无线网络实施方案.doc

无线办公网络实施方案H3C2012年7月文档修订记录版本更新日期更新摘要V1.02012年月日V2.02012年月日更新AP、客户端地址列表等信息V3.02012年月10日更新中信广场WX5004拓扑图目录第1章 项目概况11.1 项目背景11.2 项目目标11.3 项目规模及设备数量1第2章 项目计划22.1 工程进度计划22.2 人力资源计划4第3章 网络总体规划53.1 网络拓扑图53.2 无线控制器的地址规划及其命名63.1 AP地址段规划及其命名规则63.2 无线SSID及其命名规划93.3 用户地址段规划93.4 认证方式的规划103.5 设备冗余方案总体规划113.6 无线信道及漫游11第4章 设备安装环境要求124.1 AP安装环境要求124.2 无线控制器安装环境要求124.3 IMC服务器硬件要求13第5章 总体工程实施配置方案135.1 AP的物理安装135.2 AP注册上线155.3 无线用户安全接入认证155.4 Guest用户无线接入安全解决方案165.5 无线用户漫游175.6 访客认证、帐号管理17第6章 无线网络功能的配置实施186.1 无线控制器上AP注册186.2 服务模板及无线空口（802.1x认证+WPA2加密）等配置186.3 Radius认证配置196.4 无线控制器热备配置196.5 跨无线控制器漫游配置206.6 VIP Tunnel配置206.7 IMC访客管理功能配置21第7章 无线网管功能的实施22第8章 无线AP的物理位置热图238.1 广州中信广场AP的物理位置热图238.2 广州美银大厦AP的物理位置热图25第9章 测试方案25第1章 项目概况1.1 项目背景本方案采用H3C的无线网络产品系列集中式、可管理架构的无线局域网架构解决方案来实现无线网络的部署，为安利（中国）办公、会议场所部署无线覆盖，同时将最新的行业标准与一种集中架构和先进功能结合起来，创建一种安全、经济有效并且极具扩展性的无线局域网(WLAN)基础设施。1.2 项目目标 安利（中国）在广州中信广场、上海分部、北京分部等办公和会议场所部署全无线网络，提供如下服务：无线宽带接入服务：用户可以享受真正的“无线”自由的体验，可以在办公室和楼内随时随地通过支持Wi-Fi的笔记本电脑/iPad/智能手机/台式PC享受无线网络服务，如网络办公，Email等。同时，为用户省却了布线的费用和烦恼。移动办公室：利用无线网络的大面积覆盖能力，可以将楼内的办公区和会议区无缝连接在一起，工作人员可以在楼内随时随地接入网络进行信息查询，办公应用，通信联络等。 1.3 项目规模及设备数量H3C 设备列表：序号产品代码产品名称数量1AC（Citic）EWP-WX5004-H3H3C WX5004-4端口千兆Combo无线控制器2LSKM2150A150W 交流电源模块4LIS-WX-32-A高性能无线控制器license费用-管理32AP22AC（Other Sites）EWP-WX3024E-POEPH3C WX3024E-PoEP-24端口千兆(4 SFP Combo+Slot插槽+PoE Plus)有线无线一体化交换机4311n无线APEWP-WA2620i-AGNH3C WA2620i-AGN-802.11n无线局域网智能室内放装型2.4/5GHz双频接入点694网络管理软件SWP-IMC-IMPH3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD)1LIS-IMC-IMPA-25H3C iMC-智能管理平台标准版管理25节点License费用1SWP-IMC-WSMH3C iMC-WSM无线业务管理组件-纯软件(CD)1LIS-IMC-WSMC-100H3C iMC-WSM无线业务管理组件管理100台Fit AP设备License费用15访客管理软件SWP-IMC-UAMH3C iMC-UAM用户接入管理组件(不含用户)-纯软件(CD)1LIS-IMC-UAMA-1KH3C iMC-UAM用户接入管理组件管理1000用户License费用1设备在各区域预期分布情况： 设备区域ACAP备注广州中信广场3广州美银大厦广州国贸上海办公室1上海研发中心1北京办公室1第2章 项目计划2.1 工程进度计划任务名称任务分解开始时间计划完成时间责任人特殊情况说明工程开工会工程开工会2012年7月26日2012年7月26日 李旋飞网络实施方案输出及施工前准备AP点位及数量确定2012年8月2日2012年8月2日张国友/Kim控制器IP地址、AP VLAN号、SSID、用户IP网段确定2012年8月2日2012年8月2日张国友/Kim/IvanAP 