WLAN系列工作指导书-AC、AP开通说明书.docx

武汉虹信通信技术有限责任公司河南办事处 ac ap开通指导书wlan系列工作指导书ac、ap开通说明书河南wlan项目组2011-9-16目 录一、硬件安装31、机房施工证办理32、ac设备物料的申请33、施工图纸的索取34、安装规范熟悉和工人培训35、现场施工进行36、标签制作粘贴37、报局方初验3二、开局信息准备31、局方提供信息32、我司提供license数据3三、ac设备软件版本升级31、通过串口登录ac32、cpu单核多核开启核查33、启用web服务34、通过网页登录ac35、备份ac配置36、本地上传要升级的ac版本37、启用新版本38、重启ac查看是否为新版本3四、定义配置四个端口（以郑州ac为实例）31、配置端口一32、配置端口二33、配置端口三34、配置端口四35、配置上行接口36、配置下行接口3五、相关服务的启用与停止31、ssh服务（启用）32、telnet服务（关闭）33、http（web）服务（启用）34、ftp服务35、tftp服务36、trap（告警等级）配置和snmp（告警使能开关）的上报信息开关3六、配置ac ospf协议信息31、创建acl列表32、启用配置ospf协议33、上行端口配置数据3七、创建hasi和安全策略3八、主备防火墙（acl）配置3九、添加网管snmp协议3十、白名单设置3十一、portal、radius地址设置3十二、dns设置3十三、license添加31、初次添加license32、后期追加license3十四、hostname配置3十五、用户管理名、权限、密码设置31、添加局方分配的用户名和密码32、给用户名创建权限（视图权限、管理员权限）33、删除用户名3十六、配置用户地址池及用户地址网关3十七、打补丁等其他必要设置31、ntp补丁32、更新xml文件3十八、添加热点资料准备3十九、添加热点31、本地转发32、集中转发33、修改信道号34、修改发射功率35、删除个别ap36、wtp禁用37、导出备份所有热点信息38、热点信息查询3二十、ap版本升级31、查询ap版本信息32、通过ac批量升级ap33、单个ap升级3二十一、一些常用命令3二十二、附件31、郑州ac脚本带命令注解错误！未定义书签。2、郑州ac脚本不带命令注解错误！未定义书签。3、华为交换机常用命令错误！未定义书签。二十三、编制历史3一、 硬件安装1、机房施工证办理提前咨询局方如何办理进入机房施工的证件，准备照片等资料办理进入机房施工许可证；2、ac设备物料的申请和设计院或分公司确认申请ac设备的型号和数量，和公司产品行销组确认设备的erp编码，配合物料进行ac主设备及配套材料的申请。主要包含以下内容：ac主设备：要和分公司确定好ac设备的供电方式是220v或是-48v，同时要考虑组网方式是n+1备份还是1+1备份，确定ac数量，目前局方一般都采取1+1备份方式组网；光模块：光模块数量要考虑到ac对端接入设备ne40的光模块由谁提供，要向局方询问清楚，考虑到兼容性和稳定性，一般局方都会让我们一块提供，这样同一个厂家的模块不存在兼容性问题，部分分公司也会自己提供光模块，此时一定问清楚局方提供的光模块是单模还是多模的，根据局方的光模块型号向我们公司申请相同型号的光模块和对应的尾纤；尾纤：尾纤主要考虑型号、数量和长度，型号要对应光模块的单模和多模，数量主要根据局方的组网方式和设备的实际支持能力，也可以根据光模块数量统计尾纤数量，尾纤数量是光模块的2倍（光模块数量指不包含对端ne40的光模块），长度需要到机房实地核查ac到ne40之间走光缆路由，根据路由确定长度，不建议申请过长的尾纤盘在机房，因为部分机房没有盘尾纤的架子；目前河南使用的7703型号ac具体材料清单如下：名称数量类型备注ac设备数量2台-48v供电光模块数量8个不包括ne40光模块，若包含乘2即可尾纤数量16根对应光模块3、施工图纸的索取向设计院或分公司要到设备安装图纸(见附件一：郑东新区10层数据机房设备平面布置图，附件二：电缆计划表)，提前到机房查看安装ac设备需要的物料情况，进行施工物料准备，需要重点说明的是电源线、尾纤、地线、网线等机房中一般不允许冗余太多，甚至根本不允许冗余，因此尾纤、网线成品东西一定要实际测量准确，避免影响美观等无法通过入网验收。电源线：一般在机柜中下方安装ac主设备，机柜上层就是-48v电源排，如果不是这种情况要现场确认ac机柜的走线路由和实际需要的长度，一个ac上有两个电源模块，分别为一主一备电源模块，局方一般都会要求将这两个电源模块分别接到两路互不相关的电源上，现场查看时一定要注意分清两路电位置，根据目前的施工规范局方要求至少使用4mm的铜电源线，部分分公司可能还会要求电源线要使用单根的电源线，不允许使用两根在 