新手网工别懵圈!华为AC+瘦AP旁挂上线,保姆级配置命令逐行解析
华为AC+瘦AP旁挂部署实战指南:从零搭建企业级无线网络
第一次接触华为无线控制器(AC)和瘦AP(Access Point)的配置时,面对密密麻麻的命令行和复杂的模板关系,很多新手网络工程师都会感到无从下手。本文将用最直观的方式,带你一步步完成AC+瘦AP的旁挂式部署,不仅告诉你每行命令的作用,还会解释背后的网络原理,让你真正理解而不仅仅是照搬配置。
1. 网络架构与基础概念
在开始配置之前,我们需要明确几个关键概念和整体网络架构。旁挂式部署是指AC不直接参与数据转发,而是作为控制节点旁挂在核心交换机上,只负责管理AP和下发配置。这种架构适合中小型企业,既能保证无线网络的可管理性,又不会对核心网络造成太大压力。
核心组件解析:
- AC(无线控制器):负责统一管理所有AP,下发配置和策略
- 瘦AP:依赖AC进行配置和管理,本身只负责无线信号收发
- CAPWAP隧道:AP与AC之间的管理通道,用于传输控制报文和用户数据
典型的旁挂式部署网络拓扑如下:
[AP] ---(Trunk)---> [接入交换机] ---(Trunk)---> [核心交换机] | | [AC]2. 交换机基础配置
交换机的配置是整个部署的基础,需要确保AP能够获取IP地址并与AC建立连接。以下是关键配置步骤:
2.1 接口模式与VLAN规划
首先需要规划两个VLAN:
- 管理VLAN(VLAN 100):用于AP与AC之间的管理通信
- 业务VLAN(VLAN 2):用于无线终端的上网流量
# 配置与AP连接的接口(假设为G0/0/1) interface GigabitEthernet0/0/1 port link-type trunk port trunk pvid vlan 100 # 设置PVID为管理VLAN port trunk allow-pass vlan 2 100 # 允许业务和管理VLAN通过 # 配置与AC连接的接口(假设为G0/0/2) interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 100 # 只允许管理VLAN通过注意:PVID(Port VLAN ID)的作用是当接口收到不带Tag的帧时,会打上指定VLAN的Tag。AP初始启动时发送的DHCP请求是不带Tag的,因此需要PVID确保它能获取到管理VLAN的IP地址。
2.2 DHCP服务器配置
AP需要通过DHCP获取IP地址,并知道AC的位置(通过Option 43):
# 配置管理VLAN的地址池 ip pool ac gateway-list 192.168.100.254 network 192.168.100.0 mask 255.255.255.0 excluded-ip-address 192.168.100.253 # 保留给AC使用的地址 option 43 sub-option 2 ip-address 192.168.100.253 # 关键!告诉APAC的地址 # 配置业务VLAN的地址池(供无线终端使用) ip pool ap gateway-list 192.168.2.254 network 192.168.2.0 mask 255.255.255.0 lease day 0 hour 12 minute 0 dns-list 114.114.114.114 # 启用VLAN接口并开启DHCP interface Vlanif100 ip address 192.168.100.254 255.255.255.0 dhcp select global interface Vlanif2 ip address 192.168.2.254 255.255.255.0 dhcp select global常见问题排查:
- AP无法获取IP:检查接口PVID是否正确,Option 43是否配置
- AP能获取IP但无法连接AC:检查AC的CAPWAP源接口配置,确保AC与AP路由可达
3. AC控制器核心配置
AC的配置可以分为几个逻辑部分:CAPWAP隧道建立、无线服务模板配置、AP组管理。
3.1 基础网络参数
# 设置CAPWAP源接口(管理VLAN的接口) [AC] capwap source interface Vlanif 100 # 设置AP认证模式(初期建议不认证) [AC-wlan-view] ap auth-mode no-auth3.2 无线服务模板配置
华为的无线配置采用模板化设计,主要包括四种模板:
| 模板类型 | 作用 | 示例配置 |
|---|---|---|
| SSID模板 | 定义无线网络名称 | ssid-profile name office |
| 安全模板 | 定义认证方式和密码 | security wpa2 psk aes huawei123 |
| VAP模板 | 绑定SSID和安全模板 | vap-profile name office-vap |
| AP组 | 将AP分类管理 | ap-group name floor1 |
具体配置示例:
# 创建SSID模板 [AC-wlan-view] ssid-profile name office [AC-wlan-ssid-prof-office] ssid Huawei-Office # 创建安全模板 [AC-wlan-view] security-profile name office-sec [AC-wlan-sec-prof-office-sec] security wpa2 psk pass-phrase huawei123 aes # 创建VAP模板 [AC-wlan-view] vap-profile name office-vap [AC-wlan-vap-prof-office-vap] ssid-profile office [AC-wlan-vap-prof-office-vap] security-profile office-sec [AC-wlan-vap-prof-office-vap] service-vlan vlan-id 2 [AC-wlan-vap-prof-office-vap] forward-mode direct-forward # 直接转发模式3.3 AP组与射频配置
AP组是管理AP的核心单元,一个AP只能属于一个组,但一个组可以包含多个VAP模板(对应不同SSID或频段):
