27

五、无线配置

(一)把AC与SW-Core归属于同一设备的接口捆绑成一个逻辑接口，编号为2，SW-Core为主动端，AC为被动端，采用源IP和目的IP进行负载分担。

(二)AC使用Loopback接口地址作为AC管理地址，集团内所有AP都通过手工注册方式实现AP上线被管理。

(三)在RT-2上开启DCHP服务，实现分公司无线业务终端可以通过DHCP自动获取IP地址。分公司无线业务分别为：分公司财务Vlan 11与分公司技术Vlan 21，Vlan网关都在RT-2上。2个用户网段对应的DHCP地址池名字分别为FB-11、FB-21，租期为4小时，DNS地址均8.8.8.8。

(四)配置2个SSID，分别为“DCN-2.4”和“DCN-5.0”。“DCN-2.4”对应业务Vlan 11，使用network 11,用户接入无线网络时需要采用基于WPA-personal加密方式，其口令为“DCN123456”；“DCN-5.0”对应业务Vlan 21，使用network 21，不需要认证但是需要隐藏SSID。要求无线AP通过相关配置来实现，“DCN-5.0”的SSID只使用倒数第一个可用VAP发送5.0G信号。

(五)通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常。

(六)配置所有Radio接口：AP在收到错误帧时，将不再发送ACK帧；打开AP组播广播突发限制功能；开启Radio的自动信道调整，每天上午10:00触发信道调整功能。

六、安全策略配置

(一)FW-1的出口带宽为800Mbps，为集团内研发、营销、行政、财务4个业务网段更加合理使用出口资源，要求出口口带宽小于480Mbps时，每IP上下行最大5Mbps带宽；出口带宽大于720Mbps时，每IP上下行最大2Mbps带宽，规则名称为JT。同时要求在流量变化期间带宽增长速率为2倍，在任何时候都要确保网页访问服务占每IP带宽的40%。

(二)为防止集团内部收到垃圾邮件，请在防火墙上配置邮箱过滤，规则名称和类别名称均为“商业中心”，过滤含有“商业中心”字样的邮件。

(三)为保证集团Internet出口线路，在FW-1上使用相关技术，通过ping监控外网网关地址，监控对象名称为Track，每隔5S发送探测报文，连续10次收不到监测报文，就认为线路故障，直接关闭外网接口。

七、广域网业务选路

(一)考虑到从集团到分公司共有二条链路，集团与分公司无线网段互访优先在RT-1与RT-2之间Serail口专线转发；集团与分公司有线业务网段互访只允许在RT-1与RT-2以太网专线间转发，同时以太网专线链路还作为集团与分公司无线网段互访备用链路。根据以上需求在相关路由器上进行合理的业务选路配置。具体要求如下：

1.使用IP前缀列表匹配上述业务数据流；

使用LP属性进行业务选路，只允许使用route-map来改变LP属性、实现路由控制，LP属性可配置的参数数值为：200.

稻米百科提示您：看后求收藏（同创文学网http://www.tcwxx.com），接着再看更方便。