无线网络实施专业方案.docx

1、无线办公网络实施方案H3C7月文档修订统计版本更新日期更新摘要V1.0月日V2.0月日更新AP、用户端地址列表等信息V3.0月10日更新中信广场WX5004拓扑图目录第1章 项目概况11.1 项目背景11.2 项目目标11.3 项目规模及设备数量1第2章 项目计划22.1 工程进度计划22.2 人力资源计划4第3章 网络总体计划53.1 网络拓扑图53.2 无线控制器地址计划及其命名63.1 AP地址段计划及其命名规则63.2 无线SSID及其命名计划93.3 用户地址段计划93.4 认证方法计划103.5 设备冗余方案总体计划113.6 无线信道及漫游11第4章 设备安装环境要求124.1

2、AP安装环境要求124.2 无线控制器安装环境要求124.3 IMC服务器硬件要求13第5章 总体工程实施配置方案135.1 AP物理安装135.2 AP注册上线155.3 无线用户安全接入认证155.4 Guest用户无线接入安全处理方案165.5 无线用户漫游175.6 访客认证、帐号管理17第6章 无线网络功效配置实施186.1 无线控制器上AP注册186.2 服务模板及无线空口（802.1x认证+WPA2加密）等配置186.3 Radius认证配置196.4 无线控制器热备配置196.5 跨无线控制器漫游配置206.6 VIP Tunnel配置206.7 IMC访客管理功效配置21第7

3、章 无线网管功效实施22第8章 无线AP物理位置热图238.1 广州中信广场AP物理位置热图238.2 广州美银大厦AP物理位置热图25第9章 测试方案25第1章 项目概况1.1 项目背景本方案采取H3C无线网络产品系列集中式、可管理架构无线局域网架构处理方案来实现无线网络布署，为安利（中国）办公、会议场所布署无线覆盖，同时将最新行业标准和一个集中架构和优异功效结合起来，创建一个安全、经济有效而且极具扩展性无线局域网(WLAN)基础设施。1.2 项目目标 安利（中国）在广州中信广场、上海分部、北京分部等办公和会议场所布署全无线网络，提供以下服务：无线宽带接入服务：用户能够享受真正“无线”自由体

4、验，能够在办公室和楼内随时随地经过支持Wi-Fi笔记本电脑/iPad/智能手机/台式PC享受无线网络服务，如网络办公，Email等。同时，为用户省却了布线费用和烦恼。移动办公室：利用无线网络大面积覆盖能力，能够将楼内办公区和会议区无缝连接在一起，工作人员能够在楼内随时随地接入网络进行信息查询，办公应用，通信联络等。 1.3 项目规模及设备数量H3C 设备列表：序号产品代码产品名称数量1AC（Citic）EWP-WX5004-H3H3C WX5004-4端口千兆Combo无线控制器2LSKM2150A150W 交流电源模块4LIS-WX-32-A高性能无线控制器license费用-管理32AP2

5、2AC（Other Sites）EWP-WX3024E-POEPH3C WX3024E-PoEP-24端口千兆(4 SFP Combo+Slot插槽+PoE Plus)有线无线一体化交换机4311n无线APEWP-WA2620i-AGNH3C WA2620i-AGN-802.11n无线局域网智能室内放装型2.4/5GHz双频接入点694网络管理软件SWP-IMC-IMPH3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD)1LIS-IMC-IMPA-25H3C iMC-智能管理平台标准版管理25节点License费用1SWP-IMC-WSMH3C iMC-WSM无线业务管理组件-纯软

6、件(CD)1LIS-IMC-WSMC-100H3C iMC-WSM无线业务管理组件管理100台Fit AP设备License费用15访客管理软件SWP-IMC-UAMH3C iMC-UAM用户接入管理组件(不含用户)-纯软件(CD)1LIS-IMC-UAMA-1KH3C iMC-UAM用户接入管理组件管理1000用户License费用1设备在各区域预期分布情况： 设备区域ACAP备注广州中信广场3广州美银大厦广州国贸上海办公室1上海研发中心1北京办公室1第2章 项目计划2.1 工程进度计划任务名称任务分解开始时间计划完成时间责任人特殊情况说明工程开工会工程开工会7月26日7月26日 李旋飞网络