护套内的电源线，这个也要和局方确认清楚，建议使用4mm或6mm电源线，如果使用单股电源线，正极和负极要采用两种不同颜色的线，不得采用同种颜色的电源线；地线：地线分为两种，一种为工作地线，在电源模块上，由于采用了-48v供电，因此工作地线不需要接，因此可以不考虑，另一种为保护地线，保护地线设备上有很醒目的标记，机柜中一般在标准机柜的后方下边，目前局方要求至少使用16mm以上的双色地线，建议采用16mm或25mm的双色线；网线：一般用于主备两个ac之间的心跳线，由于心跳线十分关键，建议购买五类成品线，如果要手工做，建议一定要买高质量的5类线，局方一般会要求主备两个ac分别装在不同的机柜内，心跳线就是要考虑主备这两个ac之间的距离和走线路由，需要用米尺实地测量长度，7703ac有两个主控板，需要两根心跳线，ac和ne40之间目前全部采用尾纤连接，不采用网线，因此可以不用考虑；尾纤：尾纤主要是查看尾纤的走线路由，根据路由进行实地的长度测量，主ac和备ac局方不允许走在同一个护套桥架或走线管内，路由不一样，测量时要注意；护套管：在标准机柜和走线架之间会有部分悬空，这部分局方一般要求穿卷皮塑料管保护和梳理，因此根据实际需求确定数量购买；铜鼻子：地线和电源线局方一般会要求使用铜鼻子接电，一般不允许裸接，因此要根据电线的型号确定买一定量的铜鼻子；扎带：主要用于固定尾纤、电源线等，办事处由有此类物料，施工时需要携带一部分扎带；胶带：用于做电源线的防护，施工时从仓库领取，不需要额外购买。4、安装规范熟悉和工人培训上述材料准备的同时，要尽快熟悉机房安装工艺、进场施工等要求，如果需要工人进行施工的，同时要对工人进行施工培训，具体施工要求见附件三：河南移动wlan设备入网验收测试规范，现摘录部分关键要求。五类线：应避免与与电源线平行铺设，如果需平行铺设，应满足隔离要求，五类线的布放长度不应超过100米，五类线设备端应留有一定空余长度并绑扎整齐固定，便于后期检修和做线缆接头；光纤：未用尾纤光接头应加保护套。检查主ac和备ac与其各自上联的交换机之间的尾纤布放是否存在同路由问题，即共用一段光纤槽道，避免由于同路由段故障导致主备ac的传输同时中断；地线：地线应与其他信号线有一定距离，单独布放，接地线布放时应尽量短直，多余的线缆应截断，严禁盘绕，主、备ac设备安装在不同机柜，保证主、备ups不间断电源保护。5、现场施工进行携带所有的物料进行施工，施工中尤其要注意的是施工安全问题，由于是在核心机房施工，因此实际施工时要做到安全第一，非必要接触的设备严禁触碰，严格按照局方的进场施工规范进行入场施工，在施工时不要将材料和工具等放置到机柜顶部，施工完成后仔细打扫现场，不要遗漏任何环节，最好让机房管理员再次检查一般，确保无问题后再撤离。6、标签制作粘贴根据施工的实际情况制作打印各个线缆的标签，标签制作按照局方给的规范格式进行制作，具体参考附件三：河南移动wlan设备入网验收测试规范，在文后附有标签模板，制作完成后到现场进行标签的粘贴。7、报局方初验一切处理完成后，请局方工程建设中心的相关负责人到现场进行初步的工艺施工等验收，对局方提出的问题进行整改，直到局方满意为止。至此整个工程施工已经完成。二、开局信息准备1、局方提供信息工程施工完成经过局方初验后，就可以进入ac开局阶段，首先要向设计院或局方要到开局的一些基本配置信息，方能进行开局。具体见附件四：ac开局信息。主要包括：ac name、设备名、ac管理地址、外网口地址、nas ip、内网口地址、portal地址、radius地址、白名单地址等，命名规范可参考附件五：河南移动wlan局数据配置规范v3.doc。2、我司提供license数据提前进入机房将每个主控板得机器码读出，然后发给市场部的刘康（617819lk163.com），根据情况提前向公司申请一定数量的license，ac设备内只有加入了license，才能管理接入管理ap设备。license申请单附件六：license申请单，需要说明的提供设备的机器码是主备两个ac设备的都需要提供，移动集团公司规定一台ac管理的ap数量为厂家上报的理论管理数量的80%ap，我们公司的7703型号ac理论能管理2048个ap，则实际只要管理2048*80%=1638个ap，过少造成ac设备浪费，过多容易造成网络瘫痪，因此我们在申请ac license时一定不要申请超过这个数量，每一个ap的ac license价格比较高，因此申请时不要申请过多，可以分多次申请，一次申请一部分，当第一部分快不够用时可以再申请第二部分进行追加，但总量不建议超过1638个，避免造成浪费。三、ac设备软件版本升级1、通过串口登录ac准备好上述两种资料后可以进行设备的开局，到现场将两台设备加电，用设备自带的串口线连接pc机和ac设备的主控板，利用电脑系统自带的超级终端工具或securecrt.exe软件连接ac设备，securecrt.exe软件及操作说明书见附件七：securecrt（内含说明书），需要注意连接电脑的波特率设置为115200，否则可能不能正常连接设备。2、cpu单核多核开启核查 首先检测ac的每个主控板是单核或者16核，具体步骤如下：systemenablesystem#show process之后出现以下画面：然后按 1如果画面中的没有变化，则没有开16核。如果画面变成如下图面：出现cup0-15则为已开过16核。 对于没有开过16核的ac需按照以下步骤开16核：重启ac，按电源键重启，或者在system#模式下键入reboot回车重启也可；在开机第一个三秒倒计时的时候按回车或者空格，之后进入bootrom#模式，如下图所示：在bootrom#模式下键入命令，如下：bootrom#set bootcmd fatload mmc 0 100000 $(bootfile);bootm 100000 coremask=0xffffbootrom#saveenvbootrom#reboot重启之后执行第一步查询是否成功开启十六核。