Ruckus AC设置隧道方式集中转发

华三集中转发组网方案1、背景根据集团公司要求，山东公司后续新增AP/AC采用集中转发方式组网，原已入网本地转发AP/AC组网方式保持不变。

2、组网总体要求采用集中转发方式组网，新增AC应串接于BRAS和城域数据网汇聚交换机之间1)2台新增交换机只起二层汇聚作用、并启用堆叠功能；透传BRAS主备VRRP心跳安全性2)AC上联口连接汇聚SW,AC与BRAS之间采用二层组网3)AP将用户数据打包在隧道中，通过路由转发给AC，AC为热点配置相关的业务VLAN、二层透传给BRASAC应采用1+1组网或N+1组网(N<=2)。

为节约BRAS端口资源、实现相关安全备份，需新增AC汇聚交换机对AC 进行汇聚。

新增交换机通过管理VLAN（vlan80）定义管理IP地址进行管理，分配私有地址，在CMNET私有地址中的“CMNET城域网设备管理地址段”中分配；BRAS对这个互联地址段进行network即可。

1对AC汇聚交换机上行与BRAS采用口字型连接方式；AC汇聚交换机需采用堆叠技术(避免环路)，下行与每台AC交叉连接；考虑BRAS单端口终结VLAN数量有限，原则上1对AC汇聚交换机负责接入的AP数量应控制在3500个以下。

每对AC汇聚交换机与BRAS终期链路带宽配置为2*GE（到每台BRAS 一个GE）。

集中转发情况下的业务VLAN：同1对汇聚交换机下的业务VLAN需唯一，不同对汇聚交换机间业务VLAN可以复用注：华三、思科AC本身即基于交换机架构增加AC管理板卡，所以可以不必增加AC汇聚交换机3、AC上行组网AC N+1组网模式下，每台AC上行分别与1对AC汇聚交换机采用交叉连接；AC上行链路应采用链路聚合技术，避免组网环路。

AC 1+1组网模式下，具备条件的，建议每台AC上行分别与1对AC汇聚交换机采用交叉连接；AC上行链路应采用链路聚合技术，避免组网环路。

AC 1+1组网模式下，若主用AC上行链路down时主备AC能够切换，2台AC上行与1对AC汇聚交换机可采用口字型连接。

路由模式_简介设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。

一般在客户还没有相应的网关设备，需要将AC做网关使用时，建议以路由模式部署。

路由模式下支持AC所有的功能。

如果需要使用NA T、VPN、DHCP等功能时，AC必须以路由模式部署，其它工作模式不支持实现这些功能。

路由模式_部署指导首选需要了解用户的实际需求，以下几种情况必须使用路由模式部署：1、用户必须要用到AC的VPN、NAT（代理上网和端口映射）、DHCP这几个功能。

2、用户在新规划建设的网络中来部署AC，想把AC当作一台网关设备部署在网络出口处。

3、用户网络中已有防火墙或者路由器了，但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。

路由模式_基本配置思路1、网口配置：确定设备外网口及地址信息，如果是固定IP，则填写运营商给的IP地址及网关；如果是ADSL拔号上网，则填写运营商给的拔号账号和密码；确定内网口的IP地址信息；2、确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。

3、用户是否需要通过AC设备上网，如果是的话，需要设置代理上网规则，填写需要代理上网的内网网段。

网桥模式_简介设备以网桥模式部署时对客户原有的网络基本没有改动。

网桥模式部署AC时，对客户来说AC就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。

网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP功能，除此之外AC 的其它功能如URL过滤、流控等均可实现。

网桥模式部署时AC支持硬件bypass功能（其它模式部署均没有硬件bypass)。

网桥模式_2种类型1、网桥多网口：网桥多网口是指设备只做一个网桥，但内外网口不是一一对应的，可能内网口需要接多个网口，也可能外网口需要接多个网口，各个网口之间的数据都可以设置转发，设备的ARP表只维持一份。

盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址：ETH0 与联动网络设备相连，配置的 IP地址作为策略路由的下一跳地址；ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。

界面操作步骤：点击“系统设置”---“IP地址设置”,如下图：图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息：单位名称、界面名称显示等。

点击“系统设置”---“产品个性化定制”，如下图：图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”，盈高ASM将根据角色将人员、部门与角色一一对应起来，便于后续准入策略的下发、网络访问权限的控制等灵活控制。

ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。

点击“用户管理”---“角色列表”---“添加角色”，如下图：图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。

点击“用户管理”---“组织架构树”---“添加新组织架构”，创建部门，如下图：图4. 创建部门ASM支持组织架构以excel方式批量导入，模板中所使用字体均全部使用宋体，如下图：图5. 批量导入部门2.3用户管理创建本地用户名、密码，用户单位人员入网的身份认证。

