Contents
一个物理AP多个VAP
1.项目需求:
需求:一个物理AP,多个VAP
方案:
管理VLAN100
Sales-AP 业务 VLAN101
Market-AP 业务 VLAN102
隧道转发:
DHCP 在AC上配置为VLAN101 102分配地址
AC还需要为AP分配地址 VLAN100
AC的GE0/0/1 access 指定到VLAN 100
2.基础网络搭建
2.1.配置AR1
AR1
<Huawei>sys
[Huawei]sysname AR1
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]quit
[AR1]ip route-static 192.168.100.0 24 192.168.111.1
[AR1]ip route-static 192.168.101.0 24 192.168.111.1
[AR1]ip route-static 192.168.102.0 24 192.168.111.1
2.2.配置AC6065的VLAN
<AC6005>sys
#--4个VLAN
[AC6005]vlan batch 111 100 101 102
#--配4个VLAN网关
[AC6005]interface vlanif 111
[AC6005-Vlanif111]ip address 192.168.111.1 24
[AC6005-Vlanif111]quit
[AC6005]interface vlanif 100
[AC6005-Vlanif100]ip address 192.168.100.1 24
[AC6005-Vlanif100]quit
[AC6005]interface Vlanif 101
[AC6005-Vlanif101]ip address 192.168.101.1 24
[AC6005-Vlanif101]quit
[AC6005]interface vlanif 102
[AC6005-Vlanif102]ip address 192.168.102.1 24
[AC6005-Vlanif102]quit
#--查看接口启用情况
[AC6005]display ip interface brief
#--把地址绑定到物理接口上
[AC6005]interface GigabitEthernet 0/0/1
[AC6005-GigabitEthernet0/0/1]port link-type access
[AC6005-GigabitEthernet0/0/1]port default vlan 111
[AC6005-GigabitEthernet0/0/1]quit
[AC6005]interface GigabitEthernet 0/0/2
[AC6005-GigabitEthernet0/0/2]port link-type access
[AC6005-GigabitEthernet0/0/2]port default vlan 100
[AC6005-GigabitEthernet0/0/2]quit
#--查看接口启用情况
[AC6005]display ip interface brief
#--加路由
[AC6005]ip route-static 0.0.0.0 0 192.168.111.2
3.开启AC6065的DHCP服务
#--开启DHCP服务
[AC6005]dhcp enable
[AC6005]ip pool vlan100
[AC6005-ip-pool-vlan100]network 192.168.100.0 mask 24
[AC6005-ip-pool-vlan100]gateway-list 192.168.100.1
[AC6005-ip-pool-vlan100]quit
[AC6005]ip pool vlan101
[AC6005-ip-pool-vlan101]network 192.168.101.0 mask 24
[AC6005-ip-pool-vlan101]gateway-list 192.168.101.1
[AC6005-ip-pool-vlan101]dns-list 8.8.8.8
[AC6005-ip-pool-vlan101]quit
[AC6005]ip pool vlan102
[AC6005-ip-pool-vlan102]network 192.168.102.0 mask 24
[AC6005-ip-pool-vlan102]gateway-list 192.168.102.1
[AC6005-ip-pool-vlan102]dns-list 8.8.8.8
[AC6005-ip-pool-vlan102]quit
[AC6005]interface vlanif 100
[AC6005-Vlanif100]dhcp select global
[AC6005-Vlanif100]quit
[AC6005]interface vlanif102
[AC6005-Vlanif102]dhcp select global
[AC6005-Vlanif102]quit
[AC6005]interface vlanif101
[AC6005-Vlanif101]dhcp select global
3.1.查看AP2025是否有地址
[Huawei]display ip interface brief
[Huawei]ping 192.168.111.2
4.配置AP上线
4.1.指定和AP建立Capwap的地址或接口
<AC6005>sys
#--指定和AP建立Capwap的地址或接口
[AC6005]capwap source interface vlanif 100
4.2.配置域管理模板
#--配置域管理模板
[AC6005]wlan
[AC6005-wlan-view]regulatory-domain-profile name default
[AC6005-wlan-regulate-domain-default]country-code cn
[AC6005-wlan-regulate-domain-default]quit
4.3.配置AP接入验证模式
#--配置AP接入验证模式
[AC6005-wlan-view]ap auth-mode ? #--查看支持的身份验证模式
mac-auth MAC authenticated mode, default authenticated mode
no-auth No authenticated mode
sn-auth SN authenticated mode