3、启用web服务hazz-wlan-ac393-hxac7703(config)#config web service 配置web服务hazz-wlan-ac393-hxac7703(config-web-service)#service web enable/disable 服务启用/禁用hazz-wlan-ac393-hxac7703(config-web-service)#exit注意：web 服务添加ip时首先把服务disable，然后在添加相应的ip地址，设备默认web为disable4、通过网页登录ac将自己的电脑ip地址设置为192.168.0.x，子网掩码设置为：，然后通过一个网线连接主控板的四个网口中的第四个（从左向右数第四个），打开ie浏览器（最好用windows自带的ie浏览器，8.0以上版本），地址栏键入第四个端口的ip地址出现如下窗口：在登陆框内输入用户名和密码，点击登陆等按钮即可登陆ac的配置页面进行配置，出厂默认登陆用户名和密码均为admin，目前全省统一规划为用户名：admin，密码：hx-wlan123，即可进入如下ac配置页面。5、备份ac配置初次开通ac时由于ac内部所有参数均为出厂默认设置参数，没有太大用处，因此可以不备份ac配置，随后再次进行ac配置时，为了避免对部分配置修改后或是版本升级后出现不良效果，建议养成良好习惯，每次对ac进行操作之前一定对ac进行现有数据备份操作，方便出现问题后尽快恢复返回的原来的良好状态，切记！通过上述web方式登录到ac后，出现如下窗口，在左侧选择系统功能项，选择导出配置文件，出现导出配置文件按钮，点击此按钮就出现备份配置文件的命名窗口，需要注意导出配置文件时，后缀名不要更改，但导入备份的配置文件时，后缀名.cgi要改为.conf。切记！6、本地上传要升级的ac版本备份过ac之前的配置后，就可以将需要升级的ac版本上传到ac设备中去，接上图中，在左侧选择版本升级，打开如下窗口： 选择本地上传，浏览到新版本放置位置，添加进去。点击本地上传窗口右侧的本地上传按钮，就开始上传新版本到ac设备。上传成功后，点击查看版本，再次确认是否上传成功。 确认新版本上传到ac设备后，在对应刚上传的版本后面点击md5验证，验证一下上传的软件完整性，是否被病毒等破坏。7、启用新版本上传ac新版本完成后，利用电脑系统自带的超级终端工具或securecrt.exe软件连接ac设备，通过如下命令再次查看设备内所有版本信息，hazz-wlan-ac393-hxac7703enable hazz-wlan-ac393-hxac7703# show boot_img 查看设备所有的版本信息hazz-wlan-ac393-hxac7703# set boot_img aw797.x7x5.img 使用5797版本 hazz-wlan-ac393-hxac7703#reboot 重启ac设备，重启之后才能生效8、重启ac查看是否为新版本 重启过后通过串口命令行再次检查目前正在使用的是否为刚上机的版本。hazz-wlan-ac393-hxac7703# show system boot_img the current boot file is aw797.x7x5.img (该版本为ac设备的真实版本，若局方问时我们ac设备的版本v3.3.8) 根据移动公司规定，ac、ap等使用的软件版本必须经过移动集团公司测试通过才能使用，不能使用未经测试的版本，一般移动公司测试通过后会给我们测试通过的版本定义一个版本号，目前我公司经过集团公司测试通过的ac版本号为3.3.8，ap版本号为：3.5.12 ，因此当局方询问我们公司设备的版本号时要报这两个版本号。四、定义配置四个端口（以郑州ac为实例）1、配置端口一 hazz-wlan-ac393-hxac7703 初始登录ac时进入的用户模式hazz-wlan-ac393-hxac7703enable 由用户模式进入特权模式hazz-wlan-ac393-hxac7703#configure terminal由特权模式进入到全局配置模式hazz-wlan-ac393-hxac7703(config)#hostname hazz-wlan-ac393-hxac7703 修改主ac名称，修改为省公司统一规范的标准命名需要在全局配置模式下进行hazz-wlan-ac393-hxac7703(config)#config eth-port 0/1 配置端口类型hazz-wlan-ac393-hxac7703(config-if)#config media preferred fiber 端口类型启用光口（默认为以太网口）hazz-wlan-ac393-hxac7703(config-if)#config auto-negotiation diable 端口类型为强制千兆全双工hazz-wlan-ac393-hxac7703(config-if)#exit 退出 我公司统一部署，目前河南所有设备将端口一全部定义为上联口，上联口使用光纤传输，光纤传输采用收发分开的方式进行通信，因此为全双工工作方式。