发布时间 : 星期四 文章无线网络实施方案更新完毕开始阅读
无线办公网络项目工程实施方案
AP安装时需要牢记的是:每装一个AP,都要记录下它的物理位置、AP名称、序列号的对应关系。
5.2 AP注册上线
在完成了前期的IP地址、VLAN与SSID的规划和AP的物理安装后,需要确定以下两个条件 (1)确定PoE交换机相对应的端口已经打开,这部分的工作可以在AP安装时进行,并记录相关的交换机端口
(2)确定AP是通过二层注册还是三层注册方式。对于二层注册,在控制器上手动添加AP,AP拿到IP地址后就应该可以注册到控制器上;对于三层注册,需要在DHCP Server上配置Option43参数来告诉AP控制器的IP地址,使其能顺利注册。
确认以上两点条件后,开始对无线控制器进行添加AP等基本功能配置。配置完成后检查所有AP是否已经正常上线。如果发现AP还没有上线的,需要通过Console口接入AP查看:AP是否获得IP地址,AP是否通过Option43参数获得了正确的控制器IP地址,AP是否能Ping通控制器等信息。排除相应故障后,然后才进入下一步工作。
第17页
无线办公网络项目工程实施方案
5.3 无线用户安全接入认证
完成SSID、用户VLAN及IP网段配置,并测试确认无线用户能接入无线网络后,需要添加无线用户安全接入认证机制。
安利内部员工使用域账号通过WPA2加密+802.1x认证接入无线网络,控制器上需要配置 1) 无线802.1x认证模式
2) 配置正确的Radius认证参数跟微软Radius服务器配合认证
访客用户使用从IMC上申请的访客账户通过WPA2加密+Portal认证接入无线网络,控制器上需要配置
1) 无线Portal认证模式
2) 配置正确的Radius认证参数跟IMC UAM认证服务器组件配合认证。
由于每个radius认证服务器在控制器上都要对应一个域名,且缺省域名只能有一个,所以为了区分不同的域,访客必须携带域名进行认证。
5.4 Guest用户无线接入安全解决方案
访客用户来到企业内部需要使用网络,但为了保证企业内网的安全,最好的办法就是将访客用户的流量与内网业务流量从逻辑上隔离开。本次项目使用H3C VIP Tunnel技术来达到这一目的
如下图所示:
第18页
无线办公网络项目工程实施方案
在非安全区(例如DMZ区)部署WX3024E 作为Guest Access AC,本地AC WX5004与Guest Access AC建立安全隧道VIP Tunnel(内网防火墙需要配置策略让WX5004和WX3024E能互相通信建立起VIP Tunnel,VIP Tunnel同时使用TCP和UDP协议,端口号都是18001)。
Guest用户流量在Local AC WX5004上不终结Capwap隧道,而是通过Capwap隧道传输到Guest Access AC,再从Guest Access AC上出外网,与其他数据隔离;
5.5 无线用户漫游
无线用户可以在同一控制器管理的多个AP间进行二层和三层无缝漫游。
对于部署多个AC的无线网络,漫游可能发生在不同AC管理的AP间,为保证漫游的平滑进行,需要开启跨AC的漫游支持功能。IACTP(Inter Access Controller Tunneling Protocol访问控制器间隧道协议)是H3C公司自主研发的协议,该协议在不同控制器间定义漫游组,属于同一漫游组的无线控制器会同步接入用户的信息,实现无线用户在不同控制器间的平滑无缝漫游
第19页
无线办公网络项目工程实施方案
5.6 访客认证、帐号管理
为了实现访客账号智能化分发,同时加强访客账号管理,本项目配置IMC访客管理平台配合短信猫来实现访客账号授权、审计以及短信分发。
访客来访时需要到指定的访客管理员(例如前台文员)处填写相关资料、登记手机号码,此后访客管理员登录访客管理平台录入相关信息、申请访客接入账号,申请成功后,IMC平台会通过短信猫以短信的方式将访客账号发送给访客本人。
访客账号是有生效时间的,过期无效。同时IMC平台也可限制访客用户接入无线网络的位置,让其只能在特定区域从从特定的AP接入无线网络。
第6章 无线网络功能的配置实施
6.1 无线控制器上AP注册
配置示例如下
wlanap ap1 model WA2620-AGN id 1
priority level 7 //控制器冗余时,AP注册优先级,数值越大表示控制器优先级越高。 serial-id 219801A0A89116G02796 //AP序列号 radio 1
第20页