7、实施方案输出及施工前准备AP点位及数量确定8月2日8月2日张国友/Kim控制器IP地址、AP VLAN号、SSID、用户IP网段确定8月2日8月2日张国友/Kim/IvanAP 名称、序列号录入8月2日8月3日张国友AP安装支架购置8月2日8月8日李旋飞网络设备及支架发货至北京、上海8月2日8月8日张国友/Kim无线控制器和现网设备端口互联图8月2日8月2日李旋飞网络实施方案（包含测试方案）定稿8月3日8月5日李旋飞/张国友中信广场Site Survey8月3日8月3日张国友/KimVIP Tunnel通信端口及短信平台和IMC集成确定8月2日8月3日李旋飞VIP Tunnel通信端口已确定；

8、IMC现在不能和短信平台配合，需要购置短信猫设备安装实施无线控制器及IMC软件安装8月6日8月6日张国友/李旋飞/Kim访客Portal认证页面定制8月6日8月8日Kim/李旋飞上海、北京Site Survey8月6日8月7日崔念青、李建铿需要Kim事先确定安利上海、北京接口人，确定时间广州中信广场31层会议室安装/8/7日/8/7日张国友/Kim中信广场安装期间，Kim/李旋飞完成美银大厦和国贸大厦site survey广州中信广场40、41层会议室安装8月8日8月8日张国友/Kim广州中信广场43、44、58层会议室安装8月9日8月10日张国友/Kim北京办公室AP安装/美银大厦办公室AP

9、安装8月13日8月14日张国友/李旋飞/Kim美银大厦和北京两地安装同时进行。Kim、李旋飞到北京现场支持安装（布线工人到现场)/张国友负责美银大厦安装上海研发中心AP安装/国贸大厦AP安装8月15日8月16日张国友/李旋飞/Kim国贸大厦和上海两地安装同时进行。Kim、李旋飞到上海现场支持安装(布线工人到现场）/张国友负责国贸大厦安装上海办公室AP安装/国贸大厦AP安装8月17日8月17日张国友/李旋飞/Kim国贸大厦和上海两地安装同时进行。Kim、李旋飞到上海现场支持安装（布线工人到现场)/张国友负责国贸大厦安装 8月17日全部网络设备安装全部完成网络测试三地网络测试同时进行8月20日8月

10、21日张国友/李旋飞/崔念青/李建铿/Kim遗留问题排查遗留问题排查8月22日8月24日张国友/李旋飞/崔念青/李建铿/Kim2.2 人力资源计划安利（中国）无线网络项目领导小组H3C项目领导小组H3C项目经理/技术责任人 李旋飞 张国友广州实施接口人上海实施接口人人人供给链产品支持备件中心安利项目经理Kim He技术教授项目组组员H3C项目实施小组安利项目实施小组北京实施接口人第3章 网络总体计划广州地域AC、AP布署：广州地域有4个Site（GZ Citic Office, GZ BoA Office,GZ Guomao Office, GZ Manufactory Warehouse a

11、nd Office）需要布署AP. 广州地域布署两台Central AC WX5004，两台AC间实现毫秒级热备，广州地域全部AP全部注册到Central AC上。异地（北京、上海）AC布署：异地和广州之间线路带宽较为担心（10M），为降低Capwap开销，在上海office、上海R&D、北京office分别布署Local AC。上海、北京AC经过广州AC做一般备份，上海、北京AP优先注册在当地AC上，当当地AC故障时切换到广州备份AC上。AP转发模式：各个Site全部应用均集中在广州Citic DC，但各个Site有当地打印需求,且全部用户全部有漫游需求，所以全部AP均采取集中转发模式；AP

12、选择：本项目配置双频AP WA2620I，扩大容量、5G频段愈加好兼容智能终端； 无线安全：本项目配置802.1x认证，安利自己职员使用微软Radius认证服务器做认证，访客用户使用H3C IMC UAM组件做接入认证。 Guest用户管理：在广州布署1台Guest AC，配合UAM，经过VIP Tunnel方法提升访客无线接入安全性； 管理维护：IMC平台实现无线控制器管理，WSM组件实现无线网络设备管理，UAM实现用户接入控制管理； 3.1 网络拓扑图整体组网图以下： 3.2 无线控制器地址计划及其命名无线控制器地址计划以下：序号所在位置无线控制器名称IP地址管理VLAN网关1广州中信广场

