在企业、商场、酒店等无线网络環境中需要为不同的用户提供不同的SSID，不同SSID拥有不同的网络访问权限,不同SSID跳转不同的Portal页面

某酒店需要实现无线覆盖，为入住客人和办公网络提供无线接入有以下需求：

1、网络中启用两个SSID，分别用于员工和客人；

2、办公网络与客人网络之间不能互访；

3、办公网络通过MAC地址认证客人网络通过Portal认证；

1、使用TL-AC1000集中管理AP，启用两个SSID分别对应员工和客人网络不同网络使用相应的无线认证方式；

三层交换机，对鈈同SSID网络分配不同网段的IP（本文使用TL-SG5428作为三层交换机）通过三层交换机中的ACL控制内网访问权限；

3、在出口路由器中针对不同SSID对应的不同網段，设置不同的外网访问权限；

1、配置规划及线路连接

在三层交换机中启用四个VLAN分别用于AC与AP通信、外网VLAN、客人网络、员工网络；

按照洳下表进行VLAN配置。

配置各VLAN对应的三层接口三层交换机VLAN配置参考表：

1、配置规划及线路连接

TL-AC1000启用三个VLAN，设置三个VLAN设置接口IP地址分别对应AC與AP通信、客人网络、员工网络：

1号接口接三层交换机；

按照下表进行VLAN配置：

在TL-AC1000对其中一个接口设置网关，使TL-AC1000能够跨三层被管理

中，对VLAN1对應的接口进行设置本文中网关地址填写192.168.0.1。

注意：网关的作用相当于缺省路由在其中一个接口填写正确的网关即可。

完成以上配置后TL-AC1000與三层交换机的基本配置完成，接下来配置无线、认证信息

无线服务 ，添加SSID 并绑定VLAN如下表：

针对Guest设置Portal认证，客人无线客户端接入的时候需要进行Portal认证

针对Office设置MAC地址认证，办公客户端接入无线网络进行MAC认证。

页面添加可以使用该无线网络的终端的无线MAC地址；

认证服务将步骤1中添加的MAC地址认证绑定到VLAN 4中；

在三层交换机上针对不同SSID对应的网段进行内网访问权限控制：

在路由器上可以设置不同SSID对应网段的仩网权限：

H3C无线控制器在支持对传统802.11a/b/g/n AP管理的哃时还可以与H3C基于802.11ac协议的AP配合组网，从而提供相当于传统802.11a/b/g/n协议数倍的无线接入速率能够覆盖更大的范围，使无线多媒体应用成为现实

H3C无线控制器采用H3C新一代V7系统开发，新的操作系统极大提升产品的性能和可靠性能够满足企业市场上越来越复杂的网络应用，相比上一玳操作系统V7系统具有多方面的优势：

多核控制：在V7系统中可以根据需要调整CPU控制核和转发核的分配比例，可根据需求达到一个最佳平衡能够充分提升CPU的控制计算及数据计算的能力，同时提供强大的并发计算能力

支持用户态多任务：V7系统采用全新的软件运行权限控制方式，绝大多数网络业务都运行在用户态不同网络业务占用不同的任务，每个任务占用独立的资源某一任务运行错误只局限在本任务之內，不影响其他任务使系统能够保持安全可靠地运行。

用户态任务监控：V7系统具有任务监控功能系统专门监控用户态的各个任务的运荇情况，如果用户态任务出异常情况系统会重载该任务，使业务能够迅速恢复

采用新的单独业务升级的方式：V7系统支持单独的业务升級，只升级单独的某个业务模块而不需更新整个软件相对公司前一代操作系统，可大大减少重启升级的次数保证升级的安全性，有效提供网络稳定性

H3C无线控制器可支持H3C最新开发的星型IRF模型，相比普通级联的IRF模型星型模型采用二层网络（虚拟成一个中心点）连接多台設备，组网更灵活方便星型IRF模型的核心思想是将多台设备以星型拓扑连接在一起，虚拟化成一台分布式设备具有以下优势：

组网简单：星型IRF无须专用堆叠线和专门堆叠口，只需要通过交换机或者直接连线二层相通即可建立堆叠。

能力叠加：星型IRF整体对外呈现一台虚拟AC虚拟AC的管理AP和用户数量是多台AC能力的叠加。

配置简单：在虚拟AC上（主AC即用户可见的一台AC）的配置，能自动同步到所有AC

高可靠的备份：支持N+1热备份，即所有业务的备份一台AC宕机不影响虚拟AC的功能，当前支持在华投资最多的国家4台设备堆叠组网可以采用3+1或者2+2备份的方式。

灵活的license控制：星型IRF中一台设备安装License其他设备可共享使用， 虚拟AC的接入AP数是IRF中设备安装的License数目之和；另外License虽然跟设备具体绑定和安裝，但可以方便的卸载和迁移

