無線網(wǎng)絡(luò)實施方案

無線辦公網(wǎng)絡(luò)項目實施方案無線辦公網(wǎng)絡(luò)項目實施方案無線辦公網(wǎng)絡(luò)項目實施方案無線辦公網(wǎng)絡(luò)實施方案H3C2012年7月文檔修訂記錄版本版本更新日期更新摘要V1.02012年８月２日V2.02012年８月５日更新AP、客戶端地址列表等信息V3.02012年８月10日更新中信廣場WX5004拓撲圖目錄第1章項目概況1.1項目背景11.2項目目標(biāo)11.3項目規(guī)模及設(shè)備數(shù)量1第2章項目計劃2.1工程進度計劃22.2人力資源計劃5第3章網(wǎng)絡(luò)總體規(guī)劃3.1網(wǎng)絡(luò)拓撲圖63.2無線控制器的地址規(guī)劃及其命名73.1AP地址段規(guī)劃及其命名規(guī)則83.2無線SSID及其命名規(guī)劃103.3用戶地址段規(guī)劃123.4認(rèn)證方式的規(guī)劃133.5設(shè)備冗余方案總體規(guī)劃133.6無線信道及漫游14第4章設(shè)備安裝環(huán)境要求144.1AP安裝環(huán)境要求144.2無線控制器安裝環(huán)境要求154.3IMC服務(wù)器硬件要求15第5章總體工程實施配置方案165.1AP的物理安裝165.2AP注冊上線175.3無線用戶安全接入認(rèn)證185.4GUEST用戶無線接入安全解決方案185.5無線用戶漫游195.6訪客認(rèn)證、帳號管理20第6章無線網(wǎng)絡(luò)功能的配置實施206.1無線控制器上AP注冊206.2服務(wù)模板及無線空口（802.1X認(rèn)證+WPA2加密）等配置216.3RADIUS認(rèn)證配置216.4無線控制器熱備配置226.5跨無線控制器漫游配置226.6VIPTUNNEL配置236.7IMC訪客管理功能配置23第7章無線網(wǎng)管功能的實施24第8章無線AP的物理位置熱圖268.1廣州中信廣場AP的物理位置熱圖268.2廣州美銀大廈AP的物理位置熱圖28第9章測試方案28無線辦公網(wǎng)絡(luò)項目工程實施方案無線辦公網(wǎng)絡(luò)項目工程實施方案 第頁AP安裝時需要牢記的是：每裝一個AP，都要記錄下它的物理位置、AP名稱、序列號的對應(yīng)關(guān)系。5.2AP注冊上線在完成了前期的IP地址、VLAN與SSID的規(guī)劃和AP的物理安裝后，需要確定以下兩個條件確定PoE交換機相對應(yīng)的端口已經(jīng)打開，這部分的工作可以在AP安裝時進行，并記錄相關(guān)的交換機端口確定AP是通過二層注冊還是三層注冊方式。對于二層注冊，在控制器上手動添加AP,AP拿到IP地址后就應(yīng)該可以注冊到控制器上；對于三層注冊，需要在DHCPServer上配置Option43參數(shù)來告訴AP控制器的IP地址，使其能順利注冊。確認(rèn)以上兩點條件后，開始對無線控制器進行添加AP等基本功能配置。配置完成后檢查所有AP是否已經(jīng)正常上線。如果發(fā)現(xiàn)AP還沒有上線的，需要通過Console口接入AP查看：AP是否獲得IP地址，AP是否通過Option43參數(shù)獲得了正確的控制器IP地址，AP是否能Ping通控制器等信息。排除相應(yīng)故障后，然后才進入下一步工作。5.3無線用戶安全接入認(rèn)證完成SSID、用戶VLAN及IP網(wǎng)段配置，并測試確認(rèn)無線用戶能接入無線網(wǎng)絡(luò)后，需要添加無線用戶安全接入認(rèn)證機制。安利內(nèi)部員工使用域賬號通過WPA2加密+802.1x認(rèn)證接入無線網(wǎng)絡(luò)，控制器上需要配置無線802.1x認(rèn)證模式配置正確的Radius認(rèn)證參數(shù)跟微軟Radius服務(wù)器配合認(rèn)證訪客用戶使用從IMC上申請的訪客賬戶通過WPA2加密+Portal認(rèn)證接入無線網(wǎng)絡(luò)，控制器上需要配置無線Portal認(rèn)證模式配置正確的Radius認(rèn)證參數(shù)跟IMCUAM認(rèn)證服務(wù)器組件配合認(rèn)證。