ZXR设备基本操作: ZXR路由交换机基本操作和配置简介ZXR路由交换机是一款高性能网络设备，支持多种协议和功能，可以用于不同规模和类型的网络。

本文将介绍ZXR路由交换机的基本操作和配置。

登录和基本设置首先，需要通过串口或网络连接到ZXR路由交换机。

可以使用终端仿真程序（例如SecureCRT、TeraTerm等）登陆，或者使用SSH、Telnet等协议远程登陆。

默认情况下，用户名为admin，密码为空（即直接按回车即可）。

登陆成功后，系统会提示设置管理员密码。

接着，可以配置主机名、IP地址、时间等系统基本信息，以及接口、VLAN、静态路由等网络设置。

下面是常见的命令和参数：•enable: 进入特权模式，执行特权级别的命令。

•configure terminal: 进入全局配置模式，执行全局配置命令。

•hostname NAME: 设置设备主机名。

•interface TYPE NUMBER: 进入接口配置模式。

•description TEXT: 设置接口描述信息。

•ip address IP MASK: 设置接口IP地址和子网掩码。

•ip route DESTINATION MASK GATEWAY: 添加静态路由。

•vlan VLAN-ID: 进入VLAN配置模式。

•name NAME: 为VLAN设置名称。

•untagged PORT-LIST: 指定VLAN成员，其中PORT-LIST是端口列表，例如1/0/1-10,2/0/1,3/0/1.需要特别注意以下事项：•在设置网络参数时，必须保证相关接口已经启动，例如如果要设置双向连接的端口，需要在两端都进行配置。

•对于高级功能，例如ACL、双活、动态路由等，需要进行更详细的设置和调试，建议查阅相关的技术文档和配置示例。

用户管理和安全设置一般情况下，管理员应该保障设备的安全性和稳定性，防止未经授权的用户或攻击者恶意访问或干扰。

可以通过以下方式加强网络安全：•改变默认密码：管理员密码应该设置足够复杂的密码，不应该采用简单的字符串或数字组合。

网件无线路由器怎么设置QoS功能网件无线路由器设置QoS功能步骤1首先登录路由器的管理界面()，默认用户名是admin,密码是password.网件无线路由器设置QoS功能步骤2登陆后点击‘ReadySHARE’, 出现如下设置页面(部分型号没有ReadySHARE Cloud及ReadySHARE Printer)。