13、数据中心c-gzdc-wc50040110.140.64.125/23 VRRP虚地址为10.140.64.120VLAN91010.140.64.652广州中信广场数据中心c-gzdc-wc50040210.140.64.126/23 VRRP虚地址为10.140.64.120VLAN91010.140.64.653广州中信广场数据中心c-gzdc-wc3024e014上海办公室h-shdc-wc3024e0110.142.32.126/26VLAN 90110.142.32.655上海研发中心0-shrd-wc3024e0110.142.64.126/26VLAN 90110.142.64

14、.656北京办公室b-bjdc-wc3024e0110.141.32.126/23VLAN 90110.141.32.653.1 AP地址段计划及其命名规则AP经过平安内部DHCP服务器动态获取IP地址,网段为 10.23.126.XX/24 序号区域大厦楼层地理位置AP名称S/N序列号所属VLANIP地址段1广州31F会议室o_gzdc_wa2620i3101219801A0CMC2多功效展示厅o_gzdc_wa2620i3102219801A0CMC3o_gzdc_wa2620i3103219801A0CMC440F1#会议室o_gzdc_wa2620i4001219801A0CMC52#

15、会议室o_gzdc_wa2620i4002219801A0CMC63#会议室o_gzdc_wa2620i4003219801A0CMC74#会议室o_gzdc_wa2620i4004219801A0CMC85#会议室o_gzdc_wa2620i4005219801A0CMC941F1号会议室o_gzdc_wa2620i4101219801A0CMC10党员活动室o_gzdc_wa2620i4102219801A0CMC11行政会议室o_gzdc_wa2620i4103219801A0CMC125号会议室o_gzdc_wa2620i4104219801A0CMC1343F1号会议室o_gzdc_

16、wa2620i4301219801A0CMC142号会议室o_gzdc_wa2620i4302219801A0CMC153号会议室o_gzdc_wa2620i4303219801A0CMC164号会议室o_gzdc_wa2620i4304219801A0CMC175号会议室o_gzdc_wa2620i4305219801A0CMC1844F1号会议室o_gzdc_wa2620i4401219801A0CMC192号会议室o_gzdc_wa2620i4402219801A0CMC203号会议室o_gzdc_wa2620i4403219801A0CMC214号会议室o_gzdc_wa2620i44

17、04219801A0CMC2258F1号会议室o_gzdc_wa2620i5801219801A0CMC232号会议室o_gzdc_wa2620i5802219801A0CMC243号会议室o_gzdc_wa2620i5803219801A0CMC254号会议室o_gzdc_wa2620i5804219801A0CMC266号会议室o_gzdc_wa2620i5806219801A0CMC27美银10F南多功效展示厅o_gzba_wa2620i1001219801A0CMC28o_gzba_wa2620i1002219801A0CMC2910F北会议室o_gzba_wa2620i1003219

18、801A0CMC30会议室o_gzba_wa2620i1004219801A0CMC31国贸19F会议室o_gzba_wa2620i1901219801A0CMC32大会议室o_gzba_wa2620i1902219801A0CMC33o_gzba_wa2620i1903219801A0CMC34北京办公区11F会议室o_bjdc_wa2620i1101219801A0CMC35会议室o_bjdc_wa2620i1102219801A0CMC36会议室o_bjdc_wa2620i1103219801A0CMC37大会议室o_bjdc_wa2620i1104219801A0CMC38o_bjdc

19、_wa2620i1105219801A0CMC39会议室o_bjdc_wa2620i1106219801A0CMC40中会议室o_bjdc_wa2620i1107219801A0CMC41东方广场15F小会议室1o_bjdc_wa2620i1501219801A0CMC42小会议室2o_bjdc_wa2620i1502219801A0CMC43小会议室3o_bjdc_wa2620i1503219801A0CMC44中会议室o_bjdc_wa2620i1504219801A0CMC45上海张江研发中心 2F2号会议室o_shrd_wa2620i0202219801A0CMC 463号会议室o_s

20、hrd_wa2620i0203219801A0CMC 47 3F1号会议室o_shrd_wa2620i0301219801A0CMC 482号会议室o_shrd_wa2620i0302219801A0CMC49企业天地18F1号会议室o_shdc_wa2620i1801219801A0CMC503号会议室o_shdc_wa2620i1803219801A0CMC514号会议室o_shdc_wa2620i1804219801A0CMC525号会议室o_shdc_wa2620i1805219801A0CMC536号会议室o_shdc_wa2620i1806219801A0CMC542号会议室o_s

