一、实验拓扑图

    ┌─────────────┐
    │   AR1       │
    │  (路由器)    │
    │ 10.0.0.1/24 │
    └──────┬──────┘
           │
    ┌──────┴──────┐
    │   LSW1      │
    │ (三层交换机) │
    │ 10.0.0.2/24 │
    └──────┬──────┘
           │
    ┌──────┴──────┐
    │    AC       │
    │ (无线控制器) │
    │ 172.16.1.2/24│
    └──────┬──────┘
           │
    ┌──────┴──────┐
    │   LSW2      │
    │ (二层交换机) │
    └──────┬──────┘
           │
    ┌──────┴──────┐
    │     AP1     │
    │ (瘦AP)      │
    └─────────────┘

二、配置目标

1. 两个无线业务：

   • 内部办公用户：VLAN 101，隧道转发模式
   • 外来访客用户：VLAN 102，直接转发模式

2. AP上线：通过CAPWAP隧道实现AP与AC的通信

3. 认证方式：PSK认证

三、详细配置步骤

1. 路由器AR1配置

# 进入系统视图
system-view

# 修改设备名称
sysname AR1

# 配置接口
interface GigabitEthernet 0/0/0
 ip address 10.0.0.1 24
 quit

# 配置静态路由（指向AC管理网段）
ip route-static 10.23.0.0 255.255.0.0 10.0.0.2

命令解释：

• system-view：进入系统视图，进行全局配置
• sysname AR1：修改设备名称为AR1
• ip address 10.0.0.1 24：配置接口IP地址和子网掩码
• ip route-static：配置静态路由，使路由器能访问AC管理网段

2. 三层交换机LSW1配置

system-view
sysname LSW1

# 创建VLAN
vlan batch 5 100 101 102

# 配置连接AR1的接口
interface GigabitEthernet 0/0/1
 port link-type access
 port default vlan 5
 ip address 10.0.0.2 24
 quit

# 配置连接AC的接口
interface GigabitEthernet 0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100 101 102
 quit

# 配置连接AP的接口（作为AP网关）
interface Vlanif 5
 ip address 192.168.0.1 24
 quit

# 配置DHCP服务器为AP分配IP
dhcp enable
ip pool ap-pool
 gateway-list 192.168.0.1
 network 192.168.0.0 mask 24
 quit

interface Vlanif 5
 dhcp select global
 quit

命令解释：

• vlan batch 5 100 101 102：批量创建VLAN
• port link-type trunk：配置Trunk模式，允许多个VLAN通过
• dhcp enable：启用DHCP服务
• ip pool ap-pool：创建DHCP地址池
• dhcp select global：在接口上启用全局DHCP

3. AC配置（核心部分）

system-view
sysname AC

# 创建VLAN
vlan batch 100 101 102

# 配置连接交换机的接口
interface GigabitEthernet 0/0/0
 port link-type trunk
 port trunk allow-pass vlan 100 101 102
 quit

# 配置VLAN接口
interface Vlanif 100
 ip address 10.23.100.1 24
 quit

interface Vlanif 101
 ip address 10.23.101.1 24
 quit

interface Vlanif 102
 ip address 10.23.102.1 24
 quit

# 配置DHCP服务器
dhcp enable

# 为AP分配IP
ip pool ap-pool
 gateway-list 10.23.100.1
 network 10.23.100.0 mask 24
 option 43 sub-option 3 ascii 10.23.100.1
 quit

# 为办公用户分配IP
ip pool office-pool
 gateway-list 10.23.101.1
 network 10.23.101.0 mask 24
 quit

# 为访客用户分配IP
ip pool guest-pool
 gateway-list 10.23.102.1
 network 10.23.102.0 mask 24
 quit

# 在VLAN接口上启用DHCP
interface Vlanif 100
 dhcp select global
 quit

interface Vlanif 101
 dhcp select global
 quit

interface Vlanif 102
 dhcp select global
 quit

# 配置CAPWAP源接口（关键配置）
capwap source interface Vlanif 100

# 进入WLAN视图
wlan

# 配置域管理模板
regulatory-domain-profile name domain1
 country-code CN
 quit

# 配置安全模板（办公网络）
security-profile name office-security
 security wpa-wpa2 psk pass-phrase Huawei@123 aes
 quit

# 配置安全模板（访客网络）
security-profile name guest-security
 security wpa-wpa2 psk pass-phrase Guest@123 aes
 quit

# 配置SSID模板（办公网络）
ssid-profile name office-ssid
 ssid Office-WLAN
 quit

# 配置SSID模板（访客网络）
ssid-profile name guest-ssid
 ssid Guest-WLAN
 quit

# 配置VAP模板（办公网络-隧道转发）
vap-profile name office-vap
 forward-mode tunnel  # 隧道转发模式
 service-vlan vlan-id 101
 ssid-profile office-ssid
 security-profile office-security
 quit