网件无线路由器设置QoS功能步骤3若您已经连接好移动存储设备，则页面会显示您的存储设备的基本信息。

点击“编辑”，出现如下设置页面。

在该设置页面中，您可以选择使用不同的方式访问移动存储设备，也可以新建网络文件夹或对现有网络文件夹进行修改。

1、使用“网络连接”(即CIFS)访问移动存储设备在对应“网络连接”的方框勾选启用后点击“应用”，待设置更新完成后即可使用该方式访问移动存储设备。

在Windows系统中使用“网络连接”(即CIFS)访问，打开任意文件夹在其地址栏中输入\\readyshare即可。

在MAC OS 某系统中，可以使用SMB访问网络文件夹。

点击前往>连接到服务器，在地址栏输入smb://readyshare 即可访问。

2、使用HTTP访问移动存储设备如图所示，HTTP访问有两种方式，”HTTP”用于本地局域网内访问，”HTTP(通过因特网)”用于广域网访问。

需要注意的是，HTTP方式只能下载文件，不能新增或者删除文件。

在对应”HTTP”的方框勾选启用后点击“应用”，待设置更新完成后即可使用该方式访问移动存储设备，直接点击设置页面上的链接即可访问。

在对应”HTTP(通过因特网)”的方框勾选启用后点击“应用”，待设置更新完成后即可使用该方式访问移动存储设备，直接点击设置页面上的链接即可访问。

当然在其他地点使用广域网访问还是需要您记住此处显示的网址。

3、使用FTP访问移动存储设备如图所示，FTP访问有两种方式，”FTP”用于本地局域网内访问，”FTP(通过因特网)”用于广域网访问。

XXX 体育场馆WLAN 设计Ruckus Wireless. – Proprietary & ConfidentialThis document is the property of Ruckus Wireless., and contains proprietary and confidential information. It may not be duplicated without written authorization by Ruckus Wireless1.用户介绍和项目概述 (3)2.用户无线网络需求分析和建设目标—为什么要建设无线网络 (3)2.1.用户无线网络需求和特点分析 (3)2.2.无线WLAN网络建设目标 (6)2.3.无线网络对未来体育场馆业务的支持 (8)3.体育场馆无线WLAN网络具体应用及RUCKUS 解决方案 (8)3.1体育场馆部署无线网络后，如何收集用户信息？ (8)3.2体育场馆部署的区域内，如果存在大量其他WIFI 系统，如运营商的无线网络，商户自建WIFI？ 93.3体育场馆内部署越来越多的无线设备，如何避免设备相互间的干扰？ (10)3.4体育场馆内存在非WIFI 干扰设备，无线系统如何保障稳定性？ (11)3.5体育场馆内的展位布局一直在改变，因此，相同位置遭受到的阻挡也会变化，同时人来人往都会对信号造成阻挡，如何保障信号的稳定性？ (12)3.6体育场馆内的人流密度很高，传统设备在关联人数到达20人左右时就已经无法使用，如何保障在高峰期也能够满足所有人员同时上网？ (12)3.7现在观众所使用的终端都是智能手机，平板电脑等智能终端，发射功率小，接收效果差，包括移动POS机，无线扫描枪也有此类问题，该如何解决？ (13)3.8无线网络如此重要，如何做到信号及设备的冗余？ (14)3.9对于连锁体育场馆，需要集中管理，而分散在各地的体育场馆必须采用数据本地转发的方式，传统无线架构在采用本地转发方式时，各项管理及认证功能将会缺失，该如何解决？ (14)3.10对于体育场馆内部，如何才能利用无线网络统计到店的人流量？ (14)3.12对于体育场馆内部，部署无线网络系统后，如何实现如实时地图导航，基于位置的促销信息推送等应用？ (16)3.13对于体育场馆内部，部署无线AP后是否会影响体育场馆的美观？ (17)3.14对于体育场馆内部的用户，客户端经常会“粘”在某个距离客户端已经很远的AP上，因此，即使信号覆盖没有问题，也会引起客户觉得信号质量差的错觉，同时上网性能不高，该如何解决？ (17)3.15体育场馆内的AP出现硬件故障时，管理人员如何知道，如何恢复,是否会面临非常复杂的操作？ (17)3.16无线控制器的管理配置是否复杂？ (18)4无线WLAN网络设计 (18)AP覆盖规划 (19)网络组成部分 (22)和现有网络的融合连接 (22)无线控制器的部署 (22)DHCP服务器、认证服务器和网管服务器以及应用服务器的连接 (22)5体育场馆行业成功案例 (23)厦门国际会展中心于2012年整网部署RUCKUS无线覆盖 (23)RUCKUS与体育之窗携手采用智能无线网络为球迷观赛活动提供全新体验 (24)时代华纳有线电视 (25)6产品介绍 (26)1.用户介绍和项目概述为提高观众体验，提高场馆办公效率，XXX决定在场馆内公共和办公区域部署WIFI覆盖。