[AC6005-wlan-view]ap auth-mode mac-auth #--指定使用MAC地址身份验证
[AC6005-wlan-view]ap-id 1 ap-mac 00E0-FC80-53E0
[AC6005-wlan-ap-1]ap-name ap1
[AC6005-wlan-ap-1]regulatory-domain-profile default
[AC6005-wlan-ap-1]quit
[AC6005-wlan-view]quit
[AC6005]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [1]
--------------------------------------------------------------------------------
------------
ID MAC Name Group IP Type State STA Uptim
e
--------------------------------------------------------------------------------
------------
1 00e0-fc80-53e0 ap1 default 192.168.100.205 AP2050DN nor 0 52S
--------------------------------------------------------------------------------
------------
Total: 1
4.4.配置SSID模板
#--配置SSID模板
[AC6005]wlan
[AC6005-wlan-view]ssid-profile name sales-AP
[AC6005-wlan-ssid-prof-sales-AP]ssid sales-AP
[AC6005-wlan-ssid-prof-sales-AP]quit
[AC6005-wlan-view]ssid-profile name Market-AP
[AC6005-wlan-ssid-prof-Market-AP]ssid Market-AP
[AC6005-wlan-ssid-prof-Market-AP]quit
4.5.配置安全模块
#--配置安全模块
[AC6005-wlan-view]security-profile name Sec-sales
[AC6005-wlan-sec-prof-Sec-sales]security wpa-wpa2 psk pass-phrase a1234567 aes
[AC6005-wlan-sec-prof-Sec-sales]quit
[AC6005-wlan-view]security-profile name Sec-market
[AC6005-wlan-sec-prof-Sec-market]security wpa-wpa2 psk pass-phrase b1234567 aes
[AC6005-wlan-sec-prof-Sec-market]quit
4.6.配置VAP模板
#--配置VAP模块
[AC6005-wlan-view]vap-profile name vap-sales
[AC6005-wlan-vap-prof-vap-sales]forward-mode tunnel
[AC6005-wlan-vap-prof-vap-sales]service-vlan vlan-id 101
[AC6005-wlan-vap-prof-vap-sales]ssid-profile sales-AP
[AC6005-wlan-vap-prof-vap-sales]security-profile Sec-sales
[AC6005-wlan-vap-prof-vap-sales]quit
[AC6005-wlan-view]vap-profile name vap-market
[AC6005-wlan-vap-prof-vap-market]forward-mode tunne
[AC6005-wlan-vap-prof-vap-market]service-vlan vlan-id 102
[AC6005-wlan-vap-prof-vap-market]ssid-profile Market-AP
[AC6005-wlan-vap-prof-vap-market]security-profile Sec-market
[AC6005-wlan-vap-prof-vap-market]quit
[AC6005-wlan-view]quit
4.7.在AP中应用VAP模块
#--在AP中应用VAP模块
[AC6005-wlan-view]ap-id 1
[AC6005-wlan-ap-1]vap-profile vap-sales wlan 1 radio 0
[AC6005-wlan-ap-1]vap-profile vap-sales wlan 1 radio 1
[AC6005-wlan-ap-1]quit
[AC6005-wlan-view]ap-id 1
[AC6005-wlan-ap-1]vap-profile vap-market wlan 2 radio 0
[AC6005-wlan-ap-1]vap-profile vap-market wlan 2 radio 1
[AC6005-wlan-ap-1]quit
5.测试
6.AC改直接转发,不经过管道
6.1.改VLAN
<AC6005>sys
[AC6005]interface GigabitEthernet 0/0/2
[AC6005-GigabitEthernet0/0/2]display this
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 100
#
return
# 改access口为trunk口
[AC6005-GigabitEthernet0/0/2]undo port default vlan
[AC6005-GigabitEthernet0/0/2]undo port link-type
[AC6005-GigabitEthernet0/0/2]port trunk pvid vlan 100
[AC6005-GigabitEthernet0/0/2]port trunk allow-pass vlan 100 101 102
<AC6005>sys
[AC6005]wlan
[AC6005-wlan-view]vap-profile name vap-sales
[AC6005-wlan-vap-prof-vap-sales]forward-mode ?