# 配置VAP模板（访客网络-直接转发）
vap-profile name guest-vap
 forward-mode direct-forward  # 直接转发模式
 service-vlan vlan-id 102
 ssid-profile guest-ssid
 security-profile guest-security
 quit

# 配置AP组
ap-group name ap-group1
 regulatory-domain-profile domain1
 radio 0
  vap-profile office-vap wlan 1
  vap-profile guest-vap wlan 2
 quit
 radio 1
  vap-profile office-vap wlan 1
  vap-profile guest-vap wlan 2
 quit
 quit

# 配置AP上线（手动添加AP）
ap auth-mode mac-auth
ap-id 0 ap-mac 00e0-fc12-3456  # 替换为实际AP的MAC地址
ap-name AP1
ap-group ap-group1

关键命令详解：

1. CAPWAP源接口配置

   capwap source interface Vlanif 100

   • 指定AC与AP建立CAPWAP隧道的源接口
   • AP通过此接口的IP地址发现并连接AC

2. Option 43配置

   option 43 sub-option 3 ascii 10.23.100.1

   • DHCP Option 43用于AP发现AC
   • AP从DHCP服务器获取此选项后，知道AC的IP地址
   华为eNSP模拟器综合实验之- DHCP Option 43 解析

3. 转发模式配置：

   forward-mode tunnel      # 隧道转发（集中转发）
   forward-mode direct-forward  # 直接转发（本地转发）

   • 隧道转发：用户数据报文通过CAPWAP隧道封装后发送给AC，再由AC转发
   • 直接转发：用户数据报文直接由AP转发到上层网络，不经过AC

4. AP认证方式

   ap auth-mode mac-auth

   • MAC地址认证方式，基于AP的MAC地址进行认证

4. 二层交换机LSW2配置

system-view
sysname LSW2

# 创建VLAN
vlan batch 100 101 102

# 配置连接AC的接口
interface GigabitEthernet 0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100 101 102
 quit

# 配置连接AP的接口
interface GigabitEthernet 0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100 101 102
 quit

四、转发模式对比

隧道转发模式（办公网络）

数据流路径：

STA → AP → CAPWAP隧道 → AC → 上层网络

优点：

• 集中管理和控制
• 易于实施安全策略
• 便于流量监控和审计

缺点：

• 增加AC的处理负担
• 可能成为性能瓶颈

直接转发模式（访客网络）

数据流路径：

STA → AP → 交换机 → 上层网络

优点：

• 减轻AC负担
• 提高转发效率
• 降低延迟

缺点：

• 管理分散
• 安全策略实施较复杂

五、验证配置

1. 检查AP上线状态

# 在AC上执行
display ap all

预期输出：

AP ID AP Type  MAC Address   IP Address    Status
0     AP6050DN 00e0-fc12-3456 10.23.100.2  normal

2. 检查CAPWAP隧道状态

display capwap state

3. 检查无线业务状态

display vap all

4. STA连接测试

1. 打开STA（无线终端）
2. 搜索无线网络
3. 连接"Office-WLAN"或"Guest-WLAN"
4. 输入对应密码
5. 获取IP地址并测试连通性

六、故障排查

常见问题及解决方案

1. AP无法上线

   • 检查网络连通性：ping 10.23.100.1
   • 检查DHCP配置：确保AP能获取IP和Option 43
   • 检查CAPWAP源接口配置
   • 检查AP MAC地址是否正确添加

2. STA无法获取IP

   • 检查DHCP服务器配置
   • 检查VLAN配置是否正确
   • 检查VAP模板中的service-vlan配置

3. STA无法上网

   • 检查路由配置
   • 检查NAT配置（如需要）
   • 检查安全策略

七、配置要点总结

1. CAPWAP隧道建立：AC必须配置源接口，AP通过DHCP Option 43发现AC
2. VLAN规划：管理VLAN和业务VLAN要分开
3. 转发模式选择：
   • 隧道转发：适合需要集中管控的场景
   • 直接转发：适合高性能要求的场景
4. 安全配置：必须配置安全模板和SSID模板
5. AP组管理：通过AP组统一管理多个AP的配置

这个实战案例涵盖了华为ENSP环境中WLAN瘦AP配置的核心知识点，包括拓扑设计、IP规划、详细配置命令和故障排查方法。