华为AC+AP旁挂二层组网+直接转发,配置实战
本文介绍了企业无线网络中旁挂二层组网直接转发模式的配置方法。该模式通过AC旁挂部署,实现业务数据直接转发,具有部署灵活、转发效率高等优势。文章详细规划了VLAN划分、IP地址分配及各类模板配置,并提供了AC设备的命令行配置步骤,包括VLAN设置、DHCP服务、域管理模板、SSID模板、安全模板和VAP模板的配置要点。这种组网方式适用于需要无线与有线网络隔离的企业环境,能有效提升网络性能和安全性。
·
前言
在企业无线网络部署中,旁挂二层组网直接转发是一种常见的架构模式。相比于直连模式和隧道转发模式,旁挂模式具有以下优势:
- 部署灵活:AC旁挂在汇聚交换机侧,不影响原有核心网络架构
- 转发效率高:业务数据直接通过接入层转发,无需绕道AC封装隧道
- 带宽利用率高:减少了CAPWAP隧道带来的额外开销
本文基于华为官方配置指南,详细介绍命令行方式配置旁挂二层组网直接转发示例。
一、业务需求
企业需要在现有网络架构中部署无线Wi-Fi,要求:
- 无线用户能够安全接入网络
- AP设备能够被AC统一管理
- 业务数据采用直接转发模式
- 无线网络与有线网络隔离
二、组网需求
2.1 网络拓扑
┌─────────────┐
│ 出口网关 │
│ (AR路由器) │
└──────┬──────┘
│
┌──────┴──────┐
│ 汇聚交换机 │
│ SwitchB │
│ (旁挂AC) │
└──────┬──────┘
│
┌──────┴──────┐
│ 接入交换机 │
│ SwitchA │
└──────┬──────┘
│
┌────┴────┐
│ AP │
└─────────┘
│
┌────┴────┐
│ STA │
│ (无线终端)│
└─────────┘
2.2 网络说明
| 设备 | 角色 | 说明 |
|---|---|---|
| AR | 出口网关 | 连接Internet,提供NAT功能 |
| SwitchB | 汇聚交换机 | 旁挂AC设备,同时作为STA的DHCP服务器 |
| SwitchA | 接入交换机 | 连接AP,上联SwitchB |
| AC | 无线控制器 | 旁挂部署,管理AP设备 |
| AP | 无线接入点 | 部署在办公区域,提供无线信号 |
| STA | 无线终端 | 手机、笔记本等无线设备 |
三、数据规划
3.1 VLAN规划
| VLAN用途 | VLAN ID | 说明 |
|---|---|---|
| AP管理VLAN | VLAN 100 | 用于AC与AP之间的管理通信 |
| STA业务VLAN | VLAN 101 | 用于无线用户业务数据 |
3.2 IP地址规划
| 配置项 | 数据 | 说明 |
|---|---|---|
| AP管理网段 | 10.23.100.0/24 | AP获取IP地址的网段 |
| STA业务网段 | 10.23.101.0/24 | 无线用户获取IP地址的网段 |
| AP地址池 | 10.23.100.2 ~ 10.23.100.254 | 由AC的DHCP服务器分配 |
| STA地址池 | 10.23.101.3 ~ 10.23.101.254 | 由SwitchB的DHCP服务器分配 |
| STA默认网关 | 10.23.101.2 | 汇聚交换机的VLANIF地址 |
| AC源接口IP | VLANIF100: 10.23.100.1/24 | AC的管理接口IP |
3.3 模板规划
域管理模板
| 参数 | 值 |
|---|---|
| 模板名称 | default |
| 国家码 | CN(中国) |
SSID模板
| 参数 | 值 |
|---|---|
| 模板名称 | wlan-net |
| SSID名称 | wlan-net |
| SSID可见性 | 启用 |
安全模板
| 参数 | 值 |
|---|---|
| 模板名称 | wlan-net |
| 安全策略 | WPA-WPA2+PSK+AES |
| 连接密码 | a1234567 |
VAP模板
| 参数 | 值 |
|---|---|
| 模板名称 | wlan-net |
| 转发模式 | 直接转发 |
| 业务VLAN | VLAN 101 |
| 引用模板 | SSID模板wlan-net、安全模板wlan-net |
四、配置思路
4.1 整体思路
1. 基础网络配置
├── 配置VLAN(包括AP管理VLAN和STA业务VLAN)
└── 配置VLANIF接口IP地址
2. DHCP服务器配置
├── AC配置:作为AP的DHCP服务器
└── SwitchB配置:作为STA的DHCP服务器
3. AP设备配置
├── 创建AP组
├── 配置域管理模板
├── 配置SSID模板
├── 配置安全模板
├── 配置VAP模板
└── 将模板引用到AP组
4. 交换机配置
├── 上联接口配置Trunk口
└── 下联接口配置Access口
4.2 关键配置点
旁挂二层组网直接转发的关键点:
- VLAN配置:AP管理和STA业务必须使用不同的VLAN
- DHCP Snooping:建议开启,防止非法DHCP服务器
- 直接转发:VAP模板中必须选择"直接转发"模式
- CAPWAP链路:AC与AP之间通过VLAN 100通信
五、命令行配置详解
5.1 AC配置
步骤1:配置AC的基础参数