2、配置端口二需要在全局配置模式下进行hazz-wlan-ac393-hxac7703(config)#config eth-port 0/2 配置端口类型hazz-wlan-ac393-hxac7703(config-if)#config media preferred fiber 端口类型启用光口（默认为以太网）hazz-wlan-ac393-hxac7703(config-if)#config auto-negotiation diable 端口类型为强制千兆全双工hazz-wlan-ac393-hxac7703(config-if)#exit 退出 我公司统一部署，目前河南所有设备将端口二全部定义为下联口，下联口使用光纤传输，光纤传输采用收发分开的方式进行通信，因此为全双工工作方式。3、配置端口三需要在全局配置模式下进行hazz-wlan-ac393-hxac7703(config)#config eth-port 0/3 配置3端口 hazz-wlan-ac393-hxac7703(config-if)#description heartlink 端口描述为心跳 hazz-wlan-ac393-hxac7703(config-if)#ip address /24 配置ip hazz-wlan-ac393-hxac7703(config-if)#exit 我公司统一部署，目前河南所有设备将端口三全部定义为心跳口，用于主备两台ac之间检测另一台设备工作是否正常的传输信号的接口，采用网线传输信号，ip地址统一配置为/24。4、配置端口四需要在全局配置模式下进行hazz-wlan-ac393-hxac7703(config)#interface vlan1 进入vlan1接口hazz-wlan-ac393-hxac7703(config-if)#no ip add /24 删除vlan1的出厂默认iphazz-wlan-ac393-hxac7703(config-if)#exit hazz-wlan-ac393-hxac7703(config)#interface eth0-4 进入1接口hazz-wlan-ac393-hxac7703(config-if)#ip add /24 配置设备四端口的的默认iphazz-wlan-ac393-hxac7703(config-if)#no shutdown 启用接口hazz-wlan-ac393-hxac7703(config-if)#exit 我公司统一部署，目前河南所有设备将端口四预留备用，将端口四ip地址统一规划为/24，同时启用该接口，以后可以使用该接口通过web的方式登录ac，对ac设备进行升级和其他操作，如果在第三章第三节处已经对该端口定义启用，则此处不需要再次操作。5、配置上行接口hazz-wlan-ac393-hxac7703(config)#interface eth0-1.50 配置上行口,50为上行vlanhazz-wlan-ac393-hxac7703(config-if)#ip add 95/29 上联iphazz-wlan-ac393-hxac7703(config-if)#description uplink-ne40-5/0/0 上联口描述，说明该接口是用做什么，方便日后维护时了解分析hazz-wlan-ac393-hxac7703(config-if)#no shutdown 启用接口hazz-wlan-ac393-hxac7703(config-if)#exit主要是进行上行vlan划分，上联ip定义，上联口描述，同时启用该端口。6、配置下行接口hazz-wlan-ac393-hxac7703(config)#interface eth0-2.55 配置上行口,55为下行vlanhazz-wlan-ac393-hxac7703(config-if)#ip add 79/29 下联iphazz-wlan-ac393-hxac7703(config-if)#description uplink-ne40-5/0/1 下联口描述hazz-wlan-ac393-hxac7703(config-if)#no shutdown 启用接口hazz-wlan-ac393-hxac7703(config-if)#exit主要是进行下行vlan划分，下联ip定义，下联口描述，同时启用该端口。五、相关服务的启用与停止1、ssh服务（启用）hazz-wlan-ac393-hxac7703(config)#service ssh enable 开启ssh服务局方要求必须开启2、telnet服务（关闭）hazz-wlan-ac393-hxac7703(config)#service telnet disable 关闭telnet服务局方要求必须关闭3、http（web）服务（启用）hazz-wlan-ac393-hxac7703(config)#config web service 配置web服务hazz-wlan-ac393-hxac7703 (config-web-service)#add webservice https 443 