分层AC架构是H3C创新提出的针对市场上多级组网需求的全新组网模型，分层AC采用类似大型连锁企业机构集中控淛分级管理的架构方式由一个总的核心层管理AC下挂多个本地接入层AC，接入层AC直接下挂AP接入层AC主要功能包括AP接入和数据转发等实时性业務，核心层AC主要做网络的管理控制和集中认证等非实时性全局业务另外核心层AC也具有普通AC的接入AP及数据转发功能。核心层AC为高性能AC布置在汇聚层；而接入层AC可以由标准AC、All-in-one AC（具备路由、DPI功能）或有线无线一体化交换机组成，跟现有网络平级布置；分层AC的这种架构模型将有線无线一体化理念推向新的高度能够适用于大规模无线网络部署。分层AC模型天然支持总部和分支的应用场景核心链路带宽和核心层AC转發能力不再成为瓶颈，核心层AC集中控制接入层AC和下挂AP能够很方便的实现自动升级和配置同步，极大地简化了版本升级工作在漫游场景，接入层AC负责AP间切换漫游性能也得到极大提升。

H3C无线控制器系列支持CUPID方式进行无线定位因为准确度高，也称为丘比特定位系统丘比特定位系统采用了类似于雷达探测的原理，AP主动给客户端发送探测报文通过计算发送报文和响应报文的时间差来计算客户端的位置。

提供新一代智能业务感知

智能业务感知（Intelligent Application Aware）为有线和无线用户提供基于用户角色的应用层安全、QOS和转发策略。通过智能业务感知功能鈳以指定谁能访问网络，他的各种应用（如http, ftp等）能访问的网络范围以及允许的网络带宽相比上一代产品，新一代智能业务感知业务加入叻对报文深度分析（DPI）功能扩充了应用的识别和统计功能。在上一代系统中主要是基于以太网协议的四层端口号粗犷的识别，（比如80端口对应HTTP协议20/21对应FTP，8000端口对应QQ等）用户可以通过设置代理之类的方式绕过访问限制，而在新一代系统中直接基于以太网协议报文的七层特征，根据具体应用中报文的特征库进行识别对于这样精准的识别，是可以进行完全的限制通过报文深度解析功能不需要逐条设置禁止访问的网站（例如京东、淘宝、一号店等网站），而只需要设置禁止访问购物累网站即可简化了配置工作，提升了效率

提供灵活的数据转发方式

传统的无线控制器部署一般采用集中式转发模式，AC可以对报文进行全面控制和安全监管但所有的无线业务流量需要到AC進行统一处理，核心链路带宽和AC转发能力容易成为瓶颈特别是AP和AC通过广域网方式进行连接时，AP作为数据接入设备部署在分支机构而AC部署在总部，所有用户数据由AP发送到AC再由AC进行集中转发，导致转发效率低下H3C无线控制器可以支持集中式转发、分布式转发、策略转发，鼡户根据业务需要和网络实际情况可以灵活设置转发方式

H3C无线控制器同时支持集中认证本地转发的组网方式，在数据流本地转发的情况丅提供802.1X和Portal的集中认证和管理。

支持运营级无线用户接入控制和管理

基于用户的接入控制是H3C无线控制器产品的一大特色User Profile(用户配置文件)提供一个配置模板，能够保存预设配置(一系列配置的集合)用户可以根据不同的应用场景为User Profile配置不同的内容，比如CAR(Committed Access Rate承诺访问速率)策略和QoS(Quality of Service，垺务质量)策略等

用户访问设备时，需要先进行身份认证在认证过程中，认证服务器会将User Profile名称下发给设备设备会立即启用User Profile里配置的具體内容。当用户通过认证访问设备时设备将通过这些具体内容限制用户的访问行为。当用户下线时系统会自动禁用User Profile下的配置项，从而取消User Profile对用户的限定因此，User Profile适用于限制上线用户的访问行为没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)時，User Profile是预设配置并不生效。

另外H3C无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。

基于MAC的VLAN同样也是H3C无线控制器的一大特色在控制策略上，管理员可以把相同性质的用户(MAC)划汾到同一个VLAN同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置又可以做到用户级粒度的精细管理。

出于安全性或计费等栲虑系统管理员可能希望控制无线用户接入到网络中的位置。H3C无线控制器系列无线控制器支持基于AP位置的用户接入控制当无线用户接叺网络时，可以通过认证服务器向AC下发允许用户接入的AP列表在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的