神州数码交换机路由器命令汇总(部分)2016年3月23日星期三修改_________________________________________________________________________注：本文档命令为最简命令，如不懂请在机器上实验注：交换机版本信息：DCRS-5650-28(R4) Device, Compiled on Aug 12 10:58:26 2013sysLocation ChinaCPU Mac 00:03:0f:24:a2:a7Vlan MAC 00:03:0f:24:a2:a6SoftWare Version 7.0.3.1(B0043.0003)BootRom Version 7.1.103HardWare Version 2.0.1CPLD Version N/ASerial No.:1Copyright (C) 2001-2013 by Digital China Networks Limited.All rights reservedLast reboot is warm reset.Uptime is 0 weeks, 0 days, 1 hours, 42 minutes路由器版本信息：Digital China Networks Limited Internetwork Operating System SoftwareDCR-2659 Series Software, Version 1.3.3H (MIDDLE), RELEASE SOFTWARECopyright 2012 by Digital China Networks(BeiJing) LimitedCompiled: 2012-06-07 11:58:07 by system, Image text-base: 0x6004ROM: System Bootstrap, Version 0.4.2Serial num:8IRTJ610CA15000001, ID num:201404System image file is "DCR-2659_1.3.3H.bin"Digital China-DCR-2659 (PowerPC) Processor65536K bytes of memory,16384K bytes of flashRouter uptime is 0:00:44:44, The current time: 2002-01-01 00:44:44Slot 0: SCC SlotPort 0: 10/100Mbps full-duplex EthernetPort 1: 2M full-duplex SerialPort 2: 2M full-duplex SerialPort 3: 1000Mbps full-duplex EthernetPort 4: 1000Mbps full-duplex EthernetPort 5: 1000Mbps full-duplex EthernetPort 6: 1000Mbps full-duplex Ethernet一、交换机配置命令1.基本配置switch > en （enable ）进入特权用户模式 switch # con (config) 进入全局配置模式switch (config)# ho switch (hostname) 配置交换机名称 switch (config)# in e1/0/1 进入接口配置模式 switch (config -if -ethernet1/0/1)# exswitch (config)# in vl 1 进入VLAN 配置模式switch (config -if -vlan1)# ip ad 192.168.1.252 255.255.255.0 switch (config -if -vlan1)# exswitch (config)# ena p 1234 配置交换机密码(不加密) switch (config)# ena p 7 1234 配置交换机密码（加密） switch (config)# vl 10 创建vlan switch (config -vlan10)#ex switch (config)# in vl 10switch (config -if -vlan10)# ip ad 172.16.10.1 255.255.255.0 配置VLAN 地址2.生成树技术switch (config)# sp (spanning -tree) 启用全局生成树（默认mstp 生成树技术） switch (config)# sp mo stp/rstp /mstp (生成树/快速生成树/多生成树技术) switch (config)# sp ms 0 p 4096 设置交换机的优先级 默认32768 switch (config)# sh sp (show spanning -tree) 查看生成树3.交换机Web 管理switch (config)# ip ht serswitch (config)# usern admin pa 1234 用户名和密码4.交换机Telnet 管理switch (config)# telnet -s e (telnet enable) 开启telnet 服务 switch (config)# usern admin pa 1234 用户名和密码5.链路聚合(不需启动生成树)switchA (config)# port -g 1 (prot -group) switchA (config)# in e1/0/1-2switchA (config -port -range)# po 1 m on/active switchA (config -port -range)# ex switchA (config)# no port -g 1 删除组1switchB (config)# port -g 2 switchB (config)# in e1/0/3-4switchB (config -port -range)# po 2 m on/active switchB (config -port -range)# ex switchB (config)# no port -g 2 删除组26.交换机MAC 与IP 绑定switch (config)# am e (am enable) 启用全局am 功能 switch (config)# in e1/0/1switch (config_if_ethernet1/0/1)# am p (am port) 打开端口am 功能switch (config_if_ethernet1/0/1)# am m (mac -ip -pool) 00-A0-D1-D1-07-FF 192.168.1.101 switch (config_if_ethernet1/0/1)# ex switch (config)# in e1/0/2输入这条命令会出现: Invalid ENCRYPTED password! Please input the ENCRYPTED password with length 32 密码位数不够32位switch (config_if_ethernet1/0/2)# no am p 解锁端口7.交换机MAC与IP绑定静态绑定switch (config)# in e1/0/1switch (config_if_ethernet1/0/1)# sw p (port-security) 开启绑定功能switch (config_if_ethernet1/0/1)# sw p mac 00-a0-d1- d1-07-ff 添加静态MAC地址switch (config_if_ethernet1/0/1)# sw p max 4 绑定MAC地址的个数（默认为1）动态绑定(实验中交换机没有动态绑定命令)switch (config)# in e1/0/1switch (config_if_ethernet1/0/1)# sw p (port-security) 开启绑定功能switch (config_if_ethernet1/0/1)# sw port-security lockswitch (config_if_ethernet1/0/1)# sw port-security convert 将动态学习到绑定MAC的进行绑定switch # sh port-s add 查看绑定的地址8.交换机DHCP服务器配置switch (config)# service dhcp 启用DHCPswitch (config)# ip dh po poolA定义地址池poolAswitch (dhcp-poolA- config)# netw (network-address) 192.168.1.0 24switch (dhcp-poolA- config)# de (default-router) 192.168.1.254网关switch (dhcp-poolA- config)# dn 60.191.244.5DNS服务器switch (dhcp-poolA- config)# le 3租期3天switch (dhcp-poolA- config)# exswitch (config)# ip dh ex (excluded-add) 192.168.1.252 192.168.1.254 排除地址范围9.保留地址（一个地址池中只能配一个IP-MAC的绑定）switch (config)# ip dh po poolCswitch (dhcp-poolC- config)# ho 192.168.1.100 绑定的IP地址switch (dhcp-poolC- config)# ha (hardware-add) 00-a0-d1- d1-07-ff 绑定的MAC地址switch (dhcp-poolC- config)# de 192.168.1.254 网关10.ACL访问控制列表switchA (config)# ip ac s (standard) test命名标准IP访问列表switchA (config-std-nacl-test)# d (deny) 192.168.100.0 0.0.0.255反子网掩码（路由器上为子网掩码）switchA (config-std-nacl-test)# d 192.168.200.0 0.0.0.255switchA (config-std-nacl-test)# p (permit) a (permit any) 允许所有switchA (config-std-nacl-test)# exswitchA (config)# fir e (firewall enable) 开启ACL功能switchA (config)# in e1/0/1switchA (config-if-interface1/0/1)# ip ac (access-group) test in/out 进in出out （二层交换机上不支持out）11.配置时间范围switchA (config)# time-r worktimeswitchA (config-time-range)# p (periodic) weekd 9:0:0 to 18:0:012.VRRP虚拟路由器冗余协议Master BackupswitchA (config)# router v 1 switchB (config_router)# router v 1switchA (config_router)# v (virtual-ip) 192.168.1.254 switchB (config_router)# v 192.168.1.254 switchA (config_router)# i v 1 (interface vlan 1) switchB (config_router)# i v 1switchA (config_router)# pri 110 switchB (config_router)# enaswitchA (config_router)# c (circuit-failover) v 10 20switchA (config_router)# ena13.DHCP中继DHCP_relay (config)# service dhcp 全局开启DHCP服务DHCP_relay (config)# ip fo u b (ip forward-protocol udp bootps) 全局开启转发DHCP_relay (config)# in vl 10DHCP_relay (config-if-vlan10)# ip h 172.16.1.1 转发到DHCP服务器地址14.DHCP侦听DHCP (config)# service dhcpDHCP (config)# ip dh sn e 开启DHCP侦听功能DHCP (config)# in e1/0/1DHCP (config-if-ethernet1/0/1)# ip d s t (ip dhcp snooping trust)设置上联口为信任口15.端口隔离Switch (config)# is g test s i e1/0/1-2 (isolate-port group test switchport interface e1/0/1-2)e1/0/1-2口不能互相通信，可以和其它端口通信。