名称、序列号录入2012年8月2日2012年8月3日张国友AP安装支架购买2012年8月2日2012年8月8日李旋飞网络设备及支架发货至北京、上海2012年8月2日2012年8月8日张国友/Kim无线控制器与现网设备端口互联图2012年8月2日2012年8月2日李旋飞网络实施方案（包括测试方案）定稿2012年8月3日2012年8月5日李旋飞/张国友中信广场Site Survey2012年8月3日2012年8月3日张国友/KimVIP Tunnel通信端口及短信平台与IMC集成确认2012年8月2日2012年8月3日李旋飞VIP Tunnel通信端口已确定；IMC目前不能与短信平台配合，需要购买短信猫设备安装实施无线控制器及IMC软件安装2012年8月6日2012年8月6日张国友/李旋飞/Kim访客Portal认证页面定制2012年8月6日2012年8月8日Kim/李旋飞上海、北京Site Survey2012年8月6日2012年8月7日崔念青、李建铿需要Kim事先确认安利上海、北京接口人，确定时间广州中信广场31层会议室安装2012/8/7日2012/8/7日张国友/Kim中信广场安装期间，Kim/李旋飞完成美银大厦和国贸大厦site survey广州中信广场40、41层会议室安装2012年8月8日2012年8月8日张国友/Kim广州中信广场43、44、58层会议室安装2012年8月9日2012年8月10日张国友/Kim北京办公室AP安装/美银大厦办公室AP安装2012年8月13日2012年8月14日张国友/李旋飞/Kim美银大厦和北京两地安装同时进行。Kim、李旋飞到北京现场支持安装（布线工人到现场)/张国友负责美银大厦安装上海研发中心AP安装/国贸大厦AP安装2012年8月15日2012年8月16日张国友/李旋飞/Kim国贸大厦和上海两地安装同时进行。Kim、李旋飞到上海现场支持安装(布线工人到现场）/张国友负责国贸大厦安装上海办公室AP安装/国贸大厦AP安装2012年8月17日2012年8月17日张国友/李旋飞/Kim国贸大厦和上海两地安装同时进行。Kim、李旋飞到上海现场支持安装（布线工人到现场)/张国友负责国贸大厦安装 2012年8月17日所有网络设备安装全部完成网络测试三地网络测试同时进行2012年8月20日2012年8月21日张国友/李旋飞/崔念青/李建铿/Kim遗留问题排查遗留问题排查2012年8月22日2012年8月24日张国友/李旋飞/崔念青/李建铿/Kim2.2 人力资源计划安利（中国）无线网络项目领导小组H3C项目领导小组H3C项目经理/技术负责人 李旋飞 张国友广州实施接口人上海实施接口人人人供应链产品支持备件中心安利项目经理Kim He技术专家项目组成员H3C项目执行小组安利项目执行小组北京实施接口人第3章 网络总体规划广州地区AC、AP部署：广州地区有4个Site（GZ Citic Office, GZ BoA Office,GZ Guomao Office, GZ Manufactory Warehouse and Office）需要部署AP. 广州地区部署两台Central AC WX5004，两台AC间实现毫秒级热备，广州地区所有AP都注册到Central AC上。异地（北京、上海）AC部署：异地与广州之间线路带宽较为紧张（10M），为减少Capwap开销，在上海office、上海R&D、北京office分别部署Local AC。上海、北京的AC通过广州AC做普通备份，上海、北京的AP优先注册在本地AC上，当本地AC故障时切换到广州的备份AC上。AP转发模式：各个Site所有应用均集中在广州Citic DC，但各个Site有本地打印需求,且所有客户均有漫游需求，因此所有AP均采用集中转发模式；AP选择：本项目配置双频AP WA2620I，扩大容量、5G频段更好兼容智能终端； 无线安全：本项目配置802.1x认证，安利自己员工使用微软Radius认证服务器做认证，访客用户使用H3C IMC UAM组件做接入认证。 Guest用户管理：在广州部署1台Guest AC，配合UAM，通过VIP Tunnel方式提高访客无线接入安全性； 管理维护：IMC平台实现无线控制器管理，WSM组件实现无线网络设备管理，UAM实现用户接入控制管理； 3.1 网络拓扑图整体组网图如下： 3.2 无线控制器的地址规划及其命名无线控制器的地址规划如下：序号所在的位置无线控制器名称IP地址管理VLAN网关1广州中信广场数据中心c-gzdc-wc50040110.140.64.125/23 VRRP虚地址为10.140.64.120VLAN91010.140.64.652广州中信广场数据中心c-gzdc-wc50040210.140.64.126/23 