# 进入系统视图
<HUAWEI> system-view
# 重命名设备
[HUAWEI] sysname AC
# 关闭当前会话信息中心提示
[AC] undo info-center enable
步骤2:配置VLAN和VLANIF
# 创建VLAN 100(AP管理VLAN)
[AC] vlan batch 100 101
# 进入VLANIF100视图
[AC] interface vlanif 100
# 配置VLANIF100的IP地址(AC的源接口IP)
[AC-Vlanif100] ip address 10.23.100.1 24
# 退出VLANIF视图
[AC-Vlanif100] quit
步骤3:配置AC作为AP的DHCP服务器
# 配置DHCP服务
[AC] dhcp enable
# 创建DHCP服务器组
[AC] dhcp server group ap-dhcp-group
# 配置DHCP服务器组
[AC-dhcp-server-group-ap-dhcp-group] dhcp-server 10.23.100.1
# 退出DHCP服务器组视图
[AC-dhcp-server-group-ap-dhcp-group] quit
# 创建地址池ap-pool(为AP分配IP地址)
[AC] ip pool ap-pool
# 配置地址池范围
[AC-ip-pool-ap-pool] network 10.23.100.0 mask 24
# 配置网关
[AC-ip-pool-ap-pool] gateway-list 10.23.100.1
# 配置DNS服务器(可选)
[AC-ip-pool-ap-pool] dns-list 8.8.8.8 114.114.114.114
# 退出地址池视图
[AC-ip-pool-ap-pool] quit
# 将VLANIF100与DHCP服务器组绑定
[AC] interface vlanif 100
[AC-Vlanif100] dhcp server group ap-dhcp-group
[AC-Vlanif100] dhcp server select global
[AC-Vlanif100] quit
步骤4:配置AP域管理模板
# 创建域管理模板
[AC] wlan
# 进入域管理模板视图
[AC-wlan-view] regulatory-domain-profile name domain-default
# 配置国家码为中国
[AC-wlan-regulatory-domain-domain-default] country-code CN
# 退出域管理模板视图
[AC-wlan-regulatory-domain-domain-default] quit
步骤5:配置SSID模板
# 创建SSID模板
[AC-wlan-view] ssid-profile name wlan-net
# 配置SSID名称
[AC-wlan-ssid-profile-wlan-net] ssid wlan-net
# 退出SSID模板视图
[AC-wlan-ssid-profile-wlan-net] quit
步骤6:配置安全模板
# 创建安全模板
[AC-wlan-view] security-profile name wlan-net
# 配置安全策略为WPA-WPA2+PSK+AES
[AC-wlan-security-wlan-net] security wpa-wpa2 psk aes
# 配置连接密码
[AC-wlan-security-wlan-net] psk pass-phrase a1234567 aes
# 退出安全模板视图
[AC-wlan-security-wlan-net] quit
步骤7:配置VAP模板
# 创建VAP模板
[AC-wlan-view] vap-profile name wlan-net
# 配置转发模式为直接转发
[AC-wlan-vap-profile-wlan-net] forward mode direct-forward
# 配置业务VLAN
[AC-wlan-vap-profile-wlan-net] service-vlan vlan-id 101
# 引用SSID模板
[AC-wlan-vap-profile-wlan-net] ssid-profile wlan-net
# 引用安全模板
[AC-wlan-vap-profile-wlan-net] security-profile wlan-net
# 退出VAP模板视图
[AC-wlan-vap-profile-wlan-net] quit
步骤8:配置AP组并引用模板
# 创建AP组
[AC-wlan-view] ap-group name ap-group1
# 进入AP组视图
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain-default
# 引用VAP模板
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net radio 1
# 退出AP组视图
[AC-wlan-ap-group-ap-group1] quit
步骤9:配置AP认证
# 配置AP认证模式为MAC地址认证
[AC-wlan-view] ap auth-mode mac-auth