锐捷交换机路由器配置教程目录第一章：设备配置和文件管理 .......... .. (4)1.1 通过TELNET 方式来配置设备 ... . (4)1.2 更改IOS 命令的特权等级 (4)1.3 设备时钟设置 (5)第二章：交换机基础配置 ............... (5)2.1 交换机vlan 和trunk 的置 ..... .5 2.2 turnk 接口修剪配置 (6)2.3 PVLAN 配置 ............... (7)2.4 端口汇聚配置 .... ..8 2.5 生成树配置 ..... . (9)2.6 端口镜像配置 ..... .. (9)第三章：交换机防止ARP 欺骗置 .. (10)3.1 交换机地址绑定（address-bind ）功能 (10)3.2 交换机端口安全功能 (10)3.3 交换机arp-check 功能 .... ..11 3.4 交换机ARP动态检测功能(DAI)........ . (11)第四章：访问控制列表配置（ACL）.... ....... ..124.1 标准ACL配置 (12)4.2 扩展ACL配置 (13)4.3 VLAN之间的ACL配置............... ...... .134.4 单向ACL的配置 (15)第五章：应用协议配置 (16)5.1 DHCP服务配置......................... . (16)5.2 交换机dot1x认证配置 (18)5.3 QOS限速配置............... (19)5.4 IPsec配置.............. (20)5.5 GRE配置................ ............... ..225.6 PPTP 配置 (22)5.7 路由器L2TP配置 (23)5.8 路由器NAT 配置 (24)第六章：路由协议配置 (25)6.1 默认路由配置 (25)6.2 静态路由配置 (25)6.3 浮动路由配置 (25)6.4 策略路由配置 (25)6.5 OSPF 配置............ . (26)6.6 OSPF 中router ID 配置 (27)第一章：设备配置和文件管理1.1 通过TELNET 方式来配置设备提问：如何通过telnet 方式来配置设备？回答：步骤一：配置VLAN1 的IP 地址S5750>en ---- 进入特权模式S5750#conf ---- 进入全局配置模式S5750(config)#int vlan 1 ---- 进入vlan 1 接口S5750(config-if)#ip address 192.168.0.230 255.255.255.0- 为vlan 1 接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式步骤二：配置telnet密码S5750(config)#line vty 0 4 ----进入telnet密码配置模式S5750(config-line)#login ---启用需输入密码才能telnet成功S5750(config-line)#password rscstar ---将telnet密码设置为rscstar S5750(config-line)#exit ---回到全局配置模式S5750(config)#enable secret 0 rscstar -配置进入特权模式的密码为rscstar 步骤三：开启SSH服务（可选操作）S5750(config)#enable service ssh-server ---开启ssh服务S5750(config)#ip ssh version 2 -启用ssh version 2S5750(config)#exit -- 回到特权模式S5750#wri -保存配置1.2 更改IOS 命令的特权等级提问：如何只允许dixy这个用户使用与ARP相关的命令？回答：S5750(config)#username dixy password dixy - 设置dixy 用户名和密码S5750(config)#username dixy privilege 10 --dixy 帐户的权限为10 S5750(config)#privilege exec level 10 show arp- 权限10 可以使用show arp 命令S5750(config)#privilege config all level 10 arp-- 权限10 可以使用所有arp 打头的命令S5750(config)#line vty 0 4 ---- 配置telnet 登陆用户S5750(config-line)#no passwordS5750(config-line)#login local注释：15 级密码为enable 特权密码，无法更改，0 级密码只能支持disable ，enable ，exit和help ，1 级密码无法进行配置。