VRRP虚地址为10.140.64.120VLAN91010.140.64.653广州中信广场数据中心c-gzdc-wc3024e014上海办公室h-shdc-wc3024e0110.142.32.126/26VLAN 90110.142.32.655上海研发中心0-shrd-wc3024e0110.142.64.126/26VLAN 90110.142.64.656北京办公室b-bjdc-wc3024e0110.141.32.126/23VLAN 90110.141.32.653.1 AP地址段规划及其命名规则AP通过平安内部DHCP服务器动态获取IP地址,网段为 10.23.126.XX/24 序号区域大厦楼层地理位置AP名称S/N序列号所属VLANIP地址段1广州31F会议室o_gzdc_wa2620i3101219801A0CMC1250003512多功能展示厅o_gzdc_wa2620i3102219801A0CMC1250002843o_gzdc_wa2620i3103219801A0CMC125000313440F1#会议室o_gzdc_wa2620i4001219801A0CMC12500032852#会议室o_gzdc_wa2620i4002219801A0CMC12500027263#会议室o_gzdc_wa2620i4003219801A0CMC12500040074#会议室o_gzdc_wa2620i4004219801A0CMC12500040185#会议室o_gzdc_wa2620i4005219801A0CMC125000439941F1号会议室o_gzdc_wa2620i4101219801A0CMC12500038710党员活动室o_gzdc_wa2620i4102219801A0CMC12500039911行政会议室o_gzdc_wa2620i4103219801A0CMC125000389125号会议室o_gzdc_wa2620i4104219801A0CMC1250003971343F1号会议室o_gzdc_wa2620i4301219801A0CMC125000396142号会议室o_gzdc_wa2620i4302219801A0CMC125000459153号会议室o_gzdc_wa2620i4303219801A0CMC125000452164号会议室o_gzdc_wa2620i4304219801A0CMC125000460175号会议室o_gzdc_wa2620i4305219801A0CMC1250004411844F1号会议室o_gzdc_wa2620i4401219801A0CMC125000448192号会议室o_gzdc_wa2620i4402219801A0CMC125000463203号会议室o_gzdc_wa2620i4403219801A0CMC125000449214号会议室o_gzdc_wa2620i4404219801A0CMC1250004512258F1号会议室o_gzdc_wa2620i5801219801A0CMC125000433232号会议室o_gzdc_wa2620i5802219801A0CMC125000426243号会议室o_gzdc_wa2620i5803219801A0CMC125000434254号会议室o_gzdc_wa2620i5804219801A0CMC125000437266号会议室o_gzdc_wa2620i5806219801A0CMC12500041627美银10F南多功能展示厅o_gzba_wa2620i1001219801A0CMC12500042028o_gzba_wa2620i1002219801A0CMC1250004302910F北会议室o_gzba_wa2620i1003219801A0CMC12500042330会议室o_gzba_wa2620i1004219801A0CMC12500040931国贸19F会议室o_gzba_wa2620i1901219801A0CMC12500042232大会议室o_gzba_wa2620i1902219801A0CMC12500041833o_gzba_wa2620i1903219801A0CMC12500041234北京办公区11F会议室o_bjdc_wa2620i1101219801A0CMC12500041735会议室o_bjdc_wa2620i1102219801A0CMC12500042136会议室o_bjdc_wa2620i1103219801A0CMC12500042737大会议室o_bjdc_wa2620i1104219801A0CMC12500041938o_bjdc_wa2620i1105219801A0CMC12500021439会议室o_bjdc_wa2620i1106219801A0CMC12500022340中会议室o_bjdc_wa2620i1107219801A0CMC12500018841东方广场15F小会议室1o_bjdc_wa2620i1501219801A0CMC12500022642小会议室2o_bjdc_wa2620i1502219801A0CMC12500022443小会议室3o_bjdc_wa2620i1503219801A0CMC12500022044中会议室o_bjdc_wa2620i1504219801A0CMC12500021345上海张江研发中心 