无线网络实施方案

无线办公网络项目实施方案无线办公网络项目实施方案无线办公网络项目实施方案无线办公网络实施方案H3C2012年7月文档修订记录版本版本更新日期更新摘要V1.02012年８月２日V2.02012年８月５日更新AP、客户端地址列表等信息V3.02012年８月10日更新中信广场WX5004拓扑图目录第1章项目概况1.1项目背景11.2项目目标11.3项目规模及设备数量1第2章项目计划2.1工程进度计划22.2人力资源计划5第3章网络总体规划3.1网络拓扑图63.2无线控制器的地址规划及其命名73.1AP地址段规划及其命名规则83.2无线SSID及其命名规划103.3用户地址段规划123.4认证方式的规划133.5设备冗余方案总体规划133.6无线信道及漫游14第4章设备安装环境要求144.1AP安装环境要求144.2无线控制器安装环境要求154.3IMC服务器硬件要求15第5章总体工程实施配置方案165.1AP的物理安装165.2AP注册上线175.3无线用户安全接入认证185.4GUEST用户无线接入安全解决方案185.5无线用户漫游195.6访客认证、帐号管理20第6章无线网络功能的配置实施206.1无线控制器上AP注册206.2服务模板及无线空口（802.1X认证+WPA2加密）等配置216.3RADIUS认证配置216.4无线控制器热备配置226.5跨无线控制器漫游配置226.6VIPTUNNEL配置236.7IMC访客管理功能配置23第7章无线网管功能的实施24第8章无线AP的物理位置热图268.1广州中信广场AP的物理位置热图268.2广州美银大厦AP的物理位置热图28第9章测试方案28无线办公网络项目工程实施方案无线办公网络项目工程实施方案 第页AP安装时需要牢记的是：每装一个AP，都要记录下它的物理位置、AP名称、序列号的对应关系。5.2AP注册上线在完成了前期的IP地址、VLAN与SSID的规划和AP的物理安装后，需要确定以下两个条件确定PoE交换机相对应的端口已经打开，这部分的工作可以在AP安装时进行，并记录相关的交换机端口确定AP是通过二层注册还是三层注册方式。对于二层注册，在控制器上手动添加AP,AP拿到IP地址后就应该可以注册到控制器上；对于三层注册，需要在DHCPServer上配置Option43参数来告诉AP控制器的IP地址，使其能顺利注册。确认以上两点条件后，开始对无线控制器进行添加AP等基本功能配置。配置完成后检查所有AP是否已经正常上线。如果发现AP还没有上线的，需要通过Console口接入AP查看：AP是否获得IP地址，AP是否通过Option43参数获得了正确的控制器IP地址，AP是否能Ping通控制器等信息。排除相应故障后，然后才进入下一步工作。5.3无线用户安全接入认证完成SSID、用户VLAN及IP网段配置，并测试确认无线用户能接入无线网络后，需要添加无线用户安全接入认证机制。安利内部员工使用域账号通过WPA2加密+802.1x认证接入无线网络，控制器上需要配置无线802.1x认证模式配置正确的Radius认证参数跟微软Radius服务器配合认证访客用户使用从IMC上申请的访客账户通过WPA2加密+Portal认证接入无线网络，控制器上需要配置无线Portal认证模式配置正确的Radius认证参数跟IMCUAM认证服务器组件配合认证。由于每个radius认证服务器在控制器上都要对应一个域名，且缺省域名只能有一个，所以为了区分不同的域，访客必须携带域名进行认证。Guest用户无线接入安全解决方案访客用户来到企业内部需要使用网络，但为了保证企业内网的安全，最好的办法就是将访客用户的流量与内网业务流量从逻辑上隔离开。本次项目使用H3CVIPTunnel技术来达到这一目的如下图所示：在非安全区（例如DMZ区）部署WX3024E作为GuestAccessAC，本地ACWX5004与GuestAccessAC建立安全隧道VIPTunnel（内网防火墙需要配置策略让WX5004和WX3024E能互相通信建立起VIPTunnel,VIPTunnel同时使用TCP和UDP协议，端口号都是18001）。Guest用户流量在LocalACWX5004上不终结Capwap隧道，而是通过Capwap隧道传输到GuestAccessAC，再从GuestAccessAC上出外网，与其他数据隔离；无线用户漫游无线用户可以在同一控制器管理的多个AP间进行二层和三层无缝漫游。对于部署多个AC的无线网络，漫游可能发生在不同AC管理的AP间，为保证漫游的平滑进行，需要开启跨AC的漫游支持功能。IACTP(InterAccessControllerTunnelingProtocol访问控制器间隧道协议)是H3C公司自主研发的协议，该协议在不同控制器间定义漫游组，属于同一漫游组的无线控制器会同步接入用户的信息，实现无线用户在不同控制器间的平滑无缝漫游访客认证、帐号管理为了实现访客账号智能化分发，同时加强访客账号管理，本项目配置IMC访客管理平台配合短信猫来实现访客账号授权、审计以及短信分发。访客来访时需要到指定的访客管理员（例如前台文员）处填写相关资料、登记手机号码，此后访客管理员登录访客管理平台录入相关信息、申请访客接入账号，申请成功后，IMC平台会通过短信猫以短信的方式将访客账号发送给访客本人。访客账号是有生效时间的，过期无效。同时IMC平台也可限制访客用户接入无线网络的位置，让其只能在特定区域从从特定的AP接入无线网络。第6章无线网络功能的配置实施6.1无线控制器上AP注册配置示例如下wlanapap1modelWA2620-AGNid1prioritylevel7//控制器冗余时，AP注册优先级，数值越大表示控制器优先级越高。