无线网络实施方案 Prepared on 22 November 2020无线办公网络实施方案H3C2012年7月目录第1章项目概况1.1 项目背景本方案采用H3C的无线网络产品系列集中式、可管理架构的无线局域网架构解决方案来实现无线网络的部署，为安利（中国）办公、会议场所部署无线覆盖，同时将最新的行业标准与一种集中架构和先进功能结合起来，创建一种安全、经济有效并且极具扩展性的无线局域网(WLAN)基础设施。

1.2 项目目标安利（中国）在广州中信广场、上海分部、北京分部等办公和会议场所部署全无线网络，提供如下服务：无线宽带接入服务：用户可以享受真正的“无线”自由的体验，可以在办公室和楼内随时随地通过支持Wi-Fi的笔记本电脑/iPad/智能手机/台式PC享受无线网络服务，如网络办公，Email等。

同时，为用户省却了布线的费用和烦恼。

移动办公室：利用无线网络的大面积覆盖能力，可以将楼内的办公区和会议区无缝连接在一起，工作人员可以在楼内随时随地接入网络进行信息查询，办公应用，通信联络等。

1.3 项目规模及设备数量第2章项目计划2.1 工程进度计划2.2 人力资源计划第3章网络总体规划广州地区AC、AP部署：广州地区有4个Site（GZCiticOffice,GZBoAOffice,GZGuomaoOffice,GZManufactoryWarehouseandOffice）需要部署AP.广州地区部署两台CentralACWX5004，两台AC间实现毫秒级热备，广州地区所有AP都注册到CentralAC上。

异地（北京、上海）AC部署：异地与广州之间线路带宽较为紧张（10M），为减少Capwap开销，在上海office、上海R&D、北京office分别部署LocalAC。

上海、北京的AC通过广州AC做普通备份，上海、北京的AP优先注册在本地AC 上，当本地AC故障时切换到广州的备份AC上。

AP转发模式：各个Site所有应用均集中在广州CiticDC，但各个Site有本地打印需求,且所有客户均有漫游需求，因此所有AP均采用集中转发模式；AP选择：本项目配置双频APWA2620I，扩大容量、5G频段更好兼容智能终端；无线安全：本项目配置认证，安利自己员工使用微软Radius认证服务器做认证，访客用户使用H3CIMCUAM组件做接入认证。

Guest用户管理：在广州部署1台GuestAC，配合UAM，通过VIPTunnel方式提高访客无线接入安全性；管理维护：IMC平台实现无线控制器管理，WSM组件实现无线网络设备管理，UAM实现用户接入控制管理；3.1 网络拓扑图整体组网图如下：3.2 无线控制器的地址规划及其命名3.1 AP地址段规划及其命名规则3.2 无线SSID及其命名规划SSID是无线服务的标识，直接反映接入服务的属性。

SSID可以按照服务对象、3.3 AP地址规划3.4 用户地址段规划用户指定IP地址段为：–,通过采用控制器的DHCP功能，或外部的DHCP服务器，建议采用外部的DHCP服务器。

无线用户网关都配置在无线控制器的上联交换机上，无线控制器对用户VLAN作二层Trunk透传。

3.5 认证方式的规划安利内部员工接入采用原有的微软Radius认证服务器，三地的无线控制器与Radius认证服务器联动，对内部员工用户身份资料进行身份认证。

访客接入采用IMCUAM认证接入组件，三地的无线控制器与IMCUAM认证服3.6 设备冗余方案总体规划广州地区部署两台CentralACWX5004，两台AC间实现毫秒级热备。

在上海office、上海R&D、北京office分别部署LocalWX3024EAC。

上海、北京的AC通过广州ACWX5004做普通备份，上海、北京的AP优先注册在本地ACWX3024E上，3.7 无线信道及漫游虽然在和中的标准的无线频点各有13个，但由于设计为相互不重叠的3个频点（一般设计工作在1，6，11这三个完全不重叠的频点），这样使得频点配置工程十分必要。

合理的进行信道规划，降低同频干扰，同时楼之间的泄漏信号干扰也要考虑在内。

信道建议采用手动指定AP的频点。

在同一个SSID，信号覆盖到的情况下，可以使客户端进行二、三漫游。

第4章设备安装环境要求4.1 AP安装环境要求1.高温、多尘、有害气体、易燃、易爆、易受电磁干扰及电压不稳定、震动大或强噪音的环境不利于AP的设备安装；2.设备应安装在比较干燥的地方，严禁在易积水、渗水、滴漏、结露等地方进行设备安装；3.如果上交换机为以太网供电交换机，则不需增加POE供电模块，直接用网线对AP设备进行供电；如果采用本地交流供电，电源要求为220V，波形失真小于5%4.2 无线控制器安装环境要求1.机房温、湿度的要求如下：温度：18-28摄氏度，温度变化率小于5摄氏度/小时相对湿度：40-70%，不结霜。

2.机房洁净都的要求如下：-灰尘粒子不得是导电的、铁磁性的和腐蚀性的；-直径大于的灰尘粒子浓度小于3500粒/升；-直径大于5um的灰尘粒子浓度小于30粒/升3.机房噪声、电磁干扰、静电干扰的要求如下：-一般情况下，机房内的背景噪声不宜大于68dB；-机房内的电场强度，不应大于120dB（uV/m），磁场强度不应大于400A/m；-有关静电干扰方面的要求，应符合YD/T754-95<<通信机房静电防护通则》》的要求。