2F2号会议室o_shrd_wa2620i0202219801A0CMC125000394 463号会议室o_shrd_wa2620i0203219801A0CMC125000393 47 3F1号会议室o_shrd_wa2620i0301219801A0CMC125000382 482号会议室o_shrd_wa2620i0302219801A0CMC12500038149企业天地18F1号会议室o_shdc_wa2620i1801219801A0CMC125000222503号会议室o_shdc_wa2620i1803219801A0CMC125000366514号会议室o_shdc_wa2620i1804219801A0CMC125000365525号会议室o_shdc_wa2620i1805219801A0CMC125000352536号会议室o_shdc_wa2620i1806219801A0CMC125000362542号会议室o_shdc_wa2620i1807219801A0CMC12500035655o_shdc_wa2620i1808219801A0CMC12500036456企业天地19F1号会议室o_shrd_wa2620i1901（门牌号005）219801A0CMC125000363562号会议室o_shrd_wa2620i1902(门牌号009)219801A0CMC12500037357大会议室o_shrd_wa2620i1903219801A0CMC12500039158o_shrd_wa2620i1904219801A0CMC1250003923.2 无线SSID及其命名规划SSID是无线服务的标识，直接反映接入服务的属性。SSID可以按照服务对象、地点等信息来命名。SSID作如下列表规划：序号用途SSIDVLAN备注1安利内部员工接入 awn2VLAN402(31,40楼), VLAN403(41,43楼),VLAN404（44,58楼）中信2访客接入Amway-GuestVLAN 405中信iPhone,iPad等手持终端接入MobileNetVLAN 406中信3安利内部员工接入awn2VLAN 407国贸4访客接入Amway-GuestVLAN 408国贸5iPhone,iPad等手持终端接入MobileNetVLAN 409国贸6安利内部员工接入awn2VLAN 410美银7访客接入Amway-GuestVLAN 411美银8iPhone,iPad等手持终端接入MobileNetVLAN 412美银9安利内部员工接入awn2VLAN 402上海办公室10访客接入Amway-GuestVLAN 413上海办公室11iPhone,iPad等手持终端接入MobileNetVLAN 404上海办公室12安利内部员工接入awn2VLAN 402上海研发中心13访客接入Amway-GuestVLAN 415上海研发中心14iPhone,iPad等手持终端接入MobileNetVLAN 404上海研发中心15安利内部员工接入 awn2VLAN 402北京办公室16访客接入 Amway-GuestVLAN 417北京办公室17iPhone,iPad等手持终端接入 MobileNetVLAN 404北京办公室注意: 区分大小写3.3 AP地址规划序号AP物理位置AP IP地址网段AP所属VLAN1中信广场10.140.144.0/24VLAN4012美银VLAN4013国贸VLAN4014上海办公室10.142.50.0/24VLAN4015上海研发中心10.142.74.0/24VLAN4016北京办公室VLAN4013.4 用户地址段规划 用户指定IP地址段为： XX.XX.XX.XX YY.YY.YY.YY , 通过采用控制器的DHCP功能，或外部的DHCP服务器，建议采用外部的DHCP服务器。无线用户网关都配置在无线控制器的上联交换机上，无线控制器对用户VLAN作二层Trunk透传。 