当前位置：首页 > news >正文

eNSP实战：二层旁挂组网下AP免认证上线与直接转发配置详解

news 2026/4/24 21:05:03

1. 二层旁挂组网环境搭建

第一次接触华为eNSP模拟器时，我被它强大的网络模拟能力震撼到了。今天要分享的这个二层旁挂组网场景，是我在实际项目中经常遇到的典型配置。这种组网方式最大的特点就是简单高效，特别适合中小型办公网络的部署。

先说说这个拓扑的核心设备：一台AC控制器（AC1）、两台AP（AP1和AP2）、一台三层交换机（LSW1）和一台路由器（AR1）。你可能要问为什么选择二层旁挂？其实这种架构最大的优势就是管理流量和业务流量分离，AP和AC之间通过管理VLAN通信，而用户数据则直接转发，不经过AC，这样既减轻了AC的负担，又提高了转发效率。

在开始配置前，我们需要做好网络规划。管理VLAN设为100，业务VLAN分别是10和20，上行VLAN是200。IP地址规划也很关键，AC和交换机上都要配置对应的VLANIF接口地址。这里有个小技巧：建议把AC的VLANIF100地址设为.253，交换机的设为.254，这样既好记又不容易冲突。

2. 交换机基础配置详解

2.1 VLAN与接口配置

交换机的配置是整个组网的基础。首先登录LSW1，创建所需的VLAN：

<Huawei>system-view [Huawei]sysname SW [SW]vlan batch 10 20 100 200

创建完VLAN后，需要配置各个VLANIF接口的IP地址。这里要特别注意，交换机的VLANIF地址要作为对应网段的网关：

[SW]interface Vlanif 10 [SW-Vlanif10]ip address 192.168.10.254 24 [SW-Vlanif10]quit [SW]interface Vlanif 20 [SW-Vlanif20]ip address 192.168.20.254 24 [SW-Vlanif20]quit [SW]interface Vlanif 100 [SW-Vlanif100]ip address 192.168.100.254 24 [SW-Vlanif100]quit [SW]interface Vlanif 200 [SW-Vlanif200]ip address 192.168.200.254 24 [SW-Vlanif200]quit

2.2 端口类型与PVID设置

端口配置是二层组网的关键。在这个场景中，我们需要根据端口连接的设备类型，灵活选择access或trunk模式：

连接AP的端口（G0/0/1）配置为access模式，默认VLAN设为100：

[SW]interface GigabitEthernet 0/0/1 [SW-GigabitEthernet0/0/1]port link-type access [SW-GigabitEthernet0/0/1]port default vlan 100 [SW-GigabitEthernet0/0/1]quit

连接STA（工作站）的端口需要配置为trunk模式，允许业务VLAN和管理VLAN通过：

[SW]interface GigabitEthernet 0/0/2 [SW-GigabitEthernet0/0/2]port link-type trunk [SW-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 100 [SW-GigabitEthernet0/0/2]port trunk pvid vlan 100 [SW-GigabitEthernet0/0/2]quit

这里有个容易踩坑的地方：PVID的设置。PVID决定了未打标签的报文会被划分到哪个VLAN。在直接转发模式下，建议将PVID设为管理VLAN 100，这样可以确保AP和AC的通信不受影响。

3. AC控制器配置全流程

3.1 基础网络配置

AC的配置相对复杂一些，但跟着步骤来也不难。首先完成基础配置：

<AC6605>system-view [AC6605]sysname AC [AC]vlan batch 10 20 100

连接交换机的端口需要配置为access模式，默认VLAN设为100：

[AC]interface GigabitEthernet 0/0/1 [AC-GigabitEthernet0/0/1]port link-type access [AC-GigabitEthernet0/0/1]port default vlan 100 [AC-GigabitEthernet0/0/1]quit

3.2 DHCP服务配置

为了让AP和STA能够自动获取IP地址，我们需要在AC上配置DHCP服务：

[AC]dhcp enable [AC]ip pool AP-pool [AC-ip-pool-AP-pool]network 192.168.100.0 mask 24 [AC-ip-pool-AP-pool]quit

业务VLAN的地址池也要配置，注意网关要指向交换机的VLANIF地址：

[AC]ip pool vlan10-pool [AC-ip-pool-vlan10-pool]network 192.168.10.0 mask 24 [AC-ip-pool-vlan10-pool]gateway-list 192.168.10.254 [AC-ip-pool-vlan10-pool]quit [AC]ip pool vlan20-pool [AC-ip-pool-vlan20-pool]network 192.168.20.0 mask 24 [AC-ip-pool-vlan20-pool]gateway-list 192.168.20.254 [AC-ip-pool-vlan20-pool]quit

最后在各个VLANIF接口上启用DHCP：

[AC]interface Vlanif 100 [AC-Vlanif100]ip address 192.168.100.253 24 [AC-Vlanif100]dhcp select global [AC-Vlanif100]quit [AC]interface Vlanif 10 [AC-Vlanif10]ip address 192.168.10.253 24 [AC-Vlanif10]dhcp select global [AC-Vlanif10]quit [AC]interface Vlanif 20 [AC-Vlanif20]ip address 192.168.20.253 24 [AC-Vlanif20]dhcp select global [AC-Vlanif20]quit

3.3 AP无认证上线配置

这是整个配置的核心部分。首先进入WLAN视图：

[AC]wlan

创建AP组并配置国家码：

[AC-wlan-view]ap-group name lab09-AG [AC-wlan-ap-group-lab09-AG]quit [AC-wlan-view]regulatory-domain-profile name lab09-domain [AC-wlan-regulate-domain-lab09-domain]country-code cn [AC-wlan-regulate-domain-lab09-domain]quit [AC-wlan-view]ap-group name lab09-AG [AC-wlan-ap-group-lab09-AG]regulatory-domain-profile lab09-domain [AC-wlan-ap-group-lab09-AG]quit

设置CAPWAP源接口：

[AC]capwap source ip-address 192.168.100.253

最关键的一步：配置AP认证方式为无认证：

[AC]wlan [AC-wlan-view]ap auth-mode no-auth

无认证模式省去了繁琐的认证过程，特别适合实验室环境或小型部署场景。但要注意，在生产环境中建议使用更安全的认证方式。

4. 验证与排错指南

4.1 AP上线状态检查

配置完成后，我们需要验证AP是否成功上线。最直接的命令是：

[AC]display ap all

这个命令会列出所有AP的状态信息。正常情况下，你应该能看到AP的状态显示为"normal"。如果状态异常，可能是以下几个原因：

AP没有获取到IP地址：检查DHCP服务是否正常，AP连接的交换机端口配置是否正确。
CAPWAP隧道建立失败：确认AC的源接口IP配置正确，网络连通性正常。
认证方式不匹配：确保AC上配置的是无认证模式。

4.2 常见问题排查

在实际操作中，我遇到过几个典型问题：

AP能获取IP但无法上线：这种情况通常是VLAN配置有问题。检查交换机上连接AP的端口是否允许管理VLAN通过，PVID是否设置正确。
STA无法获取IP地址：首先确认STA连接的交换机端口配置是否正确，特别是trunk端口是否允许对应的业务VLAN通过。然后检查AC上的DHCP地址池配置，确保网关指向交换机的VLANIF地址。
网络连通性问题：可以使用ping命令逐步测试。先从AP ping AC的管理地址，再从STA ping网关，最后测试跨网段通信。