由于每個radius認(rèn)證服務(wù)器在控制器上都要對應(yīng)一個域名，且缺省域名只能有一個，所以為了區(qū)分不同的域，訪客必須攜帶域名進行認(rèn)證。Guest用戶無線接入安全解決方案訪客用戶來到企業(yè)內(nèi)部需要使用網(wǎng)絡(luò)，但為了保證企業(yè)內(nèi)網(wǎng)的安全，最好的辦法就是將訪客用戶的流量與內(nèi)網(wǎng)業(yè)務(wù)流量從邏輯上隔離開。本次項目使用H3CVIPTunnel技術(shù)來達到這一目的如下圖所示：在非安全區(qū)（例如DMZ區(qū)）部署WX3024E作為GuestAccessAC，本地ACWX5004與GuestAccessAC建立安全隧道VIPTunnel（內(nèi)網(wǎng)防火墻需要配置策略讓W(xué)X5004和WX3024E能互相通信建立起VIPTunnel,VIPTunnel同時使用TCP和UDP協(xié)議，端口號都是18001）。Guest用戶流量在LocalACWX5004上不終結(jié)Capwap隧道，而是通過Capwap隧道傳輸?shù)紾uestAccessAC，再從GuestAccessAC上出外網(wǎng)，與其他數(shù)據(jù)隔離；無線用戶漫游無線用戶可以在同一控制器管理的多個AP間進行二層和三層無縫漫游。對于部署多個AC的無線網(wǎng)絡(luò)，漫游可能發(fā)生在不同AC管理的AP間，為保證漫游的平滑進行，需要開啟跨AC的漫游支持功能。IACTP(InterAccessControllerTunnelingProtocol訪問控制器間隧道協(xié)議)是H3C公司自主研發(fā)的協(xié)議，該協(xié)議在不同控制器間定義漫游組，屬于同一漫游組的無線控制器會同步接入用戶的信息，實現(xiàn)無線用戶在不同控制器間的平滑無縫漫游訪客認(rèn)證、帳號管理為了實現(xiàn)訪客賬號智能化分發(fā)，同時加強訪客賬號管理，本項目配置IMC訪客管理平臺配合短信貓來實現(xiàn)訪客賬號授權(quán)、審計以及短信分發(fā)。訪客來訪時需要到指定的訪客管理員（例如前臺文員）處填寫相關(guān)資料、登記手機號碼，此后訪客管理員登錄訪客管理平臺錄入相關(guān)信息、申請訪客接入賬號，申請成功后，IMC平臺會通過短信貓以短信的方式將訪客賬號發(fā)送給訪客本人。訪客賬號是有生效時間的，過期無效。同時IMC平臺也可限制訪客用戶接入無線網(wǎng)絡(luò)的位置，讓其只能在特定區(qū)域從從特定的AP接入無線網(wǎng)絡(luò)。第6章無線網(wǎng)絡(luò)功能的配置實施6.1無線控制器上AP注冊配置示例如下wlanapap1modelWA2620-AGNid1prioritylevel7//控制器冗余時，AP注冊優(yōu)先級，數(shù)值越大表示控制器優(yōu)先級越高。serial-id219801A0A89116G02796//AP序列號radio1radio26.2服務(wù)模板及無線空口（802.1x認(rèn)證+WPA2加密）等配置配置示例如下：wlanservice-template1cryptossidAmwayMobile//配置SSIDbindWLAN-ESS1cipher-suiteccmp//配置WPA2加密security-iersn//配置WPA2加密service-templateenable//使能服務(wù)模板interfaceWLAN-ESS1portlink-typehybrid//配置無線空口為Hybrid口porthybridvlan1102to103untagged//允許漫游VLAN通過mac-vlanenable//開啟mac-vlanport-securityport-modeuserlogin-secure-ext//配置802.1x認(rèn)證port-securitytx-key-type11key//配置802.1x認(rèn)證undodot1xhandshake//握手必須關(guān)閉因為很多客戶端網(wǎng)卡不支持undodot1xmulticast-trigger//組播也必須關(guān)閉6.3Radius認(rèn)證配置配置示例如下：radiusschemesystemprimaryauthentication10.143.16.205/配置Radius認(rèn)證服務(wù)器IP地址primaryaccounting10.143.16.205//配置Radius計費服務(wù)器IP地址keyauthenticationcipherxz8n+yXxN+I=//配置認(rèn)證密鑰keyaccountingcipherxz8n+yXxN+I=//配置計費密鑰user-name-formatwithout-domainnas-ip10.140.64.125domainsystemauthenticationlan-accessradius-schemesystemauthorizationlan-accessradius-schemesystemaccountinglan-accessradius-schemesystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable6.4無線控制器熱備配置配置示例如下：[c-gzdc-wc500401]：wlanbackup-acip192.168.1.2//配置熱備對端控制器IP地址hot-backupenabledomain1//使能熱備hot-backupvlan920//配置熱備VLANhot-backuphellointerval100//配置熱備心跳時間[c-gzdc-wc500402]：wlanbackup-acip192.168.1.1//配置熱備對端控制器IP地址hot-backupenabledomain1//使能熱備hot-backupvlan920//配置熱備VLANhot-backuphellointerval100//配置熱備心跳時間6.5跨無線控制器漫游配置[c-gzdc-wc500401]：wlanmobility-group1//配置漫游組memberip10.140.64.118//配置漫游組對端成員IPsourceip10.140.64.119//配置漫游組源IPmobility-groupenable//使能漫游組[c-gzdc-wc500402]：wlanmobility-group1//配置漫游組memberip10.140.64.119//配置漫游組對端成員IPsourceip10.140.64.118//配置漫游組源IPmobility-groupenable//使能漫游組6.6VIPTunnel配置[c-gzdc-wc500401]wlanmobility-group1//配置漫游組memberip10.140.64.119vlan4094//配置漫游組對端IP地址和隧道封裝用戶VLANsourceip10.140.64.118//配置漫游組源地址mobility-groupenable//使能漫游組[c-gzdc-wc500402]wlanmobility-group1//配置漫游組memberip10.140.64.118vlan4094//配置漫游組對端IP地址和隧道封裝用戶VLANsourceip10.140.64.119//配置漫游組源地址mobility-groupenable//使能漫游組6.7IMC訪客管理功能配置配置示例如下：同時可以在無線控制器上配置策略讓訪客用戶只能特定位置的特定AP同時可以在無線控制器上配置策略讓訪客用戶只能特定位置的特定AP接入無線網(wǎng)絡(luò)wlanap-group1//配置AP組apap1#wlanap-group2//配置AP組apap2#user-profileamway1//配置用戶策略wlanpermit-ap-group1//配置允許用戶接入的AP組user-profileamway2//配置用戶策略wlanpermit-ap-group2//配置允許用戶接入的AP組第7章無線網(wǎng)管功能的實施H3CIMC網(wǎng)管軟件支持豐富的無線網(wǎng)管特性。其支持無線熱圖繪制，如下圖所示：無線客戶端定位，如下圖所示：第8章無線網(wǎng)絡(luò)遷移方案為減少無線網(wǎng)絡(luò)割接對業(yè)務(wù)的影響，所有AP安裝、替換都需在晚上進行。替換時應(yīng)遵循如下原則：1：安利（中國）方需提前發(fā)無線業(yè)務(wù)中斷通知，以方便施工隊晚上開始進行AP替換安裝。2：所有AP都裝在會