无线智能化设备技术参数一、无线控制器1.千兆以太网口数≥4个；并需提供1个RJ-45 Console管理口，提供USB接口数≥2，用于外接硬件设备2.集中转发模式下最大可支持管理AP数≥72，单台设备最大可支持管理AP数≥600；3.支持802.11a、802.11b、802.11g、802.11n、802.11ac、802.11ac wave2、802.11e、802.11h、802.11i、802.11k、802.11v等协议4.支持802.1x、Portal、MAC地址认证、CA证书认证、WAPI、802.1X WEP等企业认证，以及二维码审核认证、微信认证、短信认证、APP认证、临时访客账号、Facebook等外来访客认证方式；5.支持对接移动办公平台进行用户认证，包括阿里钉钉、微信企业号、口袋助理等主流平台，支持同步组织架构实现不同部门人员分配不同的上网权限策略，同时用户端可以直接通过APP或轻应用即可自助管理账号密码（提供后台功能截图证明）；6.支持接入终端操作系统智能识别，能识别安卓、ios、windows移动终端、windows PC、MAC PC等接入终端，7.支持智能无线网盾准入，设置只允许采用同品牌智能无线网盾的终端才能接入（提供后台功能截图证明）；8.支持Portal认证页面自定义，包括页面展示信息、页面标题、文字描述、免责声明等信息；9.支持认证方式排序，实现同一个SSID不同认证方式，员工使用PC机登录认证时默认显示账号认证，外来访客的移动终端登录认证时默认显示访客认证（微信、二维码等）10.提供多种规则的页面推送方式，支持根据AP位置、时间计划、性别、运营商类型、归属地等推送不同的Portal页面，实现不同效果的首页推送；11.支持根据用户/接入AP/终端类型设置不同的跳转页面或URL，同时将用户名、终端MAC、IP以及接入的AP/AP组等信息传递给网站，用于二次开发或统计分析12.支持记录上网用户在网站访问行为、网络应用使用行为、搜索引擎及APP内搜索行为，并要求能根据使用此次或搜索次数进行TOPN排行13.支持人流密度分布热图，可直观查看各区域的人群密度分布情况，哪里人员密集、哪里稀疏14.支持原始数据开放，可对接CRM系统，提供的用户信息包括但不限于终端MAC、首次出现时间、最后出现时间、出现次数、终端操作类型等；15.支持应用识别，能识别不低于2300种的网络应用，能识别邮件、游戏、P2P流媒体、WEB流媒体、金融交易、办公OA、移动终端应用等主流应用（提供功能截图证明）；16.支持人流量分析，实现每天总到人数、新到人数、二次返回率、驻留时长等客流量分析（提供功能截图证明）；17.支持用户画像，支持对用户的移动轨迹、来访偏好、高峰时段、来访频次、驻留时长、WiFi使用时长、移动终端类型、性别、归属地域、上网爱好标签等信息进行收集和分析（提供功能截图证明）；18.支持主动信息推送，无需通过外挂云平台即可实现基于性别、归属地、爱好标签、来访次数、接入位置、时间段的微信、短信、网页多种方式的营销信息推送；19.支持网络应用智能缓存，自动将无线网络中首次下载的APP，缓存到本地服务器（包括控制器内置硬盘、AP外置U盘或者外挂服务器），实现缓存加速（提供后台功能截图证明）20.支持对接思科、Aruba、Ruckus、华为、华三、锐捷等无线设备实现统一Portal/Web和802.1X认证，包括微信认证、短信认证、二维码审核、802.1X、Web账号密码认证（提供功能截图证明）21.支持本地转发模式下的应用识别和行为审计，能够在本地转发情况下支持用户画像、应用排行统计、用户上网行为审计等（提供后台功能截图证明）22.支持移动APP运维，通过手机APP即可进行无线状态查看、无线网络管理、访客审核、用户画像、客流统计、无线广播、告警通知等（提供后台功能截图证明）二、无线接入设备（中高端配置）1.★802.11ac wave 2协议，兼容802.11a/b/g/n/ac协议，支持2.4G和5G同时工作；2.支持2x2 MIMO，2.4G最大传输速率≥300Mbps，5G最大传输速率≥867Mbps，整机最大传输速率≥1167Mbps3.内置矩阵式智能天线4.千兆以太网口≥1个，并需提供1个RJ-45 Console管理口5.★USB接口≥1个6.支持802.3af标准的PoE供电和本地电源适配器供电两种方式7.AP满负荷工作功耗≤13W8.AP发射功率≤20dBm（最大不超过100mw），且功率可调节（调节粒度为1dBm，调节范围为1dBm~20dBm）9.☆IP防护等级≥4110.工作温度：-10~50℃；工作湿度（非凝结）：5%~95%11.☆单射频接入人数≥128，整机最大接入人数≥25612.支持基于SSID的接入用户数限制13.支持虚拟AP技术，单射频SSID数量≥16，整机≥32；14.支持SSID隐藏；支持英文SSID、中文SSID或中英文混合SSID15.支持SSID与1QVLAN一对一或一对多的映射；16.★支持100%胖瘦一体化，无需通过软件升级的方式即可在廋AP和胖AP互相转换，以适应部署需求17.AP支持集中转发和本地转发两种数据转发模式，同一个AP上基于SSID选择本地转发或者集中转发；18.☆支持AP零配置，支持二三层发现、DHCP Option43、DNS域名等多种AC自动发现机制19.支持跨三层、跨广域网、NAT部署AP，并支持与AC的管理隧道加密；20.支持802.1x、Portal、MAC地址认证、CA证书认证、WAPI、二维码审核认证、微信认证、短信认证、APP认证、临时访客账号、Facebook、802.1X WEP、WPA、WPA2等认证方式；21.支持802.11i、AES、TKIP等加密方式22.支持WIPS/防钓鱼WIFI，支持对非法接入点的实时检测、告警及反制23.☆支持接入点VPN功能，可以跨互联网与异地的无线控制器建立加密通信隧道，实现加密远程访问24.支持802.11h 动态频率选择(DFS)，自动避开干扰信道25.支持基于时间计划定时开启或关闭指定SSID，并可配置例外SSID26.