4.机房照明的要求如下：-机房照明方式采用一般照明，要求水平面（距地）照度为200-500LX，直立面（距地）照度为30-50LX-工作去内一般照明的均匀都（最低照度与平均照度之比）不宜小于.非工作区得不宜低于工作区得平均照明度的1/54.3 IMC服务器硬件要求服务器的硬件要求如下:双核CPU或更高配置以上内存以上硬盘4.预安装windowsserver5.预装SQLServer数据库第5章总体工程实施配置方案5.1 AP的物理安装经过初步到广州中信广场办公室现场的勘察，各个楼原有的MotorolaAP是利用T型支架悬挂安装在天花板里面的，H3CAP可以利用原有支架、直接安装在支架上面替换MotorolaAP。

有些布线点需要新增AP的，可以采购支架来进行安装。

为了尽量避免施工过程影响客户工作，所有无线AP的安装实施均安排在工作日晚上和周末进行。

以下是AP安装在支架上的示意图：AP安装时需要牢记的是：每装一个AP，都要记录下它的物理位置、AP名称、序列号的对应关系。

5.2 AP注册上线在完成了前期的IP地址、VLAN与SSID的规划和AP的物理安装后，需要确定以下两个条件（1）确定PoE交换机相对应的端口已经打开，这部分的工作可以在AP安装时进行，并记录相关的交换机端口（2）确定AP是通过二层注册还是三层注册方式。

对于二层注册，在控制器上手动添加AP,AP拿到IP地址后就应该可以注册到控制器上；对于三层注册，需要在DHCPServer上配置Option43参数来告诉AP控制器的IP地址，使其能顺利注册。

确认以上两点条件后，开始对无线控制器进行添加AP等基本功能配置。

配置完成后检查所有AP是否已经正常上线。

如果发现AP还没有上线的，需要通过Console 口接入AP查看：AP是否获得IP地址，AP是否通过Option43参数获得了正确的控制器IP地址，AP是否能Ping通控制器等信息。

排除相应故障后，然后才进入下一步工作。

5.3 无线用户安全接入认证完成SSID、用户VLAN及IP网段配置，并测试确认无线用户能接入无线网络后，需要添加无线用户安全接入认证机制。

安利内部员工使用域账号通过WPA2加密+认证接入无线网络，控制器上需要配置1）无线认证模式2）配置正确的Radius认证参数跟微软Radius服务器配合认证访客用户使用从IMC上申请的访客账户通过WPA2加密+Portal认证接入无线网络，控制器上需要配置1)无线Portal认证模式2)配置正确的Radius认证参数跟IMCUAM认证服务器组件配合认证。

由于每个radius认证服务器在控制器上都要对应一个域名，且缺省域名只能有一个，所以为了区分不同的域，访客必须携带域名进行认证。

5.4 Guest用户无线接入安全解决方案访客用户来到企业内部需要使用网络，但为了保证企业内网的安全，最好的办法就是将访客用户的流量与内网业务流量从逻辑上隔离开。

本次项目使用H3CVIPTunnel技术来达到这一目的如下图所示：在非安全区（例如DMZ区）部署WX3024E作为GuestAccessAC，本地ACWX5004与GuestAccessAC建立安全隧道VIPTunnel（内网防火墙需要配置策略让WX5004和WX3024E能互相通信建立起VIPTunnel,VIPTunnel同时使用TCP和UDP 协议，端口号都是18001）。

Guest用户流量在LocalACWX5004上不终结Capwap隧道，而是通过Capwap隧道传输到GuestAccessAC，再从GuestAccessAC上出外网，与其他数据隔离；5.5 无线用户漫游无线用户可以在同一控制器管理的多个AP间进行二层和三层无缝漫游。

对于部署多个AC的无线网络，漫游可能发生在不同AC管理的AP间，为保证漫游的平滑进行，需要开启跨AC的漫游支持功能。

IACTP(InterAccessControllerTunnelingProtocol访问控制器间隧道协议)是H3C公司自主研发的协议，该协议在不同控制器间定义漫游组，属于同一漫游组的无线控制器会同步接入用户的信息，实现无线用户在不同控制器间的平滑无缝漫游5.6 访客认证、帐号管理为了实现访客账号智能化分发，同时加强访客账号管理，本项目配置IMC访客管理平台配合短信猫来实现访客账号授权、审计以及短信分发。

访客来访时需要到指定的访客管理员（例如前台文员）处填写相关资料、登记手机号码，此后访客管理员登录访客管理平台录入相关信息、申请访客接入账号，申请成功后，IMC平台会通过短信猫以短信的方式将访客账号发送给访客本人。

访客账号是有生效时间的，过期无效。

同时IMC平台也可限制访客用户接入无线网络的位置，让其只能在特定区域从从特定的AP接入无线网络。

第6章无线网络功能的配置实施6.1 无线控制器上AP注册配置示例如下wlanapap1modelWA2620-AGNid1第7章prioritylevel7无线AP的物理位置热图7.1 广州中信广场AP的物理位置热图根据图纸平面图，AP的部署初步如下：(实际部署时应根据实际情况进行调整) 3楼AP部署：7.2 广州美银大厦AP的物理位置热图第8章测试方案所有网络设备安装完成后，要对无线网络进行功能及性能测试。