# 创建AP组 [AC-wlan-view] ap-group name floor1 # 绑定VAP模板到2.4G射频(radio 0) [AC-wlan-ap-group-floor1] vap-profile office-vap wlan 1 radio 0 # 如果需要5G频段(radio 1),可以创建另一个VAP模板 [AC-wlan-ap-group-floor1] vap-profile office-vap-5g wlan 2 radio 1射频参数说明:
- radio 0:2.4GHz频段
- radio 1:5GHz频段
- wlan ID:逻辑无线网络标识,同一射频下的不同wlan ID对应不同VAP模板
4. AP上线与日常管理
完成上述配置后,就可以让AP上线并进行日常管理了。
4.1 AP上线流程
- 物理连接AP到配置好的交换机端口
- AP启动后会通过DHCP获取IP地址
- AP通过Option 43发现AC地址
- AP与AC建立CAPWAP隧道
- AC下发配置到AP
- AP应用配置并重启无线服务
查看AP状态:
# 查看所有AP状态 [AC-wlan-view] display ap all # 示例输出: AP ID AP Name MAC Address State Group IP Address 0 AP1 00e0-fc12-3456 normal floor1 192.168.100.14.2 AP个性化配置
根据AP的实际位置,可以进行个性化命名和分组:
# 进入指定AP配置视图(根据display ap all显示的AP ID) [AC-wlan-view] ap-id 0 # 将AP加入特定组 [AC-wlan-ap-0] ap-group floor1 # 为AP设置描述性名称 [AC-wlan-ap-0] ap-name MeetingRoom-AP1 # 设置AP的射频参数(可选) [AC-wlan-ap-0] radio 0 [AC-wlan-ap-0-radio-0] channel 6 # 指定2.4G信道 [AC-wlan-ap-0-radio-0] eirp 15 # 设置发射功率4.3 常见问题排查表
| 问题现象 | 可能原因 | 排查方法 |
|---|---|---|
| AP无法上线 | DHCP问题 | 检查交换机PVID和Option 43配置 |
| AP上线但无信号 | 射频未启用 | 检查AP组的VAP模板绑定情况 |
| 能连接但无法上网 | VLAN透传问题 | 检查业务VLAN是否全程贯通 |
| 信号弱 | 功率或信道问题 | 检查射频参数和周围干扰 |
5. 高级配置与优化建议
基础配置完成后,可以考虑进一步优化无线网络性能和安全性。
5.1 双频合一配置
现代AP通常支持2.4G和5G双频段,可以通过以下方式实现双频合一:
# 创建5G专用的VAP模板 [AC-wlan-view] vap-profile name office-vap-5g [AC-wlan-vap-prof-office-vap-5g] ssid-profile office [AC-wlan-vap-prof-office-vap-5g] security-profile office-sec [AC-wlan-vap-prof-office-vap-5g] service-vlan vlan-id 2 [AC-wlan-vap-prof-office-vap-5g] forward-mode direct-forward # 将5G VAP模板绑定到AP组 [AC-wlan-ap-group-floor1] vap-profile office-vap-5g wlan 1 radio 15.2 无线网络优化参数
# 配置负载均衡(当有多个AP时) [AC-wlan-view] load-balance profile name lb-profile [AC-wlan-lb-prof-lb-profile] sta-number threshold 20 # 当AP客户端数超过20时触发��衡 # 配置频谱导航(引导双频终端优先连接5G) [AC-wlan-view] band-navigation enable [AC-wlan-view] band-navigation rssi-threshold 20 # 信号强度阈值 # 配置无线空口优化 [AC-wlan-view] wmm-profile name office-wmm [AC-wlan-wmm-prof-office-wmm] wmm enable5.3 安全加固措施
# 更改AP认证模式为MAC或SN认证 [AC-wlan-view] ap auth-mode mac-auth # 或sn-auth # 添加合法AP白名单 [AC-wlan-view] ap whitelist mac 00e0-fc12-3456 # 配置无线入侵检测 [AC-wlan-view] wids profile name office-wids [AC-wlan-wids-prof-office-wids] wids enable [AC-wlan-wids-prof-office-wids] anti-attack flood enable在实际项目中,我遇到过AP频繁掉线的情况,最终发现是由于CAPWAP隧道MTU不匹配导致的。通过在AC上调整MTU值解决了问题:
[AC] capwap dtls mtu 1200 # 根据网络实际情况调整