★支持同一个AP不同SSID无线空口的资源动态带宽分配，当AP带宽不足时，其包含的所有的SSID之间的保证带宽将按各自设定的权重进行分配；27.☆支持同一个SSID根据不同应用流量分配子通道资源，当SSID带宽不足时，其包含的子通道的保证带宽将按各自设定的优先级高低及权重进行分配；28.支持无线带宽平均分配，让不同协商速率的终端占用相等的无线信道时间，防止低速终端拉低网络整体速；29.支持基于用户数、信号强度、信道利用率的智能负载均衡，自动平衡各AP之间的接入压力30.支持射频引导功能，引导无线终端优先接入干扰小的5G频段31.☆支持瘦AP切换成网关模式（非胖AP模式），支持PPPoE拨号、静态IP、DHCP三种上网方式；32.支持DHCP Server和DNS代理功能33.☆支持无线控制器逃生功能，当无线控制器宕机后，切换成智能转发模式，依然能保证在线用户的正常上网，并保证新用户也能通过认证连入无线网络；三、无线接入设备（中低端配置）1.支持802.11a/b/g/n/ac协议，支持2.4G和5G同时工作；2. 2.4G最大传输速率≥300Mbps，5G最大传输速率≥433Mbps，整机最大传输速率≥733Mbps；3.内置天线4.以太网口≥1个，并需提供1个RJ-45 Console管理口5.★USB接口≥1个6.支持802.3af标准的PoE供电和本地电源适配器供电两种方式7.AP满负荷工作功耗≤10W8.AP发射功率≤20dBm（最大不超过100mw），且功率可调节（调节粒度为1dBm，调节范围为1dBm~20dBm）9.工作温度：-10~50℃；工作湿度（非凝结）：5%~95%10.☆单射频接入人数≥128，整机最大接入人数≥25611.支持基于SSID的接入用户数限制12.支持虚拟AP技术，单射频SSID数量≥16，整机≥32；13.支持SSID隐藏；支持英文SSID、中文SSID或中英文混合SSID14.支持SSID与1QVLAN一对一或一对多的映射；15.★支持100%胖瘦一体化，无需通过软件升级的方式即可在廋AP和胖AP互相转换，以适应部署需求16.AP支持集中转发和本地转发两种数据转发模式，同一个AP上基于SSID选择本地转发或者集中转发；17.☆支持AP零配置，支持二三层发现、DHCP Option43、DNS域名等多种AC自动发现机制18.支持跨三层、跨广域网、NAT部署AP，并支持与AC的管理隧道加密；19.支持802.1x、Portal、MAC地址认证、CA证书认证、WAPI、二维码审核认证、微信认证、短信认证、APP认证、临时访客账号、Facebook、802.1X WEP、WPA、WPA2等认证方式；20.支持802.11i、AES、TKIP等加密方式21.支持WIPS/防钓鱼WIFI，支持对非法接入点的实时检测、告警及反制22.☆支持接入点VPN功能，可以跨互联网与异地的无线控制器建立加密通信隧道，实现加密远程访问23.支持802.11h 动态频率选择(DFS)，自动避开干扰信道24.支持基于时间计划定时开启或关闭指定SSID，并可配置例外SSID25.★支持同一个AP不同SSID无线空口的资源动态带宽分配，当AP带宽不足时，其包含的所有的SSID之间的保证带宽将按各自设定的权重进行分配；26.☆支持同一个SSID根据不同应用流量分配子通道资源，当SSID带宽不足时，其包含的子通道的保证带宽将按各自设定的优先级高低及权重进行分配；27.支持无线带宽平均分配，让不同协商速率的终端占用相等的无线信道时间，防止低速终端拉低网络整体速；28.支持基于用户数、信号强度、信道利用率的智能负载均衡，自动平衡各AP之间的接入压力29.支持射频引导功能，引导无线终端优先接入干扰小的5G频段30.☆支持瘦AP切换成网关模式（非胖AP模式），支持PPPoE拨号、静态IP、DHCP三种上网方式；31.支持DHCP Server和DNS代理功能32.☆支持无线控制器逃生功能，当无线控制器宕机后，切换成智能转发模式，依然能保证在线用户的正常上网，并保证新用户也能通过认证连入无线网络；四、POE交换机（24口）1."★千兆以太网口≥24个2.★千兆SFP光口≥4个（非复用）3.1个RJ45形态Console口"4."支持全端口线速转发5.交换机交换容量≥56Gbps，包转发率≥41Mpps；"6."最大支持VLAN数≥4K7.支持基于端口的VLAN"8."MAC地址容量表≥16K；9.支持MAC地址自动学习和老化"10.☆支持智能交换机零配置上线，支持二三层发现、DHCP Option43、DNS域名等多种AC自动发现机制11.支持跨三层、跨广域网、NAT部署智能交换机，并支持与AC的管理隧道加密；12.支持无线控制器统一配置管理交换机，实现简化部署运维13.支持通过无线控制器对智能交换机进行VLAN、IP等网络配置14.支持通过无线控制器对智能交换机的状态进行图形化查看，包括每个端口的开关、负载状态、交换机交换容量状况，并能通过颜色区分端口是否运行，提高运维效率（比如绿色为工作中，灰色为不工作）15.★为保证兼容性与统一管理，要求本次的智能交换机与AC、AP为同一品牌五、POE交换机（10口）1.★千兆以太网口≥8个（8个POE口），千兆SFP光口≥2个；2.交换机交换容量≥20Gbps，包转发率≥14Mpps；3.支持IEEE 802.3af以及802.3at(POE+)两种供电标准，4.★整机最高POE输出功率≥124W；单端口最高输出功率≥30W；5.POE供电脚位必须为1/2(+)，3/6(-) ，不接受供电脚位为4578的供电方式；6.支持Auto-MDIX功能，自动识别直通网线和交叉网线7.支持VLAN功能，至少支持不低于1000个VLAN；支持802.1Q标准 VLAN；8.支持WEB图形化界面管理，支持CLI、SNMP、Console、Telnet、SSH等；9.★为保证兼容性与统一管理，要求本次的智能交换机与AC、AP为同一品牌六、设备管理平台1、AP统一集中管理所有AP统一由无线控制器进行集中管理，由控制器统一下发配置，一次性配置一次性下发，实现AP端零配置。