# 添加AP设备(MAC地址需要根据实际设备填写)
[AC-wlan-view] ap-id 0 type-id 23 ap-mac 00e0-fc11-2201 ap-sn 210235A55G10CB000001
步骤10:配置上行接口
# 返回系统视图
[AC-wlan-view] quit
# 进入上行接口(假设为GE0/0/1)
[AC] interface gigabitethernet 0/0/1
# 配置接口类型为Access
[AC-GigabitEthernet0/0/1] port link-type access
# 允许VLAN 100通过
[AC-GigabitEthernet0/0/1] port default vlan 100
# 退出接口视图
[AC-GigabitEthernet0/0/1] quit
5.2 SwitchB配置(汇聚交换机)
# 进入系统视图
<HUAWEI> system-view
# 重命名设备
[HUAWEI] sysname SwitchB
# 关闭当前会话信息中心提示
[SwitchB] undo info-center enable
# 创建VLAN
[SwitchB] vlan batch 100 101
# 配置VLANIF101(STA的网关)
[SwitchB] interface vlanif 101
[SwitchB-Vlanif101] ip address 10.23.101.2 24
[SwitchB-Vlanif101] quit
# 配置DHCP服务
[SwitchB] dhcp enable
# 创建地址池(为STA分配IP地址)
[SwitchB] ip pool sta-pool
[SwitchB-ip-pool-sta-pool] network 10.23.101.0 mask 24
[SwitchB-ip-pool-sta-pool] gateway-list 10.23.101.2
[SwitchB-ip-pool-sta-pool] dns-list 8.8.8.8 114.114.114.114
[SwitchB-ip-pool-sta-pool] quit
# 将VLANIF101与STA地址池绑定
[SwitchB] interface vlanif 101
[SwitchB-Vlanif101] dhcp select global
[SwitchB-Vlanif101] quit
# 配置上联接口(连接出口网关AR)
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan all
[SwitchB-GigabitEthernet0/0/1] quit
# 配置下联接口(连接SwitchA)
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type trunk
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
[SwitchB-GigabitEthernet0/0/2] quit
# 配置连接AC的接口
[SwitchB] interface gigabitethernet 0/0/3
[SwitchB-GigabitEthernet0/0/3] port link-type trunk
[SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 100
[SwitchB-GigabitEthernet0/0/3] quit
5.3 SwitchA配置(接入交换机)
# 进入系统视图
<HUAWEI> system-view
# 重命名设备
[HUAWEI] sysname SwitchA
# 关闭当前会话信息中心提示
[SwitchA] undo info-center enable
# 创建VLAN
[SwitchA] vlan batch 100 101
# 配置上联接口(连接SwitchB)
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
[SwitchA-GigabitEthernet0/0/1] quit
# 配置下联接口(连接AP)
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
[SwitchA-GigabitEthernet0/0/2] quit
六、配置验证
6.1 验证AC配置
# 查看AP状态
[AC] display ap all
# 预期输出:AP状态显示为"normal"或"normal"
# 显示AP是否正常在线
# 查看VAP配置
[AC] display vap-profile name wlan-net
# 预期输出:显示VAP模板的配置信息,确认转发模式为"direct-forward"
# 查看SSID模板
[AC] display ssid-profile name wlan-net
# 预期输出:显示SSID名称为"wlan-net"
# 查看安全模板
[AC] display security-profile name wlan-net
# 预期输出:显示安全策略为"WPA-WPA2+PSK+AES"
6.2 验证DHCP配置
# 查看DHCP地址池
[AC] display ip pool name ap-pool
