某大学无线项目开局实例

　　一、 项目背景

　　某大学创建于1938年，是一所集自然之神秀、汇人文之灵杰，学科门类比较齐全的高等学府，是国家重点建设的“211工程”学校。其无线项目建设利用无线局域网络(WLAN)安装便捷、使用灵活、易于扩展等特点，在现有的有线网络环境基础上构建组成。无线项目的建设有利于扩展校园网的覆盖范围，使全校师生能够通过笔记本电脑随时随地、方便高效地使用校园网络;有利于促进教学和科研发展，拓展了研究空间;有利于提升校园网络环境，提高管理水平和效率，推动学校信息化建设。

　　二、 组网情况

　　采用AP+认证计费系统+网管系统组网，示意图如下：

　　无线AP设备采用H3C增强型WA1208E系列，并配置POE供电设备，室外AP使用室外机箱及防水、防雷器件。所有AP设备通过以太网线就近接入校园网二层交换机，并单独划分无线网VLAN，与校园网Quidview网管系统及CAMS计费管理系统一起构建成可运营、可管理、安全易维护的无线局域网络。

　　三、 实施步骤

　　1、安装场地勘察：

　　按照学校无线校园网络建设规划，对所有需要无线覆盖的场所(包括室内、室外操场、前坪草地等)进行实地勘察，确定无线AP安装位置。

　　2、安装辅材准备：

　　所有室外AP设备基本放置于楼顶，H3C所配备的室外天线、机箱、防雷器件需要另外准备安装支架和固定材料。根据实际情况支架采用直径直径8厘米，长2米的不锈钢管。

　　3、无线覆盖效果测试：

　　根据学校要求，先对室外足球场的无线效果进行测试，再进行全校安装。用户主要关心AP设备信号的效果，经测试后用户对无线信号非常满意。

　　4、软件配置：

　　采用AP+WLAN终端模式，相关配置如下：

　　sysname tushuguanyou-11

　　#

　　ap name huawei

　　#

　　vlan 1000

　　#

　　interface Vlan-interface1000

　　ip address 172.16.248.251 255.255.255.0 immediate

　　#

　　interface Ethernet0/1

　　port access vlan 1000

　　#

　　ssid wa1208e-3

　　set vlan 1000

　　ap carrier-name huawei

　　dot1x port-control authorized-force

　　bind domain system

　　authentication link open-system

　　encryption gtk update base-timer

　　undo authentication preauthentication

　　#

　　radio module 1

　　channel 11

　　encryption wep 1 wep40 ascii 12345

　　encryption wep 2 wep104 ascii 123456789abcd

　　encryption wep 3 wep104 ascii huaweidefault

　　encryption wep 4 wep40 ascii 1208e

　　#

　　interface Wireless-access1/1

　　port access vlan 1000

　　bind ssid wa1208e-3

　　access uplayer

　　#

　　ip route-static 0.0.0.0 0.0.0.0 172.16.248.254 preference 60

　　5、实施过程中的问题：

　　⑴部分楼栋从楼顶的AP到楼栋交换机的以太网线线路超过100米，经用户同意后，在中间增加一台SOHO 4端口以太网交换机完成线路的延伸。

　　⑵在二层交换机端口上开启802.1x认证后，发现校园网络中心无法对AP设备进行管理。此时通过笔记本电脑连接无线信号，经过校园网认证后，能正常的访问网络。确认了无线AP设备工作正常，无法进行管理是因为二层交换机端口上开启802.1x认证后，要将端口上所接AP设备的MAC地址静态添加到交换机的MAC地址表中。

　　全局配置下，如AP接在Ethernet0/20端口，MAC地址为00e0-fc8e-7668。具体命令如为：mac-address static 00e0-fc8e-7668 interface Ethernet0/20

　　⑶部分楼栋采用的是锐捷交换机和认证计费系统。由于用户规划所有无线网络采用H3C计费认证系统，此时如果认证方式开启在楼栋二层交换机端口上，肯定就无法实现。根据此种情况，我们在无线AP上开启RADIUS协议和802.1x认证。

　　如所有huawei域的用户在登录时都会到10.10.10.1 的RADIUS 服务器进行验证。具体配置如下：

　　radius scheme huawei #建立名为huawei 的RADIUS 服务器组

　　primary authentication 10.10.10.1 1812 #设置主RADIUS 认证服务器的IP 地址和端口号

　　primary accounting 10.10.10.2 1813 #设置主RADIUS 计费服务器的IP 地址和端口号

　　key authentication huawei #配置WA1208E 与RADIUS 服务器之间通信所用密钥为“huawei”

　　#

　　domain huawei-2 #建立名为huawei-2 的ISP 域

　　radius-scheme huawei #指定引用的RADIUS 服务器组

　　#

　　[Quidway-ssid-wa1208]dot1x #配置802.1x 认证

　　[Quidway-ssid-wa1208]dot1x port-control auto

　　[Quidway-ssid-wa1208]dot1x authentication-method eap relay

　　四、 实施效果

　　无线网络的的实施完后，进一步完善了学校的信息化建设，填补了原有线网络无法廷伸的区域。学校的师生可以在校园的操场、草地、图书馆、办公楼等随时随地自由安全的接入网络进行办公、学习和娱乐。

2015年12月