添加web-iphazz-wlan-ac393-hxac7703(config-web-service)#add webservice https 95 443 hazz-wlan-ac393-hxac7703(config-web-service)#service web enable 服务启用hazz-wlan-ac393-hxac7703(config-web-service)#exit局方要求必须开启4、ftp服务hazz-wlan-ac393-hxac7703(config)#service ftp enable/disable 开启ftp服务局方要求必须关闭，升级设备时需要使用该功能，5、tftp服务hazz-wlan-ac393-hxac7703(config)#service tftp enable/disable 开启tftp服务局方要求必须关闭，升级设备时需要使用该功能，备注：ftp/tftp服务设备升级时才开启，不用时尽量关闭该服务6、trap（告警等级）配置和snmp（告警使能开关）的上报信息开关hazz-wlan-ac393-hxac7703(config)#config snmp 配置告警使能开关hazz-wlan-ac393-hxac7703(config-snmp)# set cachetime 300 统计时常add community ha.chinamobile ro enable 添加共同体add trap 1 test v1 45 ha.chinamobile enable 162 添加trap，162为端口号，默认不变snmp service enabletrap service enableexitconfig syslog 配置系统log日志syslog service stop 系统日志服务停止使用add destination udp 45 514 3 配置syslog告警,该告警局方暂时没有明确要求syslog service start 系统日志服务启用exit六、配置ac ospf协议信息1、 创建acl列表hazz-wlan-ac393-hxac7703(config)#access-list 1 permit 创建acl列表允许业务网段iproute-map sta permit 10 sopf映射列表match ip address 1exitroute-map sta deny 20exit2、启用配置ospf协议hazz-wlan-ac393-hxac7703(config)#router ospf 启用ospf模块hazz-wlan-ac393-hxac7703 (config-router)# ospf router-id 95 配置router-idhazz-wlan-ac393-hxac7703 (config-router)# auto-cost reference-bandwidth 10000 带宽为10000 目前建议先不配置hazz-wlan-ac393-hxac7703 (config-router)# redistribute connected route-map sta 重发布 stahazz-wlan-ac393-hxac7703 (config-router)# network 04/29 area 203 通告外网直连网段hazz-wlan-ac393-hxac7703(config-router)# area 203 nssa translate-candidate ospf所属区域hazz-wlan-ac393-hxac7703 (config-router)# exit3、上行端口配置数据上行端口配置数据：hazz-wlan-ac393-hxac7703(config)#interface eth0-1.50hazz-wlan-ac393-hxac7703(config-if)#ip address 95/29 端口iphazz-wlan-ac393-hxac7703(config-if)#description uplink-ne40-5/0/0 端口描述hazz-wlan-ac393-hxac7703(config-if)# ip ospf authentication message-digest 启用ospf加密认证hazz-wlan-ac393-hxac7703(config-if)#ip ospf message-digest-key 1 md5 wlanac 添加ospf-md5认证密码hazz-wlan-ac393-hxac7703(config-if)#ip ospf hello-interval 1 hello间隔时间为1shazz-wlan-ac393-hxac7703(config-if)#ip ospf dead-interval 4 hellodown时间为4shazz-wlan-ac393-hxac7703(config-if)#ip ospf priority 0 默认优先级为0hazz-wlan-ac393-hxac7703(config-if)#exit七、创建hasi和安全策略hazz-wlan-ac393-hxac7703(config)#config hansi-profile 