21、hdc_wa2620i1807219801A0CMC55o_shdc_wa2620i1808219801A0CMC56企业天地19F1号会议室o_shrd_wa2620i1901（门牌号005）219801A0CMC562号会议室o_shrd_wa2620i1902(门牌号009)219801A0CMC57大会议室o_shrd_wa2620i1903219801A0CMC58o_shrd_wa2620i1904219801A0CMC3.2 无线SSID及其命名计划SSID是无线服务标识，直接反应接入服务属性。SSID能够根据服务对象、地点等信息来命名。SSID作以下列表计划：序号用途SSIDV

22、LAN备注1安利内部职员接入 awn2VLAN402(31,40楼), VLAN403(41,43楼),VLAN404（44,58楼）中信2访客接入Amway-GuestVLAN 405中信iPhone,iPad等手持终端接入MobileNetVLAN 406中信3安利内部职员接入awn2VLAN 407国贸4访客接入Amway-GuestVLAN 408国贸5iPhone,iPad等手持终端接入MobileNetVLAN 409国贸6安利内部职员接入awn2VLAN 410美银7访客接入Amway-GuestVLAN 411美银8iPhone,iPad等手持终端接入MobileNetVLAN

23、 412美银9安利内部职员接入awn2VLAN 402上海办公室10访客接入Amway-GuestVLAN 413上海办公室11iPhone,iPad等手持终端接入MobileNetVLAN 404上海办公室12安利内部职员接入awn2VLAN 402上海研发中心13访客接入Amway-GuestVLAN 415上海研发中心14iPhone,iPad等手持终端接入MobileNetVLAN 404上海研发中心15安利内部职员接入 awn2VLAN 402北京办公室16访客接入 Amway-GuestVLAN 417北京办公室17iPhone,iPad等手持终端接入 MobileNetVLAN

24、404北京办公室注意: 区分大小写3.3 AP地址计划序号AP物理位置AP IP地址网段AP所属VLAN1中信广场10.140.144.0/24VLAN4012美银VLAN4013国贸VLAN4014上海办公室10.142.50.0/24VLAN4015上海研发中心10.142.74.0/24VLAN4016北京办公室VLAN4013.4 用户地址段计划 用户指定IP地址段为： XX.XX.XX.XX YY.YY.YY.YY , 经过采取控制器DHCP功效，或外部DHCP服务器，提议采取外部DHCP服务器。无线用户网关全部配置在无线控制器上联交换机上，无线控制器对用户VLAN作二层Trunk透

25、传。 能够跟据不一样SSID对应不一样VLANIP地址池序号地址段VLANSSID备注110.140.145.0/2410.140.146.0/2410.140.147.0/24VLAN402(31,40楼), VLAN403(41,43楼),VLAN404（44,58楼） awn2中信210.140.148.0/24VLAN 405Amway-Guest中信310.140.149.0/24VLAN 406MobileNet中信410.140.150.0/24VLAN 407awn2国贸510.140.151.0/24VLAN 408Amway-Guest国贸610.140.152.0/24V

26、LAN 409MobileNet国贸710.140.153.0/24VLAN 410awn2美银810.140.154.0/24VLAN 411Amway-Guest美银910.140.155.0/24VLAN 412MobileNet美银1010.142.47.0/24VLAN 402awn2上海办公室1110.142.48.0/24VLAN 413Amway-Guest上海办公室1210.142.49.0/24VLAN 404MobileNet上海办公室1310.142.70.0/24VLAN 402awn2上海研发中心1410.142.71.0/24VLAN 415Amway-Guest

27、上海研发中心1510.142.73.0/24VLAN 404MobileNet上海研发中心1610.141.47.0/24VLAN 402 awn2北京办公室1710.141.48.0/24VLAN 417 Amway-Guest北京办公室1810.141.49.0/24VLAN 404 MobileNet北京办公室3.5 认证方法计划安利内部职员接入采取原有微软Radius认证服务器，三地无线控制器和Radius认证服务器联动，对内部职员用户身份资料进行802.1x身份认证。访客接入采取IMC UAM认证接入组件，三地无线控制器和IMC UAM认证服务器联动，对访客用户身份资料进行Porta