serial-id219801A0A89116G02796//AP序列号radio1radio26.2服务模板及无线空口（802.1x认证+WPA2加密）等配置配置示例如下：wlanservice-template1cryptossidAmwayMobile//配置SSIDbindWLAN-ESS1cipher-suiteccmp//配置WPA2加密security-iersn//配置WPA2加密service-templateenable//使能服务模板interfaceWLAN-ESS1portlink-typehybrid//配置无线空口为Hybrid口porthybridvlan1102to103untagged//允许漫游VLAN通过mac-vlanenable//开启mac-vlanport-securityport-modeuserlogin-secure-ext//配置802.1x认证port-securitytx-key-type11key//配置802.1x认证undodot1xhandshake//握手必须关闭因为很多客户端网卡不支持undodot1xmulticast-trigger//组播也必须关闭6.3Radius认证配置配置示例如下：radiusschemesystemprimaryauthentication10.143.16.205/配置Radius认证服务器IP地址primaryaccounting10.143.16.205//配置Radius计费服务器IP地址keyauthenticationcipherxz8n+yXxN+I=//配置认证密钥keyaccountingcipherxz8n+yXxN+I=//配置计费密钥user-name-formatwithout-domainnas-ip10.140.64.125domainsystemauthenticationlan-accessradius-schemesystemauthorizationlan-accessradius-schemesystemaccountinglan-accessradius-schemesystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable6.4无线控制器热备配置配置示例如下：[c-gzdc-wc500401]：wlanbackup-acip192.168.1.2//配置热备对端控制器IP地址hot-backupenabledomain1//使能热备hot-backupvlan920//配置热备VLANhot-backuphellointerval100//配置热备心跳时间[c-gzdc-wc500402]：wlanbackup-acip192.168.1.1//配置热备对端控制器IP地址hot-backupenabledomain1//使能热备hot-backupvlan920//配置热备VLANhot-backuphellointerval100//配置热备心跳时间6.5跨无线控制器漫游配置[c-gzdc-wc500401]：wlanmobility-group1//配置漫游组memberip10.140.64.118//配置漫游组对端成员IPsourceip10.140.64.119//配置漫游组源IPmobility-groupenable//使能漫游组[c-gzdc-wc500402]：wlanmobility-group1//配置漫游组memberip10.140.64.119//配置漫游组对端成员IPsourceip10.140.64.118//配置漫游组源IPmobility-groupenable//使能漫游组6.6VIPTunnel配置[c-gzdc-wc500401]wlanmobility-group1//配置漫游组memberip10.140.64.119vlan4094//配置漫游组对端IP地址和隧道封装用户VLANsourceip10.140.64.118//配置漫游组源地址mobility-groupenable//使能漫游组[c-gzdc-wc500402]wlanmobility-group1//配置漫游组memberip10.140.64.118vlan4094//配置漫游组对端IP地址和隧道封装用户VLANsourceip10.140.64.119//配置漫游组源地址mobility-groupenable//使能漫游组6.7IMC访客管理功能配置配置示例如下：同时可以在无线控制器上配置策略让访客用户只能特定位置的特定AP同时可以在无线控制器上配置策略让访客用户只能特定位置的特定AP接入无线网络wlanap-group1//配置AP组apap1#wlanap-group2//配置AP组apap2#user-profileamway1//配置用户策略wlanpermit-ap-group1//配置允许用户接入的AP组user-profileamway2//配置用户策略wlanpermit-ap-group2//配置允许用户接入的AP组第7章无线网管功能的实施H3CIMC网管软件支持丰富的无线网管特性。其支持无线热图绘制，如下图所示：无线客户端定位，如下图所示：第8章无线网络迁移方案为减少无线网络割接对业务的影响，所有AP安装、替换都需在晚上进行。替换时应遵循如下原则：1：安利（中国）方需提前发无线业务中断通知，以方便施工队晚上开始进行AP替换安装。2：所有AP都装在会