1 创建hansihazz-wlan-ac393-hxac7703(config-hansi-1)#create security 1 sec1 创建安全策略1且命名为sec1hazz-wlan-ac393-hxac7703(config-hansi-1)#config security 1 配置安全策略1hazz-wlan-ac393-hxac7703(hansi-security 1-1)#security type open 安全策略的类型为openhazz-wlan-ac393-hxac7703(hansi-security 1-1)#encryption type none 封装类型为nonehazz-wlan-ac393-hxac7703(hansi-security 1-1)# exithazz-wlan-ac393-hxac7703(config-hansi-1)# config heartbeatlink eth0-3 配置心跳接口和iphazz-wlan-ac393-hxac7703(config-hansi-1)#config uplinketh0-1.50 94/29 downlink eth0-2.55 78/29 priority 200配置上联口下联口虚拟ip和优先级hazz-wlan-ac393-hxac7703(config-hansi-1)# config hansi master down-count 8hazz-wlan-ac393-hxac7703(config-hansi-1)#add vgateway ebr1 /32 配置虚拟网关hazz-wlan-ac393-hxac7703(config-hansi-1)#config hansi preempt no 配置抢占hazz-wlan-ac393-hxac7703(config-hansi-1)#config service enable 启用vrrp服务hazz-wlan-ac393-hxac7703(config-hansi-1)#config hansi notify dhcp-server off 关闭hansi下dhcp的属性hazz-wlan-ac393-hxac7703(config-hansi-1)# config service enable 服务开启hazz-wlan-ac393-hxac7703(config-hansi-1)#exit 退出八、主备防火墙（acl）配置hazz-wlan-ac393-hxac7703(config)#config firewall 配置防火墙hazz-wlan-ac393-hxac7703(config-firewall)# add firewall desc tcpmss 1modify firewall 1 protocol tcpmodify firewall 1 state new enablemodify firewall 1 state established enablemodify firewall 1 state related enablemodify firewall 1 state invalid enablemodify firewall 1 act tcpmss 1300add input desc permit_ssh_6 1 地市分公司维护网段modify input 1 in-if eth0-1.11modify input 1 src-ip mask 6/48 允许局方哪些网段可以访问,不同地市维护ip网段不同，具体见附件十一：全省ac维护网段.xlsxmodify input 1 dst-ip mask 28/40 访问的目的地址（ac设备的）modify input 1 protocol tcpmodify input 1 dst-port single 22add input desc permit_https_6 2modify input 2 src-ip mask 6/48modify input 2 dst-ip mask 28/40modify input 2 protocol tcpmodify input 2 dst-port single 443add input desc deny_anyothers 12modify input 12 protocol tcpmodify input 12 dst-port single 22modify input 12 act dropadd input desc deny-anothers 13modify input 13 protocol tcpmodify input 13 dst-port single 443modify input 13 act dropservice disableexit九、添加网管snmp协议建议在web界面进行添加设置，通过web登录后在系统项左侧选择snmp。选择共同体，打开如下窗口，可以把设备默认的两个共同体删除共同体名称：ha.chinamobileip address:不用填写，默认空的就可以；子网掩码:不用填写，默认空的就可以；访问模式：选择读写；状态：启用填写完成后直接点击右上角的确定按钮。