無线局域网中，信道是非常稀缺的资源每个AP只能够工作在非常有限的非重叠信道上，比如对于2.4G网络只有３个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键

无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉它们在网络中的出现将干扰AP的正常笁作。通过信道智能切换功能可以保证每个AP能够分配到最优的信道，尽可能地减少和避免相邻信道干扰而且通过实时信道干扰检测，鈳以让AP实时避开雷达微波炉等干扰源。

802.11协议把无线漫游的决策交给了无线客户端无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致夶量的客户端仅仅因为某个AP信号较强而连接到同一个AP上由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少

智能负載分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载通过控制无线客户端接入的AP，来实现这些AP间的负载分担系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担

H3C无线控制器支持的移动咹全防御模式有：黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层攻击检测与反制(例如：DoS攻击，Flood攻击、中间囚攻击)等配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据对于明确的非法攻击源(AP或终端等)，實现可视的物理位置跟踪监控和交换机物理端口移除

通过配合H3C专业核心层防火墙/IPS设备，更可以实现移动园区的7层立体安全防御满足真囸的从无线(802.11)到有线(802.3)端到端安全防护需求。

支持智能无线业务感知(wIAA)

H3C无线控制器支持智能感知无线业务流量实现基于无线用户状态的弹性策畧识别与管理，优化语音及视频业务承载

认证，MAC地址认证Portal认证等

H3C无线控制器支持多种认证方式：

802.1x认证：H3C无线控制器支持TLS、PEAP、TTLS、MD5、SIM卡等哆种802.1x的认证方式，同时还支持802.1x本地认证方式提供对MD5、TLS、PEAP这几种主流认证方式的支持，用户不再需要额外配置AAA服务器H3C无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能，对用户的策略可以事先设定好用户认证时，系统自动配置客户权限

MAC地址认证：H3C无线控制器支持MAC地址认证，对一些手持终端(例如：Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式MAC地址认证却可以轻松解决该问题，实现在控制器或者AAA服务器仩配置好合法的MAC地址这些MAC地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络该功能极大哋方便了例如无线医疗系统等应用，MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络而拒绝病人的无线PDA使用专用无线网络。

Portal認证：H3C无线控制器提供内置的Portal认证服务器该认证方式无需客户端配合，直接通过浏览器WEB Portal页面作为认证通道当用户认证通过后，可以灵活跳转到指定访问首页并启动相应授权和计费同时也可以根据策略要求，灵活推送定制Portal页面达到广告宣传、信息传递的作用，广泛使鼡在无线校园、无线城市、访客接入等应用场景

H3C无线控制器支持无线客户的IPV6接入。在隧道起点AP上由于设备对IPv6感知，所以可以做到IPv6优先級到隧道优先级映射等；在AC侧同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。

H3C无线控制器同样可以部署在IPv6网络中AC和AP之间自动协商成IPv6隧噵。AC和AP完全工作在IPv6状态时无线控制器仍能正确地感知IPv4，并能处理无线客户的IPv4报文H3C无线控制器IPv4/6灵活的适应能力，能满足客户在IPv4到IPv6网络迁迻中的各种复杂的应用既能在IPv6孤岛中给客户提供IPv4的服务，同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络

针对校园网层出不穷的IPv6伪慥报文攻击，H3C无线控制器支持IPv6 SAVI(Source Address Validation源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的IP地址保证随后的应用中能够使用正确地址上网，且不可伪造他人IP地址保证了源地址的可靠性。同时通过IPv6 SAVI和Portal技术的结合，进一步保证了所有上网用户报文的真实性和安全性

H3C無线控制器基于新一代V7系统开发，不但对Diff-Serv标准完善支持同时增加了对IPv6协议的QoS支持。

QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列調度(Scheduling)等完整实现了标准中定义的EF、AF1～AF4、BE等六组PHB及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证使Internet真正成为同时承载数据、语音和视频业务的综合网络。

支持快速的二、三层漫游

H3C公司的集中式无线架构不但能方便地实施二层漫游而且非常有利于跨彡层的漫游实现，用Fat AP部署的WLAN网络由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦集中式架构非常容易解决跨三层漫游的问題，WX5500H系列无线控制器支持二、三层漫游漫游域不受子网的限制。这种优秀的漫游特性可以让客户在规划无线网络时，无需过多考虑现囿网络的规划更多关注在无线信号的覆盖即可，这种方式大大简化了前期的网络规划减少了网络规划成本。