direct-forward Direct forward
softgre Softgre profile
tunnel Tunnel
[AC6005-wlan-vap-prof-vap-sales]forward-mode direct-forward
[AC6005-wlan-vap-prof-vap-mark]vap-profile name vap-market
[AC6005-wlan-vap-prof-vap-market]forward-mode direct-forward
6.2.测试
封装里面少了CAPWAP协议
7.查看VAP情况
#--查看有多少个VAP
[AC6005]display vap all
#--查看有多少个设备连接在VAP上
[AC6005]display station all
8.增加一个AP
#--设置干道口
<AC6005>sys
[AC6005]interface GigabitEthernet 0/0/3
[AC6005-GigabitEthernet0/0/3]port link-ty
[AC6005-GigabitEthernet0/0/3]port link-type trunk
[AC6005-GigabitEthernet0/0/3]port trunk pvid vlan 100
[AC6005-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 101 102
[AC6005-GigabitEthernet0/0/3]quit
AP2
测试网络是否通
#--绑定AP2
[AC6005]wlan
[AC6005-wlan-view]ap-id 2 ap-mac 00E0-FCA8-2530
[AC6005-wlan-ap-2]ap-name ap2 #--指定名字
[AC6005-wlan-ap-2]regulatory-domain-profile default #--指定应用的域管理模板
#--在AP2中应用VAP模块
[AC6005-wlan-ap-2]vap-profile vap-sales wlan 1 radio 0
[AC6005-wlan-ap-2]vap-profile vap-sales wlan 1 radio 1
[AC6005-wlan-ap-2]quit
[AC6005-wlan-view]ap-id 2
[AC6005-wlan-ap-2]vap-profile vap-market wlan 2 radio 0
[AC6005-wlan-ap-2]vap-profile vap-market wlan 2 radio 1
测试
漫游测试
9.删除AP
操作步骤
执行命令system-view,进入系统视图。
执行命令wlan,进入WLAN视图。
执行命令undo ap { ap-name ap-name | ap-id ap-id | ap-mac ap-mac | ap-group group-name | all },删除AP。
10.AI总结
这份文档是一个非常好的华为AC+AP无线网络配置实例,核心目标是实现一个物理AP(AP1)提供两个不同的无线网络(VAP:sales-AP和Market-AP),分别使用不同的业务VLAN(101和102),并通过VLAN 100管理AP。后面还增加了第二个AP(AP2)并测试了漫游。文档还对比了隧道转发和直接转发两种模式。
下面我们来总结知识点、梳理思路,并深入浅出地解释VLAN的用法,帮助你工作中套用:
一、 核心知识点总结
VLAN的核心作用:逻辑隔离
管理VLAN (100): 专门用于AC和AP之间的通信(CAPWAP协议)。确保AP的管理流量(上线、配置、监控)独立于用户数据流量,更安全、更稳定。
业务VLAN (101 & 102):
用于承载不同无线网络(SSID)的用户数据流量。
sales-AP-> VLAN 101Market-AP-> VLAN 102
互联VLAN (111): 用于连接AC和上层路由器(AR1),打通不同网段的路由。
转发模式:隧道 vs. 直接
- 隧道转发 (Tunnel):
- 原理: AP将用户数据流量封装在CAPWAP隧道中发送给AC。AC解封装后,根据业务VLAN将数据流转发出去(或处理)。
- 特点:
- 数据集中到AC处理,便于集中策略控制(如认证、加密、QoS、安全)。
- 用户IP地址由AC上的对应业务VLAN的DHCP分配。