点击左侧snmp告警项，打开如下窗口；点击下侧的添加trap，trap索引：从1往后排，没有什么特殊要求；trap名称：建议设为test，没有什么绝对要求；trap端口号：162，规定好的；trap共同体：ha.chinamobile，移动公司规定好的；trap版本：v2；ip address：省公司网管地址，全省统一为：45；状态：启用，设置完后点右上角确定按钮十、白名单设置需要加入dns 白名单和app（苹果）证书白名单，有两种添加方式，一种为web界面添加，另一种为命令行添加,根据自己喜好习惯，任选其中一种进行白名单设置即可； web界面添加方式：在web登录下，在上侧选择认证；点击右侧portal认证，左侧选择白名单；一共要添加10个ip地址，每次添加一个，多次进行添加即可，具体如下：id:统一选择为1；mode：ip，默认即可，不用改动；ip begin：如果是一个ip地址，写在起止就行，如果是一个ip地址段就需要在起止和终止两个上同时写上；ip begin：如果是一个ip地址，写在起止就行，如果是一个ip地址段就需要在起止和终止两个上同时写上；port：默认即可，不用填写； 命令行添加：hazz-wlan-ac393-hxac7703(config)#config captive-portal 1hazz-wlan-ac393-hxac7703(captive-portal)#set params 30 3990 ebr1-1hazz-wlan-ac393-hxac7703(captive-portal)#add white-list ip 0:allhazz-wlan-ac393-hxac7703(captive-portal)#add white-list ip 6:allhazz-wlan-ac393-hxac7703(captive-portal)#add white-list ip 6:allhazz-wlan-ac393-hxac7703(captive-portal)#add white-list ip 38:allhazz-wlan-ac393-hxac7703(captive-portal)#add white-list ip 40:allhazz-wlan-ac393-hxac7703(captive-portal)#add white-list ip 33:allhazz-wlan-ac393-hxac7703(captive-portal)#add white-list ip 4:allhazz-wlan-ac393-hxac7703(captive-portal)#add white-list ip 7-8:allhazz-wlan-ac393-hxac7703(captive-portal)#add white-list ip 1:allhazz-wlan-ac393-hxac7703(captive-portal)#exit以上命令行中共有11个ip地址，其中10个地址为规定好的不需要改动，下文已经列出来，另一一个红色的是主机和备机两个的虚地址，实际工程开通中，只需要将这个ip地址更改即可，如果采用命令行进行白名单设置，可以简单将此段命令进行复制粘贴进行操作即可。10个白名单地址分别是：40 集团protal38 集团radio6 dns6 dns0 省内protal和radio33 国漫地址4 国漫地址8 二级主portal7 二级备portal1 二级portal30 一主一备虚地址，主机上的第一个主控板和备机上的第一个主控板两个之间的虚地址，每个设备不同，开通时需要更改此ip地址；十一、portal、radius地址设置需要设置集团和省公司的portal、radius地址，具体参数如下表：省内radius及portal服务器参数集团radius及portal服务器参数radius server 038radius server key88-8988-89radius port1645、1646认证端口1645、计费端口1646portal port2000portal040portal服务器url0/index.php 40/wlan/index.php portal设置：接上面第十章，通过web登录ac设备后，在认证-portal认证中选择多portal管理，打开如下窗口：点击添加多portal，策略id:不用选择；protocol：选择mobileessid: default；url:ip地址或链接地址ac name：写集团统一规范的标准名字，如：0400.0371.371.00domail：default；advertise url：不写；异常下线通知端口：不写填写完成后点击右上侧确定按钮保存，然后再次添加另一个portal，直到将四个全部添加完为止； radius配置:上述portal配置完成后，在左侧选择多radius管理，打开radius配置窗口；点击添加radius，打开具体参数填写窗口：策略id:不用填写，使用默认值即可；域名：第一个为default，第二个cmcc-edu；认证服务器类型：default;认证服务器ip: 38和0，其中一个是集团的，另一个是省内的；认证端口：1645；认证服务器密钥：