# 预期输出:显示地址池配置,包括网关、DNS等信息
# 查看DHCP服务器
[AC] display dhcp server group ap-dhcp-group
# 预期输出:显示DHCP服务器组配置
6.3 验证网络连通性
# AC Ping AP(测试管理平面连通性)
[AC] ping 10.23.100.254
# 预期输出:能够Ping通
# STA Ping网关(测试业务平面连通性)
# 在STA上执行
C:\> ping 10.23.101.2
# 预期输出:能够Ping通
6.4 验证无线业务
# 在STA上连接SSID:wlan-net
# 输入密码:a1234567
# 查看STA获取的IP地址
# 在STA上执行
C:\> ipconfig
# 预期输出:
# IPv4地址:10.23.101.3~10.23.101.254范围内的地址
# 子网掩码:255.255.255.0
# 默认网关:10.23.101.2
七、常见问题排查
7.1 AP无法上线
| 故障现象 | 可能原因 | 排查方法 |
|---|---|---|
| AP无法获取IP地址 | DHCP配置错误 | 检查AC的DHCP配置,确认地址池和网关配置正确 |
| VLAN配置错误 | 检查AP连接的交换机端口是否允许VLAN 100通过 | |
| CAPWAP链路建立失败 | AC源接口IP配置错误 | 检查AC的VLANIF100 IP地址是否为10.23.100.1 |
| 防火墙阻断 | 检查网络设备是否放行了UDP 5246/5247端口 |
排查命令:
# 查看AP的DHCP地址获取情况
[AC] display ip pool interface vlanif 100
# 查看CAPWAP链路状态
[AC] display capwap link
# 查看AP的运行状态
[AC] display ap run-info ap-id 0
7.2 STA无法连接无线网络
| 故障现象 | 可能原因 | 排查方法 |
|---|---|---|
| STA找不到SSID | VAP模板未引用到AP组 | 检查AP组是否正确引用了VAP模板 |
| AP未正常上线 | 参考7.1节排查AP上线问题 | |
| STA连接后无法获取IP | DHCP Snooping拦截 | 检查是否开启了DHCP Snooping,确认信任端口配置 |
| SwitchB的DHCP配置错误 | 检查SwitchB的DHCP地址池和VLANIF配置 |
排查命令:
# 查看STA的关联信息
[AC] display station all
# 查看STA的IP获取情况
[AC] display station ip-address 10.23.101.x
# 查看DHCP Snooping配置
[SwitchB] display dhcp snooping
7.3 业务数据转发异常
| 故障现象 | 可能原因 | 排查方法 |
|---|---|---|
| 直接转发不通 | VLAN配置错误 | 检查VLAN 101是否在所有设备上正确配置 |
| 二层转发被阻断 | 检查STP配置,确认端口状态正确 |
排查命令:
# 查看MAC地址表
[SwitchA] display mac-address
# 查看VLAN配置
[SwitchA] display port vlan
# 查看STP端口状态
[SwitchA] display stp brief
八、配置总结
8.1 关键配置汇总
| 配置项 | AC | SwitchB | SwitchA |
|---|---|---|---|
| VLAN | 100, 101 | 100, 101 | 100, 101 |
| DHCP | AP地址池 | STA地址池 | - |
| 转发模式 | 直接转发 | - | - |
| 安全策略 | WPA-WPA2+PSK+AES | - | - |
8.2 注意事项
- VLAN隔离:AP管理和STA业务必须使用不同VLAN,防止广播风暴
- 直接转发:确保VAP模板中选择"直接转发"模式,否则数据会走隧道
- DHCP配置:AC和SwitchB分别为不同的网段提供DHCP服务
- 端口类型:交换机连接AP的端口需配置为Trunk口
- 国家码:域管理模板中的国家码必须与AP实际所在国家一致
8.3 后续优化建议
- 配置DHCP Snooping:防止非法DHCP服务器攻击
- 配置ARP绑定:防止ARP欺骗攻击
- 配置限速:防止单个用户占用过多带宽
- 配置负载均衡:多AP部署时合理分配用户
结语
本文详细介绍了华为AC+AP旁挂二层组网直接转发的配置方法,包括VLAN规划、DHCP配置、AP模板配置和交换机配置等关键步骤。
旁挂二层组网直接转发的优势:
- ✅ 部署灵活,不影响现有网络架构
- ✅ 转发效率高,减少隧道开销
- ✅ 适合中等规模的无线网络部署
如果觉得本文对你有帮助,欢迎在评论区留言交流!
参考资料:
- 华为官方文档:《无线接入控制器(AC和FIT AP) V200R019C00 配置指南(Web网管)》
- 文档链接:https://support.huawei.com/enterprise/zh/doc/EDOC1100096322/cebe5bfe
DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。
更多推荐
4
0- 0
已为社区贡献2条内容
所有评论(0)