- 需要AC配置对应的业务VLAN接口(Vlanif101, Vlanif102)作为网关。
- 网络架构更简单,AP只需能到达AC的管理IP即可。
- 文档初始配置采用此模式。
- 直接转发 (Direct):
- 原理: AP将用户数据流量直接打上业务VLAN的标签,通过相连的交换机端口转发出去。数据流不经过AC(仅控制流经过AC)。
- 特点:
- 数据流本地转发,性能更高,减少AC负担。
- 用户IP地址由连接AP的交换机端口所在网络的DHCP服务器分配(本例中,因为AC的端口改了Trunk且允许了101/102,并且AC上有Vlanif接口运行DHCP,所以还是AC分配。但实际部署中,DHCP服务器也可以在汇聚/核心层)。
- 需要连接AP的交换机端口配置为Trunk,允许管理VLAN(100)和所有业务VLAN(101, 102)通过,并且设置管理VLAN为PVID(
port trunk pvid vlan 100)。 - 文档后半部分将模式改成了此模式。
- 关键命令:
port trunk pvid vlan 100和port trunk allow-pass vlan 100 101 102就是为支持直接转发而配置在AC连接AP的端口(GE0/0/2)上的。
- 隧道转发 (Tunnel):
AP管理:
- CAPWAP协议: AC管理AP的标准协议。
capwap source interface vlanif 100指定了AC使用管理VLAN 100的接口IP与AP通信。 - AP认证模式: 配置了
ap auth-mode mac-auth,通过AP的MAC地址进行认证。需要手动ap-id ... ap-mac ...将AP的MAC绑定到ID。 - 域管理模板:
regulatory-domain-profile设置国家码(country-code cn),确保AP发射功率、信道符合当地法规。
- CAPWAP协议: AC管理AP的标准协议。
无线服务配置(VAP):
- SSID模板: 定义了无线网络的名称(
sales-AP,Market-AP)。 - 安全模板: 定义了无线网络的安全策略(
security wpa-wpa2 psk pass-phrase ... aes使用WPA2-PSK个人版+AES加密)。 - VAP模板: 核心配置!将SSID模板、安全模板、转发模式(
forward-mode tunnel/direct-forward)、业务VLAN(service-vlan vlan-id 101/102)绑定在一起。一个VAP模板定义一个无线网络实例。 - 应用VAP到AP: 在AP视图下(
ap-id 1/2),将VAP模板应用到AP的射频(radio 0– 2.4G,radio 1– 5G)上。一个射频可以绑定多个VAP(对应不同WLAN ID)。
- SSID模板: 定义了无线网络的名称(
DHCP服务:
- 在AC上启用DHCP(
dhcp enable)。 - 为管理VLAN(100)和两个业务VLAN(101, 102)分别创建地址池(
ip pool vlan100/101/102),配置网段、网关(gateway-list)、DNS(dns-list)。 - 在对应的VLAN接口上启用全局DHCP(
interface vlanif xxx->dhcp select global)。
- 在AC上启用DHCP(
路由:
- AC上配置默认路由指向AR1(
ip route-static 0.0.0.0 0 192.168.111.2)。 - AR1上配置回程路由指向AC(
ip route-static 192.168.100.0/24/101.0/24/102.0/24 192.168.111.1),使上层网络能访问无线用户和管理AP。
- AC上配置默认路由指向AR1(
测试与排错:
display ap all: 查看AP上线状态。display vap all: 查看VAP状态(SSID、关联AP、射频、状态、认证方式、在线用户数)。display station all: 查看已关联的无线终端(MAC、关联的AP/射频/SSID、IP、信号强度RSSI)。ping: 测试网络连通性(如AP能否Ping通AR1,无线用户能否Ping通AR1)。- 抓包分析: 在直接转发模式下抓包,可以看到用户数据流量(如Ping包)是普通以太网帧带VLAN标签(101/102),不再有CAPWAP封装。
二、 VLAN用法深入浅出(结合文档)