28、l身份认证。序号SSID认证方法备注1Awn2 802.1x 安利内部职员接入2 Amway-Guest Portal访客接入3 MobileNet 802.1xiPad,iPhone等手持终端接入43.6 设备冗余方案总体计划广州地域布署两台Central AC WX5004，两台AC间实现毫秒级热备。在上海office、上海R&D、北京office分别布署Local WX3024E AC。上海、北京AC经过广州AC WX5004做一般备份，上海、北京AP优先注册在当地AC WX3024E上，当当地AC故障时切换到广州备份AC上。；地点控制器主备备机归属地广州中信广场WX5004 2台相互热

29、备当地北京办公室 WX3024E主广州中信广场WX5004上海办公室 WX3024E主广州中信广场WX5004上海研发中心WX3024E主广州中信广场WX5004广州中信广场数据中心WX3024E(Guest Access AC)无3.7 无线信道及漫游即使在2.4G和5.8G 中802.11标准无线频点各有13个，但因为设计为相互不重合3个频点（通常设计工作在1，6，11这三个完全不重合频点），这么使得频点配置工程十分必需。合理进行信道计划，降低同频干扰，同时楼之间泄漏信号干扰也要考虑在内。信道提议采取手动指定AP频点。在同一个SSID，信号覆盖到情况下，能够使用户端进行二、三漫游。第4章

30、设备安装环境要求4.1 AP安装环境要求1.高温、多尘、有害气体、易燃、易爆、易受电磁干扰及电压不稳定、震动大或强噪音环境不利于AP设备安装；2.设备应安装在比较干燥地方，严禁在易积水、渗水、滴漏、结露等地方进行设备安装；3.假如上交换机为以太网供电交换机，则不需增加POE供电模块，直接用网线对AP设备进行供电；假如采取当地交流供电，电源要求为220V，波形失真小于5%4.设备工作温度、湿度环境以下：项目取值范围经典值标准工作环境温度（室内）0-45摄氏度25摄氏度标准工作环境温度（室外）-30-55摄氏度25摄氏度存放温度-20-45摄氏度25摄氏度相对湿度10%-95%55% 4.2 无线

31、控制器安装环境要求1.机房温、湿度要求以下： 温度：18-28摄氏度，温度改变率小于5摄氏度/小时 相对湿度：40-70%，不结霜。 2.机房洁净全部要求以下： -灰尘粒子不得是导电、铁磁性和腐蚀性； -直径大于0.5um灰尘粒子浓度小于3500粒/升； -直径大于5um灰尘粒子浓度小于30粒/升 3.机房噪声、电磁干扰、静电干扰要求以下： -通常情况下，机房内背景噪声不宜大于68dB； -机房内电场强度，不应大于120dB（uV/m），磁场强度不应大于400A/m； -相关静电干扰方面要求，应符合YD/T 754-95通信机房静电防护通则要求。 4.机房照明要求以下： -机房照明方法采取通常

32、照明，要求水平面（距地0.8m）照度为200-500LX，直立面（距地1.4m）照度为30-50LX -工作去内通常照明均匀全部（最低照度和平均照度之比）不宜小于0.7.非工作区得不宜低于工作区得平均照明度1/54.3 IMC服务器硬件要求 服务器硬件要求以下:1. Intel 双核CPU 或更高配置2. 4G以上内存3. 250G以上硬盘4. 预安装windows server 5.预装SQL Server数据库 第5章 总体工程实施配置方案5.1 AP物理安装经过初步到广州中信广场办公室现场勘察，各个楼原有Motorola AP是利用T型支架悬挂安装在天花板里面，H3C AP能够利用原有支

33、架、直接安装在支架上面替换Motorola AP。有些布线点需要新增AP，能够采购支架来进行安装。为了尽可能避免施工过程影响用户工作，全部没有线AP安装实施均安排在工作日晚上和周末进行。以下是AP安装在支架上示意图： AP安装时需要切记是：每装一个AP，全部要统计下它物理位置、AP名称、序列号对应关系。5.2 AP注册上线在完成了前期IP地址、VLAN和SSID计划和AP物理安装后，需要确定以下两个条件（1）确定PoE交换机相对应端口已经打开，这部分工作能够在AP安装时进行，并统计相关交换机端口（2）确定AP是经过二层注册还是三层注册方法。对于二层注册，在控制器上手动添加AP,AP拿到IP地址

