAN-ESS1portlink-typehybrid//配置無(wú)線空口為Hybrid口porthybridvlan1102to103untagged//允許漫游VLAN通過(guò)mac-vlanenable//開(kāi)啟mac-vlanport-securityport-modeuserlogin-secure-ext//配置802.1x認(rèn)證port-securitytx-key-type11key//配置802.1x認(rèn)證undodot1xhandshake//握手必須關(guān)閉因?yàn)楹芏嗫蛻舳司W(wǎng)卡不支持undodot1xmulticast-trigger//組播也必須關(guān)閉6.3Radius認(rèn)證配置配置示例如下：radiusschemesystemprimaryauthentication10.143.16.205/配置Radius認(rèn)證服務(wù)器IP地址primaryaccounting10.143.16.205//配置Radius計(jì)費(fèi)服務(wù)器IP地址keyauthenticationcipherxz8n+yXxN+I=//配置認(rèn)證密鑰keyaccountingcipherxz8n+yXxN+I=//配置計(jì)費(fèi)密鑰user-name-formatwithout-domainnas-ip10.140.64.125domainsystemauthenticationlan-accessradius-schemesystemauthorizationlan-accessradius-schemesystemaccountinglan-accessradius-schemesystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable6.4無(wú)線控制器熱備配置配置示例如下：[c-gzdc-wc500401]：wlanbackup-acip192.168.1.2//配置熱備對(duì)端控制器IP地址hot-backupenabledomain1//使能熱備hot-backupvlan920//配置熱備VLANhot-backuphellointerval100//配置熱備心跳時(shí)間[c-gzdc-wc500402]：wlanbackup-acip192.168.1.1//配置熱備對(duì)端控制器IP地址hot-backupenabledomain1//使能熱備hot-backupvlan920//配置熱備VLANhot-backuphellointerval100//配置熱備心跳時(shí)間6.5跨無(wú)線控制器漫游配置[c-gzdc-wc500401]：wlanmobility-group1//配置漫游組memberip10.140.64.118//配置漫游組對(duì)端成員IPsourceip10.140.64.119//配置漫游組源IPmobility-groupenable//使能漫游組[c-gzdc-wc500402]：wlanmobility-group1//配置漫游組memberip10.140.64.119//配置漫游組對(duì)端成員IPsourceip10.140.64.118//配置漫游組源IPmobility-groupenable//使能漫游組6.6VIPTunnel配置[c-gzdc-wc500401]wlanmobility-group1//配置漫游組memberip10.140.64.119vlan4094//配置漫游組對(duì)端IP地址和隧道封裝用戶VLANsourceip10.140.64.118//配置漫游組源地址mobility-groupenable//使能漫游組[c-gzdc-wc500402]wlanmobility-group1//配置漫游組memberip10.140.64.118vlan4094//配置漫游組對(duì)端IP地址和隧道封裝用戶VLANsourceip10.140.64.119//配置漫游組源地址mobility-groupenable//使能漫游組6.7IMC訪客管理功能配置配置示例如下：同時(shí)可以在無(wú)線控制器上配置策略讓訪客用戶只能特定位置的特定AP同時(shí)可以在無(wú)線控制器上配置策略讓訪客用戶只能特定位置的特定AP接入無(wú)線網(wǎng)絡(luò)wlanap-group1//配置AP組apap1#wlanap-group2//配置AP組apap2#user-profileamway1//配置用戶策略wlanpermit-ap-group1//配置允許用戶接入的AP組user-profileamway2//配置用戶策略wlanpermit-ap-group2//配置允許用戶接入的AP組第7章無(wú)線網(wǎng)管功能的實(shí)施H3CIMC網(wǎng)管軟件支持豐富的無(wú)線網(wǎng)管特性。其支持無(wú)線熱圖繪制，如下圖所示：無(wú)線客戶端定位，如下圖所示：第8章無(wú)線網(wǎng)絡(luò)遷移方案為減少無(wú)線網(wǎng)絡(luò)割接對(duì)業(yè)務(wù)的影響，所有AP安裝、替換都需在晚上進(jìn)行。替換時(shí)應(yīng)遵循如下原則：1：安利（中國(guó)）方需提前發(fā)無(wú)線業(yè)務(wù)中斷通知，以方便施工隊(duì)晚上開(kāi)始進(jìn)行AP替換安裝。2：所有AP都裝在會(huì)