可以跟据不同的SSID对应不同VLAN的IP地址池序号地址段VLANSSID备注110.140.145.0/2410.140.146.0/2410.140.147.0/24VLAN402(31,40楼), VLAN403(41,43楼),VLAN404（44,58楼） awn2中信210.140.148.0/24VLAN 405Amway-Guest中信310.140.149.0/24VLAN 406MobileNet中信410.140.150.0/24VLAN 407awn2国贸510.140.151.0/24VLAN 408Amway-Guest国贸610.140.152.0/24VLAN 409MobileNet国贸710.140.153.0/24VLAN 410awn2美银810.140.154.0/24VLAN 411Amway-Guest美银910.140.155.0/24VLAN 412MobileNet美银1010.142.47.0/24VLAN 402awn2上海办公室1110.142.48.0/24VLAN 413Amway-Guest上海办公室1210.142.49.0/24VLAN 404MobileNet上海办公室1310.142.70.0/24VLAN 402awn2上海研发中心1410.142.71.0/24VLAN 415Amway-Guest上海研发中心1510.142.73.0/24VLAN 404MobileNet上海研发中心1610.141.47.0/24VLAN 402 awn2北京办公室1710.141.48.0/24VLAN 417 Amway-Guest北京办公室1810.141.49.0/24VLAN 404 MobileNet北京办公室3.5 认证方式的规划安利内部员工接入采用原有的微软Radius认证服务器，三地的无线控制器与Radius认证服务器联动，对内部员工用户身份资料进行802.1x身份认证。访客接入采用IMC UAM认证接入组件，三地的无线控制器与IMC UAM认证服务器联动，对访客用户身份资料进行Portal身份认证。序号SSID认证方式备注1Awn2 802.1x 安利内部员工接入2 Amway-Guest Portal访客接入3 MobileNet 802.1xiPad,iPhone等手持终端接入43.6 设备冗余方案总体规划广州地区部署两台Central AC WX5004，两台AC间实现毫秒级热备。在上海office、上海R&D、北京office分别部署Local WX3024E AC。上海、北京的AC通过广州AC WX5004做普通备份，上海、北京的AP优先注册在本地AC WX3024E上，当本地AC故障时切换到广州的备份AC上。；地点控制器主备备机归属地广州中信广场WX5004 2台互相热备本地北京办公室 WX3024E主广州中信广场WX5004上海办公室 WX3024E主广州中信广场WX5004上海研发中心WX3024E主广州中信广场WX5004广州中信广场数据中心WX3024E(Guest Access AC)无3.7 无线信道及漫游虽然在2.4G和5.8G 中的802.11标准的无线频点各有13个，但由于设计为相互不重叠的3个频点（一般设计工作在1，6，11这三个完全不重叠的频点），这样使得频点配置工程十分必要。合理的进行信道规划，降低同频干扰，同时楼之间的泄漏信号干扰也要考虑在内。信道建议采用手动指定AP的频点。在同一个SSID，信号覆盖到的情况下，可以使客户端进行二、三漫游。第4章 设备安装环境要求4.1 AP安装环境要求1.高温、多尘、有害气体、易燃、易爆、易受电磁干扰及电压不稳定、震动大或强噪音的环境不利于AP的设备安装；2.设备应安装在比较干燥的地方，严禁在易积水、渗水、滴漏、结露等地方进行设备安装；3.如果上交换机为以太网供电交换机，则不需增加POE供电模块，直接用网线对AP设备进行供电；如果采用本地交流供电，电源要求为220V，波形失真小于5%4.设备的工作温度、湿度环境如下：项目取值范围典型值标准工作环境温度（室内）0-45摄氏度25摄氏度标准工作环境温度（室外）-30-55摄氏度25摄氏度存储温度-20-45摄氏度25摄氏度相对湿度10%-95%55% 4.2 无线控制器安装环境要求1.机房温、湿度的要求如下： 温度：18-28摄氏度，温度变化率小于5摄氏度/小时 相对湿度：40-70%，不结霜。 2.机房洁净都的要求如下： -灰尘粒子不得是导电的、铁磁性的和腐蚀性的； -直径大于0.5um的灰尘粒子浓度小于3500粒/升； -直径大于5um的灰尘粒子浓度小于30粒/升 3.机房噪声、电磁干扰、静电干扰的要求如下： -一般情况下，机房内的背景噪声不宜大于68dB； -机房内的电场强度，不应大于120dB（uV/m），磁场强度不应大于400A/m； -有关静电干扰方面的要求，应符合YD/T 754-95通信机房静电防护通则的要求。 