华为eNSP模拟器综合实验之- WLAN瘦AP配置实战案例详解

一、实验拓扑图

┌─────────────┐ │ AR1 │ │ (路由器) │ │ 10.0.0.1/24 │ └──────┬──────┘ │ ┌──────┴──────┐ │ LSW1 │ │ (三层交换机) │ │ 10.0.0.2/24 │ └──────┬──────┘ │ ┌──────┴──────┐ │ AC │ │ (无线控制器) │ │ 172.16.1.2/24│ └──────┬──────┘ │ ┌──────┴──────┐ │ LSW2 │ │ (二层交换机) │ └──────┬──────┘ │ ┌──────┴──────┐ │ AP1 │ │ (瘦AP) │ └─────────────┘

二、配置目标

1. 两个无线业务：

   • 内部办公用户：VLAN 101，隧道转发模式
   • 外来访客用户：VLAN 102，直接转发模式

2. AP上线：通过CAPWAP隧道实现AP与AC的通信

3. 认证方式：PSK认证

三、详细配置步骤

1. 路由器AR1配置

# 进入系统视图 system-view # 修改设备名称 sysname AR1 # 配置接口 interface GigabitEthernet 0/0/0 ip address 10.0.0.1 24 quit # 配置静态路由（指向AC管理网段） ip route-static 10.23.0.0 255.255.0.0 10.0.0.2

命令解释：

• system-view：进入系统视图，进行全局配置
• sysname AR1：修改设备名称为AR1
• ip address 10.0.0.1 24：配置接口IP地址和子网掩码
• ip route-static：配置静态路由，使路由器能访问AC管理网段

2. 三层交换机LSW1配置

system-view sysname LSW1 # 创建VLAN vlan batch 5 100 101 102 # 配置连接AR1的接口 interface GigabitEthernet 0/0/1 port link-type access port default vlan 5 ip address 10.0.0.2 24 quit # 配置连接AC的接口 interface GigabitEthernet 0/0/2 port link-type trunk port trunk allow-pass vlan 100 101 102 quit # 配置连接AP的接口（作为AP网关） interface Vlanif 5 ip address 192.168.0.1 24 quit # 配置DHCP服务器为AP分配IP dhcp enable ip pool ap-pool gateway-list 192.168.0.1 network 192.168.0.0 mask 24 quit interface Vlanif 5 dhcp select global quit

命令解释：

• vlan batch 5 100 101 102：批量创建VLAN
• port link-type trunk：配置Trunk模式，允许多个VLAN通过
• dhcp enable：启用DHCP服务
• ip pool ap-pool：创建DHCP地址池
• dhcp select global：在接口上启用全局DHCP

3. AC配置（核心部分）

system-view sysname AC # 创建VLAN vlan batch 100 101 102 # 配置连接交换机的接口 interface GigabitEthernet 0/0/0 port link-type trunk port trunk allow-pass vlan 100 101 102 quit # 配置VLAN接口 interface Vlanif 100 ip address 10.23.100.1 24 quit interface Vlanif 101 ip address 10.23.101.1 24 quit interface Vlanif 102 ip address 10.23.102.1 24 quit # 配置DHCP服务器 dhcp enable # 为AP分配IP ip pool ap-pool gateway-list 10.23.100.1 network 10.23.100.0 mask 24 option 43 sub-option 3 ascii 10.23.100.1 quit # 为办公用户分配IP ip pool office-pool gateway-list 10.23.101.1 network 10.23.101.0 mask 24 quit # 为访客用户分配IP ip pool guest-pool gateway-list 10.23.102.1 network 10.23.102.0 mask 24 quit # 在VLAN接口上启用DHCP interface Vlanif 100 dhcp select global quit interface Vlanif 101 dhcp select global quit interface Vlanif 102 dhcp select global quit # 配置CAPWAP源接口（关键配置） capwap source interface Vlanif 100 # 进入WLAN视图 wlan # 配置域管理模板 regulatory-domain-profile name domain1 country-code CN quit # 配置安全模板（办公网络） security-profile name office-security security wpa-wpa2 psk pass-phrase Huawei@123 aes quit # 配置安全模板（访客网络） security-profile name guest-security security wpa-wpa2 psk pass-phrase Guest@123 aes quit # 配置SSID模板（办公网络） ssid-profile name office-ssid ssid Office-WLAN quit # 配置SSID模板（访客网络） ssid-profile name guest-ssid ssid Guest-WLAN quit # 配置VAP模板（办公网络-隧道转发） vap-profile name office-vap forward-mode tunnel # 隧道转发模式 service-vlan vlan-id 101 ssid-profile office-ssid security-profile office-security quit # 配置VAP模板（访客网络-直接转发） vap-profile name guest-vap forward-mode direct-forward # 直接转发模式 service-vlan vlan-id 102 ssid-profile guest-ssid security-profile guest-security quit # 配置AP组 ap-group name ap-group1 regulatory-domain-profile domain1 radio 0 vap-profile office-vap wlan 1 vap-profile guest-vap wlan 2 quit radio 1 vap-profile office-vap wlan 1 vap-profile guest-vap wlan 2 quit quit # 配置AP上线（手动添加AP） ap auth-mode mac-auth ap-id 0 ap-mac 00e0-fc12-3456 # 替换为实际AP的MAC地址 ap-name AP1 ap-group ap-group1