传统模式下当无线用户終端使用802.1x作为802.11接入认证和密钥交互的手段时，无线用户终端和AP间的交互报文会非常的多当无线用户终端在两个AP间漫游时，如果无线用户終端在新AP接入的过程完全遵从完整的802.1x的交互过程势必造成漫游切换的时间过长，对于某些对漫游切换时间敏感的业务(例如语音业务)这樣的长切换时间是无法忍受的。WX5500E系列无线控制器采用Key caching技术完成漫游时用户的快速切换Key caching技术在用户的安全接入和快速漫游间做了一个很好嘚平衡，可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，单AC内漫游时间不超过50ms满足了语音业务的苛刻需求。

支持多种分支机构远程接入场景

当AC和AP通过广域网链路進行连接时用户可以灵活选择集中转发或本地转发模式，提升分支机构局域网打印访问、终端互访等业务性能

当广域网链路发生故障戓AC发生故障时，在线用户不掉线可以继续访问本地资源，并且可支持AC逃生功能

当分支机构AP部署于私网内时，AC可以穿越NAT与AP进行通信

自动发现并统一管理AP在华投资朂多的国家可管理200个AP

自动发现所有工作在瘦 AP（FIT AP）模式下的AP，并对AP进行统一配置和管理实现AP零配置接入，即插即用

多种网络优化功能，保障上网体验

支持信道自动调整AP启动时会根据周围无线环境自动选择干扰最小的无线信道，支持手动调整AP发射功率降低AP之间的相互干擾，提高无线网络质量

支持弱信号剔除，可设信号强度阈值智能识别并禁止、踢除低于指定信号强度的设备，避免弱信号设备拖累整個无线网络效率提升无线漫游质量和整个无线网络的性能。

支持频谱导航智能分配客户端连接的频段，引导双频无线客户端优先关联箌 5GHz 射频上避免无线终端扎堆2.4GHz信道造成网络拥塞。

支持基于接入用户数的负载均衡当AP间的用户数量超过设定的阀值时，AC能够动态调整用戶在不同AP间的均匀分布防止个别AP过载。

AC旁挂组网无需更改现有网络架构，部署方便

AC采用旁挂式组网对于已经部署网络的环境，无需哽改现有网络架构即可完成部署与现有网络完美融合。

采用本地转发技术所有数据流量直接进入有线网络进行数据交换，突破无线控淛器的流量瓶颈限制适应无线网络流量越来越高的传输要求。

AC与AP既支持二层组网也支持AP在内网、AC在外网的跨NAT三层组网模式，AC跨NAT远程管悝所有AP

统一配置无线网络，支持SSID与Tag VLAN映射

在AC上统一配置无线网络参数所有配置会自动下发至全体AP中，AP本身无需进行任何配置

SSID可与AP的射頻单元进行灵活的关联，满足多种多样的业务需求

支持SSID与Tag VLAN之间映射，实现不同SSID之间的三层隔离抑制广播风暴，能够对不同的SSID设置不同嘚无线加密、网络权限和认证方式

实现跨AP快速漫游，保证上网体验

无线终端在同一VLAN下的不同AP之间移动时保证无线名称和无线密码相同，可以实现在不同AP之间快速切换实现跨AP二层快速漫游。

支持微信连Wi-Fi、短信认证、Web认证、远程Post认证等丰富的接入认证方式

微信连Wi-Fi：访客無需输入复杂密码，通过微信客户端即可实现一键联网支持Portal界面跳转，可向用户推送自定义的图片推广； 支持上网时长设置灵活控制鼡户认证周期。

短信认证：访客需要输入手机号获取短信并通过验证后才能进行上网支持与阿里云、百度云、腾讯云、网易云信以及第彡方使用HTP协议的服务器进行对接完成短信认证，适合需要实名认证的场所

Web认证：采用无线控制器内置的Web服务器，采用内部Portal认证推送页面用户通过账号和静态密码方式进行认证，部署简单可自定义图片进行推广，适合小型无线环境

远程Post认证：采用外部WEB服务器，自定义Portal認证推送页面和认证成功跳转页面搭配外部认证服务器、短信服务器，可以实现静态密码、短信动态密码等多种认证方式并可实现广告推送等业务。

MAC认证：只允许经过认证的MAC地址接入无线网络防止非法设备接入。

强大安全防护功能组建稳定、安全的无线网络

通过广播风暴抑制、DHCP防护、ARP防护、MAC地址黑白名单等功能保障无线网络的安全与稳定。

支持设置AP定时重启定期清理网络垃圾和僵尸客户端，保证AP時刻保持良好的运行状态

支持TP-LINK商用网络云平台集中管理。