在华为eNSP中配置无线AC(Access Controller),是实现集中管理AP(Access Point)和发射可控无线信号的核心。其配置逻辑清晰,关键在于理解模板化的设计思想——通过组合不同的模板来定义无线服务的各项参数。
一、配置步骤解析
步骤名称 | 核心配置项 | 简要说明 |
|---|---|---|
1. 网络基础与AP上线 | VLAN划分、DHCP、CAPWAP源接口 | 为AP管理(如VLAN 100)和无线业务(如VLAN 101)创建VLAN并配置DHCP;设置AC与AP建立管理隧道的源接口。 |
2. 创建无线业务模板 | 域管理模板、SSID模板、安全模板、VAP模板 | 这是配置的核心。依次创建定义国家码、无线名称、密码和业务参数的模板,并将它们逐层绑定。 |
3. 应用模板与AP组 | AP组 | 创建AP组,将配置好的各类模板(特别是域管理和VAP模板)应用到组中。之后将上线的AP加入该组,即可批量下发配置。 |
步骤一:搭建基础网络与AP上线
在配置无线信号前,必须先确保AC和AP之间网络可达,AP能成功注册到AC上。
VLAN与接口规划:通常需要至少两个VLAN。一个用于AP管理(如VLAN 100),AP通过该VLAN从AC获取IP地址并建立CAPWAP管理隧道;另一个用于无线用户业务(如VLAN 101),终端连接Wi-Fi后将从该VLAN获取IP地址。连接AC和交换机的物理接口需要配置为Trunk类型,并放行这些VLAN。
配置DHCP服务:在AC上启用DHCP功能,并为AP管理VLAN和用户业务VLAN的接口配置DHCP。AP需要通过DHCP获取IP地址才能发现AC。
设置CAPWAP源接口:这是AP能找到AC的关键一步。在AC系统视图下执行
capwap source interface Vlanif100(假设管理VLAN是100)命令,指定AC与AP通信的源接口。
完成以上步骤后,AP通电连接网络,在AC上使用display ap all命令查看,当AP的“State”状态显示为nor(normal) 时,表示AP已成功上线。
步骤二:构建无线业务模板
这是配置的精华部分,采用模块化方式逐层定义无线服务。
域管理模板(Regulatory-Domain-Profile):必须首先配置。它定义了AP射频信号遵循的国家标准,确保符合当地法规。主要命令是设置国家码,例如
country-code CN(中国)。SSID模板(SSID-Profile):定义无线网络的名称,即终端能搜索到的信号标识。例如,创建一个名为“Office-WiFi”的SSID。
安全模板(Security-Profile):定义无线网络的加密方式和密码,保障安全。通常采用WPA2-PSK方式,例如
security wpa2 psk pass-phrase MyPassword123 aes。VAP模板(VAP-Profile)——核心枢纽:VAP(Virtual Access Point)模板是业务的集大成者,它将以上模板和业务参数整合在一起。关键配置包括:
绑定SSID和安全模板。
指定业务VLAN(即用户上网的VLAN)。
选择数据转发模式:这是重要决策点。
直接转发(Direct-Forward):用户的数据流量不经过AC,直接由AP通过本地交换机转发。效率高,是大多数场景的推荐模式。
隧道转发(Tunnel-Forward):所有用户数据均封装在CAPWAP隧道中传至AC,再由AC转发。便于集中管理和实施安全策略,但AC负载较大。
步骤三:通过AP组统一下发配置
为了高效管理多个AP,需要将它们加入AP组,并在组内应用模板。
创建AP组:例如
ap-group name Office-Group。在AP组中引用模板:
将域管理模板绑定到AP组,使组内AP的射频特性符合规范。
将VAP模板绑定到AP组的射频接口上(如2.4G射频radio 0和5G射频radio 1),这样AP就能根据模板配置发射指定信号的无线网络了。
将AP加入AP组:进入已上线的AP视图,将其加入到刚才创建的AP组中。AP会重启并应用新的配置。
配置要点
转发模式选择:对于中小型网络,追求性能可选用直接转发。若需对流量进行集中审计、过滤或跨AP漫游优化,则考虑隧道转发。
AP认证方式:实验或简单环境可用
ap auth-mode no-auth(免认证)。生产环境强烈建议使用ap auth-mode mac-auth(MAC地址认证),并将AP的MAC地址提前录入AC,提升安全性。保存配置:所有步骤完成后,切记在AC和交换机上执行
save 命令,防止配置丢失。
| 步骤 | 核心配置项 | 关键作用 | 华为命令关键词 |
|---|---|---|---|
| 1. 网络基础与AP上线 | VLAN划分、DHCP、CAPWAP源接口 | 构建管理/业务通道,确保AP注册 | vlan batch,dhcp server,capwap source |
| 2. 无线业务模板构建 | 域管理→SSID→安全→VAP模板 | 模块化定义无线服务策略 | regulatory-domain-profile,vap-profile |
| 3. AP组统一下发 | AP组绑定模板+AP归属 | 批量部署,策略集中管理 | ap-group,ap-id |
二、详细配置流程(关键命令解析)
步骤一:基础网络搭建与AP注册
关键配置与命令解析