关键命令详解：

1. CAPWAP源接口配置

   capwap source interface Vlanif 100

   • 指定AC与AP建立CAPWAP隧道的源接口
   • AP通过此接口的IP地址发现并连接AC

2. Option 43配置

   option 43 sub-option 3 ascii 10.23.100.1

   • DHCP Option 43用于AP发现AC
   • AP从DHCP服务器获取此选项后，知道AC的IP地址
   华为eNSP模拟器综合实验之- DHCP Option 43 解析

3. 转发模式配置：

   forward-mode tunnel # 隧道转发（集中转发） forward-mode direct-forward # 直接转发（本地转发）

   • 隧道转发：用户数据报文通过CAPWAP隧道封装后发送给AC，再由AC转发
   • 直接转发：用户数据报文直接由AP转发到上层网络，不经过AC

4. AP认证方式

   ap auth-mode mac-auth

   • MAC地址认证方式，基于AP的MAC地址进行认证

4. 二层交换机LSW2配置

system-view sysname LSW2 # 创建VLAN vlan batch 100 101 102 # 配置连接AC的接口 interface GigabitEthernet 0/0/1 port link-type trunk port trunk allow-pass vlan 100 101 102 quit # 配置连接AP的接口 interface GigabitEthernet 0/0/2 port link-type trunk port trunk allow-pass vlan 100 101 102 quit

四、转发模式对比

隧道转发模式（办公网络）

数据流路径：

STA → AP → CAPWAP隧道 → AC → 上层网络

优点：

• 集中管理和控制
• 易于实施安全策略
• 便于流量监控和审计

缺点：

• 增加AC的处理负担
• 可能成为性能瓶颈

直接转发模式（访客网络）

数据流路径：

STA → AP → 交换机 → 上层网络

优点：

• 减轻AC负担
• 提高转发效率
• 降低延迟

缺点：

• 管理分散
• 安全策略实施较复杂

五、验证配置

1. 检查AP上线状态

# 在AC上执行 display ap all

预期输出：

AP ID AP Type MAC Address IP Address Status 0 AP6050DN 00e0-fc12-3456 10.23.100.2 normal

2. 检查CAPWAP隧道状态

display capwap state

3. 检查无线业务状态

display vap all

4. STA连接测试

1. 打开STA（无线终端）
2. 搜索无线网络
3. 连接"Office-WLAN"或"Guest-WLAN"
4. 输入对应密码
5. 获取IP地址并测试连通性

六、故障排查

常见问题及解决方案

1. AP无法上线

   • 检查网络连通性：ping 10.23.100.1
   • 检查DHCP配置：确保AP能获取IP和Option 43
   • 检查CAPWAP源接口配置
   • 检查AP MAC地址是否正确添加

2. STA无法获取IP

   • 检查DHCP服务器配置
   • 检查VLAN配置是否正确
   • 检查VAP模板中的service-vlan配置

3. STA无法上网

   • 检查路由配置
   • 检查NAT配置（如需要）
   • 检查安全策略

七、配置要点总结

1. CAPWAP隧道建立：AC必须配置源接口，AP通过DHCP Option 43发现AC
2. VLAN规划：管理VLAN和业务VLAN要分开
3. 转发模式选择：
   • 隧道转发：适合需要集中管控的场景
   • 直接转发：适合高性能要求的场景
4. 安全配置：必须配置安全模板和SSID模板
5. AP组管理：通过AP组统一管理多个AP的配置

这个实战案例涵盖了华为ENSP环境中WLAN瘦AP配置的核心知识点，包括拓扑设计、IP规划、详细配置命令和故障排查方法。