4.机房照明的要求如下： -机房照明方式采用一般照明，要求水平面（距地0.8m）照度为200-500LX，直立面（距地1.4m）照度为30-50LX -工作去内一般照明的均匀都（最低照度与平均照度之比）不宜小于0.7.非工作区得不宜低于工作区得平均照明度的1/54.3 IMC服务器硬件要求 服务器的硬件要求如下:1. Intel 双核CPU 或更高配置2. 4G以上内存3. 250G以上硬盘4. 预安装windows server 5.预装SQL Server数据库 第5章 总体工程实施配置方案5.1 AP的物理安装经过初步到广州中信广场办公室现场的勘察，各个楼原有的Motorola AP是利用T型支架悬挂安装在天花板里面的，H3C AP可以利用原有支架、直接安装在支架上面替换Motorola AP。有些布线点需要新增AP的，可以采购支架来进行安装。为了尽量避免施工过程影响客户工作，所有无线AP的安装实施均安排在工作日晚上和周末进行。以下是AP安装在支架上的示意图： AP安装时需要牢记的是：每装一个AP，都要记录下它的物理位置、AP名称、序列号的对应关系。5.2 AP注册上线在完成了前期的IP地址、VLAN与SSID的规划和AP的物理安装后，需要确定以下两个条件（1）确定PoE交换机相对应的端口已经打开，这部分的工作可以在AP安装时进行，并记录相关的交换机端口（2）确定AP是通过二层注册还是三层注册方式。对于二层注册，在控制器上手动添加AP,AP拿到IP地址后就应该可以注册到控制器上；对于三层注册，需要在DHCP Server上配置Option43参数来告诉AP控制器的IP地址，使其能顺利注册。确认以上两点条件后，开始对无线控制器进行添加AP等基本功能配置。配置完成后检查所有AP是否已经正常上线。如果发现AP还没有上线的，需要通过Console口接入AP查看：AP是否获得IP地址，AP是否通过Option43参数获得了正确的控制器IP地址，AP是否能Ping通控制器等信息。排除相应故障后，然后才进入下一步工作。5.3 无线用户安全接入认证完成SSID、用户VLAN及IP网段配置，并测试确认无线用户能接入无线网络后，需要添加无线用户安全接入认证机制。安利内部员工使用域账号通过WPA2加密+802.1x认证接入无线网络，控制器上需要配置1） 无线802.1x认证模式2） 配置正确的Radius认证参数跟微软Radius服务器配合认证访客用户使用从IMC上申请的访客账户通过WPA2加密+Portal认证接入无线网络，控制器上需要配置1) 无线Portal认证模式2) 配置正确的Radius认证参数跟IMC UAM认证服务器组件配合认证。由于每个radius认证服务器在控制器上都要对应一个域名，且缺省域名只能有一个，所以为了区分不同的域，访客必须携带域名进行认证。5.4 Guest用户无线接入安全解决方案访客用户来到企业内部需要使用网络，但为了保证企业内网的安全，最好的办法就是将访客用户的流量与内网业务流量从逻辑上隔离开。本次项目使用H3C VIP Tunnel技术来达到这一目的如下图所示：在非安全区（例如DMZ区）部署WX3024E 作为Guest Access AC，本地AC WX5004与Guest Access AC建立安全隧道VIP Tunnel（内网防火墙需要配置策略让WX5004和WX3024E能互相通信建立起VIP Tunnel,VIP Tunnel同时使用TCP和UDP协议，端口号都是18001）。Guest用户流量在Local AC WX5004上不终结Capwap隧道，而是通过Capwap隧道传输到Guest Access AC，再从Guest Access AC上出外网，与其他数据隔离；5.5 无线用户漫游无线用户可以在同一控制器管理的多个AP间进行二层和三层无缝漫游。对于部署多个AC的无线网络，漫游可能发生在不同AC管理的AP间，为保证漫游的平滑进行，需要开启跨AC的漫游支持功能。IACTP(Inter Access Controller Tunneling Protocol访问控制器间隧道协议)是H3C公司自主研发的协议，该协议在不同控制器间定义漫游组，属于同一漫游组的无线控制器会同步接入用户的信息，实现无线用户在不同控制器间的平滑无缝漫游5.6 访客认证、帐号管理为了实现访客账号智能化分发，同时加强访客账号管理，本项目配置IMC访客管理平台配合短信猫来实现访客账号授权、审计以及短信分发。访客来访时需要到指定的访客管理员（例如前台文员）处填写相关资料、登记手机号码，此后访客管理员登录访客管理平台录入相关信息、申请访客接入账号，申请成功后，IMC平台会通过短信猫以短信的方式将访客账号发送给访客本人。访客账号是有生效时间的，过期无效。