配置旁挂式二层组网隧道转发举例组网需求有线网络需要进行大量的网线布放，耗费大量成本和人力，且用户使用网络不具备灵活性。

用户希望通过AC+Fit AP的方式部署WLAN网络，减少网线布放的成本和人力，提高用户使用网络的灵活性以及网络的可维护性。

如图1所示，现有网络中汇聚交换机连接上层网络，AC采用旁挂方式通过汇聚交换机和接入交换机连接管理AP。

AC和AP之间网络属于二层组网，管理VLAN为VLAN100。

采用隧道转发的方式，可以对数据报文进行有效地管理。

图1 组网配置图数据准备配置思路采用如下的思路进行WLAN配置：1.使用配置向导，配置AP在AC上线。

2.使用配置向导在AC上配置WLAN相关业务。

3.业务下发至AP，用户完成业务验证。

说明：当用户新开局时，对于AP的射频信道的设置，用户可根据网络规划手动指定，也可使用射频调优功能自动选择最佳信道。

如果使用射频调优功能自动选择信道，用户可在所有的AP完成配置下发后，执行下述步骤：1.依次单击“配置> AP管理> 射频模板”，进入“射频模板列表”页面。

在“射频模板列表”页面中，单击“刷新”，将信道模式和功率模式都指定为自动。

2.单击“维护> 射频调优”，进入“射频调优”界面。

在“射频调优配置”选择“调优模式”为“手动”，单击“开始”，手动触发调优功能。

3.执行手动调优一小时后，调优结束。

此时用户可以选以下两种方案：∙（推荐）将射频调优模式改为定时调优，并将调优时间定为用户业务空闲时段（如当地时间凌晨00:00-06:00时段）。

∙手动固定信道：将射频模板下的信道模式和功率模式指定“手动”模式。

如果有新AP加入，用户可重复执行上述步骤2。

操作步骤1.配置周边设备# 配置接入交换机的GE0/0/1和GE0/0/2接口加入VLAN100，GE0/0/1的缺省VLAN为VLAN100。

# 配置汇聚交换机的接口GE0/0/1和GE0/0/2加入VLAN100。

1、AP、AC跨三层组网配置方法 (1)1.1、DHCP Server Option 43配置方法 (1)1.2、为AP手工指定AC地址配置方法 (5)1.3、简单操作方法 (6)2、控制器AP组与WLAN组配置方法 (7)2.1、建立AP组 (7)2.2、建立WLAN（SSID） (9)2.3、多SSID（多VLAN）模式下，交换机端口配置方法 (10)2.4、建立WLAN组 (11)2.5、将AP与WLAN组建立绑定关系 (11)3、Radius认证与802.1x配置方法 (13)3.1、IAS配置方法 (13)3.2、将AC与Radius服务器建立连接 (21)3.3、配置WLAN的802.1x认证 (22)3.4、笔记本网卡设置 (23)3.5、认证成功后AC界面 (26)4、大量视频流环境下AP配置方法（组播转单播） (26)5、通过CLI命令行为AP升级固件方法 (28)6、在CLI命令行启用ofdm-only或者设置bss-minrate，改善漫游效果 (29)6.1、设置bss-minrate (29)6.2、设置ofdm-only (31)7、白名单黑名单（访问控制列表ACL） (33)1、AP、AC跨三层组网配置方法如果AP与AC跨VLAN三层组网，此时必须将AC的IP地址告知所有AP。

可以通过配置DHCP Server Option 43或通过AP的CLI命令行静态指定AC的IP地址。

1.1、DHCP Server Option 43配置方法以Windows Server为例，配制方法如下：1.2、为AP手工指定AC地址配置方法需要利用SecureCRT工具，通过SSH协议连接AP，在CLI界面下配置。

在默认状态下，AP的Telnet服务是关闭的，出于安全性考虑，也不建议开启Telnet 服务。

进入AP的CLI界面后，先用下面的命令指定AP的IP地址、掩码、网关地址：set ipaddr wan <ipaddr> <netmask> <gw-ipaddr>例如：set ipaddr wan 10.0.21.21 255.255.255.0 10.0.21.1修改AP的IP地址之后，SSH连接会中断，此时需要将PC网卡的IP地址做相应修改，重新连接新的IP，再用下面的命令指定AC的IP地址：set director ip <primary-ip> <secondary ip>例如：set director ip 10.0.36.154指定AC的IP地址之后，需要用reboot命令将AP重启，才能生效。