可以把VLAN想象成大楼里的不同公司(或部门):
物理楼层是交换机/AP: 整个大楼(物理网络设备)提供了空间(带宽)。
VLAN是独立的公司套房:
VLAN 100、101、102 就像大楼里的3家不同的公司(套房)。每家公司在自己的套房里工作,
默认情况下互相隔离
(广播隔离,不能直接访问),保证了隐私和安全。
- 文档中: VLAN 100是“网络管理公司”,只负责管理AP设备(员工)。VLAN 101是“销售公司”,VLAN 102是“市场公司”,各自处理自己的业务数据。
交换机端口是门:
Access门:
只能通往一家公司(一个VLAN)。贴了这家公司的标签(PVID),进来的访客(无标签帧)自动被打上这个标签。出去时标签被撕掉。
- 文档中: 初始配置,AC的GE0/0/2端口是Access门,只通往VLAN 100(管理公司)。所有连接这个口的设备(AP),都被视为VLAN 100的成员。
Trunk门:
是公共走廊或电梯间,可以通往多个公司(允许多个VLAN通过)。但进出有规矩:
port trunk pvid vlan X:规定没有公司门禁卡(无标签)的访客,默认进入哪家公司(VLAN X)。出去时,属于这家公司(VLAN X)的访客(帧),门卫会撕掉他们的标签(无标签发出)。
- 文档中(直接转发): AC的GE0/0/2配置
port trunk pvid vlan 100。AP发出的无标签管理帧(如CAPWAP控制帧),进入这个口时被打上VLAN 100标签。VLAN 100的数据帧从这个口出去时,标签被撕掉发给AP。
- 文档中(直接转发): AC的GE0/0/2配置
port trunk allow-pass vlan Y Z ...:规定允许哪些公司的员工(带标签的帧)通过这个门进出。
- 文档中:
port trunk allow-pass vlan 100 101 102允许管理公司(V100)、销售公司(V101)、市场公司(V102)的数据通过这个Trunk门。
- 文档中:
路由器/三层交换机是公司前台/总机:
它们连接着不同公司的套房(VLAN)。它们知道如何把信件(数据包)从一个公司(VLAN)发往另一个公司(VLAN)或者发往大楼外(外网)。这就是不同VLAN间通信需要路由的原因。
- 文档中: AC(配置了Vlanif接口)和AR1(配置了静态路由)共同扮演了这个角色,让VLAN 100, 101, 102之间以及它们与外网(通过AR1)能够通信。
无线网络(VAP)是公司的分机号/门牌:
一个物理AP(大楼)里,可以虚拟出多个无线网络(VAP),相当于给同一层楼里的不同公司(VLAN)分别安装了一个无线门铃(SSID)。
- 文档中: AP1这个“大楼”里,
sales-AP(SSID)这个门铃通向VLAN 101套房(销售公司),Market-AP(SSID)这个门铃通向VLAN 102套房(市场公司)。用户连接哪个SSID,就进入了哪个VLAN。
- 文档中: AP1这个“大楼”里,
三、 文档思路整理(工作套用模板)
明确需求:
- 需要几个无线网络(SSID)?
- 这些无线网络需要隔离吗?(需要 -> 不同业务VLAN)
- AP如何管理?(需要 -> 管理VLAN)
- 用户数据流量如何转发?(集中控制选隧道,性能优先选直接)
网络规划:
- VLAN规划:
- 管理VLAN ID(e.g., 100)
- 业务VLAN ID(每个SSID一个,e.g., 101, 102, …)
- 互联VLAN ID(如果需要,e.g., 111)
- IP地址规划:
- 各VLAN的网关地址(通常在AC或核心交换机上)。
- 各VLAN的DHCP地址池范围。
- 互联地址(AC与路由器之间)。
- SSID与安全规划:
- 每个SSID的名称。
- 安全策略(WPA2-PSK密码或更高级的认证)。
- VLAN规划:
基础网络配置:
路由器:
- 配置互联接口IP。
- 配置回程静态路由指向AC(目标网段 = 所有管理VLAN + 业务VLAN网段, 下一跳 = AC的互联接口IP)。*[参考文档 AR1 配置]*
AC:
创建所需VLAN。*
vlan batch ...*配置VLAN接口IP(作为各VLAN网关)。*
interface vlanif X->ip address ...*配置连接路由器的端口(Access或Trunk)。*[文档 GE0/0/1 – Access VLAN 111]*
配置
连接AP的端口:
- 隧道转发: Access口绑定到管理VLAN。*[文档初始 GE0/0/2 – Access VLAN 100]*
- 直接转发: Trunk口,
pvid设置为管理VLAN,allow-pass管理VLAN和所有业务VLAN。*[文档修改后 GE0/0/2 – Trunk pvid 100, allow 100 101 102]*
配置默认路由指向路由器。*
ip route-static 0.0.0.0 0 ...*开启并配置DHCP服务(为管理VLAN和每个业务VLAN创建地址池,在对应Vlanif上启用
dhcp select global)。*[参考文档 DHCP 部分]*配置CAPWAP源接口(管理VLAN接口)。*
capwap source interface vlanif 100*
无线服务配置:
配置AP认证模式(常用MAC认证
ap auth-mode mac-auth)。*[参考文档]*配置域管理模板(设置国家码
country-code cn)。*[参考文档]*添加AP(
ap-id ... ap-mac ...),命名,应用域管理模板。*[参考文档]*创建SSID模板(
ssid-profile name X->ssid Y)。*[文档 sales-AP, Market-AP]*创建安全模板(
security-profile name X->security wpa-wpa2 psk pass-phrase Z aes)。*[文档 sec-sales, sec-market]*创建
VAP模板
(
vap-profile name X):
- 绑定SSID模板(
ssid-profile Y) - 绑定安全模板(
security-profile Z) - 设置转发模式(
forward-mode tunnel/direct-forward) - 设置业务VLAN(
service-vlan vlan-id M)*[文档 vap-sales -> vlan 101, vap-market -> vlan 102]*
- 绑定SSID模板(
将VAP模板应用到AP的射频(
ap-id N->vap-profile X wlan W radio R)。*[文档应用到radio 0和radio 1]*
测试与验证:
- AP上线:
display ap all查看状态是否为nor。 - VAP创建:
display vap all查看对应AP的射频下VAP状态是否为ON。 - 无线终端连接: 尝试连接各个SSID,输入正确密码。
- 获取IP: 终端确认获取到对应业务VLAN地址池中的IP。
- 网络连通: 终端Ping网关(AC上业务VLAN接口IP)、Ping路由器、Ping外网(如8.8.8.8)。
- 查看在线用户:
display station all查看终端MAC、关联的AP/SSID、IP、VLAN。 - (可选)漫游测试: 在多个AP覆盖区域移动,观察网络是否不断线。
- AP上线:
维护与扩展:
- 新增AP: 重复步骤4(添加AP)和步骤4.6(应用VAP模板)。
- 新增SSID/VLAN: 规划新VLAN -> AC创建VLAN、Vlanif、DHCP Pool -> 创建新的SSID/安全/VAP模板 -> 应用到需要的AP射频。
- 更改配置: 根据需求修改对应模板或接口配置。
总结:
这份文档提供了一个非常标准的基于华为AC+AP的企业无线网络部署流程。核心思想就是利用VLAN实现网络资源的逻辑隔离和灵活划分。理解以下几点是关键:
- VLAN是隔离的基础: 严格区分管理、业务(不同部门/服务)、互联流量。
- 端口类型决定VLAN接入方式: Access口用于终端设备接入特定VLAN;Trunk口(尤其注意PVID)用于设备间传递多个VLAN流量,是直接转发模式的关键。
- 转发模式选择: 隧道转发集中管理,直接转发性能更优。选择哪种决定了连接AP的端口配置和部分部署要求。
- AC是控制核心: 负责AP管理、无线服务配置(VAP/SSID/安全)、用户认证、地址分配(DHCP)、路由(部分情况下)和策略执行。
- 配置模块化: SSID模板、安全模板、VAP模板的设计使得配置复用性高,便于管理和扩展。
掌握这个模板和VLAN的核心概念(逻辑隔离、端口类型、PVID),你就能在工作中快速理解和部署类似的AC+AP无线网络了。遇到具体项目时,只需根据需求填入规划好的VLAN ID、SSID名称、密码、IP地址段等信息,然后按照流程配置即可。