同时IMC平台也可限制访客用户接入无线网络的位置，让其只能在特定区域从从特定的AP接入无线网络。第6章 无线网络功能的配置实施6.1 无线控制器上AP注册配置示例如下wlan ap ap1 model WA2620-AGN id 1priority level 7 /控制器冗余时，AP注册优先级，数值越大表示控制器优先级越高。 serial-id 219801A0A89116G02796 /AP序列号radio 1radio 2 6.2 服务模板及无线空口（802.1x认证+WPA2加密）等配置配置示例如下：wlan service-template 1 crypto ssid AmwayMobile /配置SSID bind WLAN-ESS 1 cipher-suite ccmp /配置WPA2加密 security-ie rsn /配置WPA2加密 service-template enable /使能服务模板interface WLAN-ESS1 port link-type hybrid /配置无线空口为Hybrid口 port hybrid vlan 1 102 to 103 untagged /允许漫游VLAN通过 mac-vlan enable /开启mac-vlan port-security port-mode userlogin-secure-ext /配置802.1x认证 port-security tx-key-type 11key /配置802.1x认证 undo dot1x handshake /握手必须关闭因为很多客户端网卡不支持 undo dot1x multicast-trigger /组播也必须关闭6.3 Radius认证配置配置示例如下：radius scheme system primary authentication 10.143.16.205 /配置Radius认证服务器IP地址 primary accounting 10.143.16.205 /配置Radius计费服务器IP地址 key authentication cipher xz8n+yXxN+I= /配置认证密钥 key accounting cipher xz8n+yXxN+I= /配置计费密钥 user-name-format without-domain nas-ip 10.140.64.125domain system authentication lan-access radius-scheme system authorization lan-access radius-scheme system accounting lan-access radius-scheme system access-limit disable state active idle-cut disable self-service-url disable6.4 无线控制器热备配置配置示例如下：c-gzdc-wc500401 ： wlan backup-ac ip 192.168.1.2 /配置热备对端控制器IP地址 hot-backup enable domain 1 /使能热备 hot-backup vlan 920 /配置热备VLAN hot-backup hellointerval 100 /配置热备心跳时间c-gzdc-wc500402 ： wlan backup-ac ip 192.168.1.1 /配置热备对端控制器IP地址hot-backup enable domain 1 /使能热备 hot-backup vlan 920 /配置热备VLAN hot-backup hellointerval 100 /配置热备心跳时间6.5 跨无线控制器漫游配置c-gzdc-wc500401 ：wlan mobility-group 1 /配置漫游组 member ip 10.140.64.118 /配置漫游组对端成员IP source ip 10.140.64.119 /配置漫游组源IPmobility-group enable /使能漫游组c-gzdc-wc500402 ：wlan mobility-group 1 /配置漫游组 member ip 10.140.64.119 /配置漫游组对端成员IP source ip 10.140.64.118 /配置漫游组源IPmobility-group enable /使能漫游组6.6 VIP Tunnel配置c-gzdc-wc500401wlan mobility-group 1 /配置漫游组 member ip 10.140.64.119 vlan 4094 /配置漫游组对端IP地址和隧道封装用户VLAN source ip 10.140.64.118 /配置漫游组源地址 mobility-group enable /使能漫游组c-gzdc-wc500402 wlan mobility-group 1 /配置漫游组 member ip 10.140.64.118 vlan 4094 /配置漫游组对端IP地址和隧道封装用户VLAN source ip 10.140.64.119 /配置漫游组源地址 mobility-group enable /使能漫游组6.7 IMC访客管理功能配置配置示例如下：同时可以在无线控制器上配置策略让访客用户只能特定位置的特定AP接入无线网络wlan ap-group 1 /配置AP组 ap ap1#wlan ap-group 2 /配置AP组 ap ap2#user-profile amway1 /配置用户策略 wlan permit-ap-group 1 /配置允许用户接入的AP组user-profile amway2 /配置用户策略 wlan permit-ap-group 2 /配置允许用户接入的AP组第7章 无线网管功能的实施H3C IMC网管软件支持丰富的无线网管特性。其支持无线热图绘制，如下图所示：无线客户端定位，如下图所示： 同时其还支持丰富的无线网络性能统计报表，如下图所示： 第8章 无线网络迁移方案 为减少无线网络割接对业务的影响，所有AP安装、替换都需在晚上进行。替换时应遵循如下原则：1：安利（中国）方需提前发无线业务中断通知，以方便施工队晚上开始进行AP替换安装。2：所有AP都装在会议室里边。对于以前不在会议室里边的AP安装点，应将其支架移动安装到会议室里边。3：安装AP时遵循“装一个，调通一个”的原则。施工人员安装AP完成后，测试人员应马上测试新装上AP的无线业务是否可用，若正常，继续装下一个，若不正常，立刻排查问题，解决问题后继续安装下一个。3：AP安装应严格按照工程进度计划表里边规定的安装顺序进行。4：替换下来的Motorola AP应装在事先备好的箱子里边妥善保管.第9章 无线AP的物理位置热图9.1 广州中信广场AP的物理位置热图各楼的AP分布如下：楼AP数量楼AP数量三9十一10四10十二2五0十三3六3十四2七3十五2八3十六11九10十七3十10十八3合计根据图纸平面图， AP的部署初步如下：(实际部署时应根据实际情况进行调整)3楼AP部署：9.2 广州美银大厦AP的物理位置热图第10章 测试方案所有网络设备安装完成后，要对无线网络进行功能及性能测试。功能测试需要准备笔记本电脑性能测试需要在笔记本电脑上安装无线信号强度测试软件例如 Netstumbler等测试结果填入下表：测试项测试内容测试结果（测试通过请注明“通过”；若不通过请注明存在问题的会议室编号以及实际测试结果） 功能测试项安利内部用户使用域账号通过802.1x认证接入无线网络访客用户Portal认证页面能弹出访客管理员能使用访客管理平台向访客以短信的方式发送账号、密码信息访客使用申请的账号能接入无线网络2台热备WX5004控制器任何一台故障，客户端Ping包丢包不超过4个（此项测试仅限广州）上海办公室无线控制器故障，AP能够自动重新注册到广州WX5004控制器上上海研发中心无线控制器故障，AP能够自动重新注册到广州WX5004控制器上北京办公室无线控制器故障，AP能够自动重新注册到广州WX5004控制器上无线用户跨三层漫游性能测试项（广州中信广场）31层会议室信号强度在-60dbm以上40层会议室信号强度在-60dbm以上41层会议室信号强度在-60dbm以上43层会议室信号强度在-60dbm以上44层会议室信号强度在-60dbm以上58层会议室信号强度在-60dbm以上性能测试项（广州美银大厦）所有会议室信号强度在-60dbm以上性能测试项（广州国贸大厦）所有会议室信号强度在-60dbm以上性能测试项（上海研发中心）所有会议室信号强度在-60dbm以上性能测试项（上海办公室）所有会议室信号强度在-60dbm以上性能测试项（北京办公室）所有会议室信号强度在-60dbm以上性能测试项(广州中信广场）31层会议室无线客户端Ping 100个包平均延迟小于20ms40层会议室无线客户端Ping 100个包平均延迟小于20ms41层会议室无线客户端Ping 100个包平均延迟小于20ms43层会议室无线客户端Ping 100个包平均延迟小于20ms44层会议室无线客户端Ping 100个包平均延迟小于20ms58层会议室无线客户端Ping 100个包平均延迟小于20ms性能测试项（广州美银大厦）所有会议室无线客户端Ping 100个包平均延迟小于20ms性能测试项（广州国贸大厦）所有会议室无线客户端Ping 100个包平均延迟小于20ms性能测试项（上海研发中心）所有会议室无线客户端Ping 100个包平均延迟小于20