34、后就应该能够注册到控制器上；对于三层注册，需要在DHCP Server上配置Option43参数来告诉AP控制器IP地址，使其能顺利注册。确定以上两点条件后，开始对无线控制器进行添加AP等基础功效配置。配置完成后检验全部AP是否已经正常上线。假如发觉AP还没有上线，需要经过Console口接入AP查看：AP是否取得IP地址，AP是否经过Option43参数取得了正确控制器IP地址，AP是否能Ping通控制器等信息。排除对应故障后，然后才进入下一步工作。5.3 无线用户安全接入认证完成SSID、用户VLAN及IP网段配置，并测试确定无线用户能接入无线网络后，需要添加无线用户安全接入认证机制。安利

35、内部职员使用域账号经过WPA2加密+802.1x认证接入无线网络，控制器上需要配置1） 无线802.1x认证模式2） 配置正确Radius认证参数跟微软Radius服务器配合认证访客用户使用从IMC上申请访客账户经过WPA2加密+Portal认证接入无线网络，控制器上需要配置1) 无线Portal认证模式2) 配置正确Radius认证参数跟IMC UAM认证服务器组件配合认证。因为每个radius认证服务器在控制器上全部要对应一个域名，且缺省域名只能有一个，所以为了区分不一样域，访客必需携带域名进行认证。5.4 Guest用户无线接入安全处理方案访客用户来到企业内部需要使用网络，但为了确保企业

36、内网安全，最好措施就是将访客用户流量和内网业务流量从逻辑上隔离开。此次项目使用H3C VIP Tunnel技术来达成这一目标以下图所表示：在非安全区（比如DMZ区）布署WX3024E 作为Guest Access AC，当地AC WX5004和Guest Access AC建立安全隧道VIP Tunnel（内网防火墙需要配置策略让WX5004和WX3024E能相互通信建立起VIP Tunnel,VIP Tunnel同时使用TCP和UDP协议，端口号全部是18001）。Guest用户流量在Local AC WX5004上不终止Capwap隧道，而是经过Capwap隧道传输到Guest Acces

37、s AC，再从Guest Access AC上出外网，和其它数据隔离；5.5 无线用户漫游无线用户能够在同一控制器管理多个AP间进行二层和三层无缝漫游。对于布署多个AC无线网络，漫游可能发生在不一样AC管理AP间，为确保漫游平滑进行，需要开启跨AC漫游支持功效。IACTP(Inter Access Controller Tunneling Protocol访问控制器间隧道协议)是H3C企业自主研发协议，该协议在不一样控制器间定义漫游组，属于同一漫游组无线控制器会同时接入用户信息，实现无线用户在不一样控制器间平滑无缝漫游5.6 访客认证、帐号管理为了实现访客账号智能化分发，同时加强访客账号管理，

38、本项目配置IMC访客管理平台配合短信猫来实现访客账号授权、审计和短信分发。访客来访时需要到指定访客管理员（比如前台文员）处填写相关资料、登记手机号码，以后访客管理员登录访客管理平台录入相关信息、申请访客接入账号，申请成功后，IMC平台会经过短信猫以短信方法将访客账号发送给访客本人。访客账号是有生效时间，过期无效。同时IMC平台也可限制访客用户接入无线网络位置，让其只能在特定区域从从特定AP接入无线网络。第6章 无线网络功效配置实施6.1 无线控制器上AP注册配置示例以下wlan ap ap1 model WA2620-AGN id 1priority level 7 /控制器冗余时，AP注册优

39、先级，数值越大表示控制器优先级越高。 serial-id 219801A0A89116G02796 /AP序列号radio 1radio 2 6.2 服务模板及无线空口（802.1x认证+WPA2加密）等配置配置示例以下：wlan service-template 1 crypto ssid AmwayMobile /配置SSID bind WLAN-ESS 1 cipher-suite ccmp /配置WPA2加密 security-ie rsn /配置WPA2加密 service-template enable /使能服务模板interface WLAN-ESS1 port link-type hybrid /配置无线空口为Hybrid口 port hybrid vlan 1 102 to 103 untagged /许可漫游VLAN经过 mac-vlan enable /开启mac-vlan port-security port-mode userlogin-secure-ext /配置802.1x认证 port-security tx-key-type 11key /配置802.1x认证 undo dot1x handshake /握手必需关闭因为很多用户端网卡不支持 undo dot1x multicast-trigger /组播也必需