# 1. 创建管理VLAN(100)与业务VLAN(101) vlan batch 100 101 # vlan batch:批量创建VLAN,避免逐条配置;100用于AP管理通信,101用于终端业务数据 # 2. 配置上行Trunk接口(连接核心交换机) interface GigabitEthernet0/0/24 port link-type trunk port trunk allow-pass vlan 100 101 # 必须放行业务VLAN+管理VLAN;若接AP的接口为Access,仅放行VLAN 100 # 3. 配置VLANIF接口IP(DHCP网关) interface Vlanif100 ip address 192.168.100.1 255.255.255.0 dhcp select interface # 启用接口DHCP # Vlanif100作为AP管理网关;dhcp select interface:AC内置DHCP,简化部署 interface Vlanif101 ip address 192.168.101.1 255.255.255.0 dhcp select interface option 43 sub-option 3 ascii 192.168.100.1 # 关键!指定AC IP供AP发现 # Option 43:AP通过DHCP获取AC地址;sub-option 3为华为私有格式(ASCII型) # 4. 设置CAPWAP源接口(AC身份标识) capwap source interface Vlanif100 # 必须与AP管理VLAN网关一致;错误配置将导致AP无法建立隧道验证AP上线
display ap all # 正确状态:State列显示 "normal"(非"nor");若为"fault",检查Option 43/网络连通性 # 提示:首次上线建议临时关闭认证:ap-auth-mode no-auth(调试用)步骤二:无线业务模板(模块化绑定)
# 1. 域管理模板(射频合规基础) wlan regulatory-domain-profile name China-Domain country-code CN # 必须设置!影响信道/功率合法性;CN=中国,US=美国 calibrate auto-channel-select enable # 可选:开启自动信道优化 # 2. SSID模板 ssid-profile name Office-SSID ssid Office-WiFi # 终端可见的Wi-Fi名称;支持中文(需终端编码支持) # 3. 安全模板(推荐企业级配置) security-profile name Office-Security security wpa2 psk pass-phrase MySecure@2024 aes # AES加密强度高于TKIP # 企业扩展:security wpa-wpa2 802.1x radius-server radius1 # 802.1X认证 # 4. VAP模板(业务中枢) vap-profile name Office-VAP forward-mode direct-forward # 直接转发:流量本地出,降低AC负载(推荐) # tunnel-forward:隧道转发,适用于集中审计/漫游优化场景 service-vlan vlan-id 101 # 绑定业务VLAN,终端获取此网段IP ssid-profile Office-SSID security-profile Office-Security regulatory-domain-profile China-Domain # 部分版本需在此显式绑定模板绑定逻辑:VAP模板是“容器”,聚合SSID、安全、业务VLAN策略;域管理模板既可全局绑定,也可在VAP中指定(依版本而定)
步骤三:AP组策略下发与生效
# 1. 创建AP组 ap-group name Office-Group # 2. 绑定模板至射频(关键!) radio 0 # 2.4G射频 vap-profile Office-VAP wlan 1 # wlan 1:业务实例编号 regulatory-domain-profile China-Domain radio 1 # 5G射频(若AP支持) vap-profile Office-VAP wlan 1 # 3. 将已上线AP加入组(AP ID通过display ap all获取) ap-id 0 # 假设AP ID为0 ap-group Office-Group # 执行后AP自动重启应用配置;状态变更为"commit"→"config"→"normal"三、 其它配置要点
| 项目 | 推荐方案 | 说明 |
|---|---|---|
| AP认证 | ap-auth-mode mac-auth+ 预录入MAC | 生产环境禁用no-auth;MAC白名单提升安全性 |
| 转发模式 | 中小网络:direct-forward集中管控: tunnel-forward | 直接转发降低时延;隧道转发便于QoS/审计 |
| Option 43配置 | option 43 sub-option 3 ascii AC_IP | ASCII格式为华为标准;HEX格式易出错(需转十六进制) |
| 射频优化 | 启用calibrate auto-channel-select | 避免同频干扰,提升漫游体验 |
| 配置保存 | save(AC) + 交换机同步保存 | 防止重启丢失;建议命名保存:save backup_20240601.cfg |
| 故障排查 | display ap all→display vap ssid→debugging wlan capwap | 分层验证:AP状态→VAP生效→CAPWAP隧道 |
AP发现AC机制
- 优先级:静态IP > DHCP Option 43 > DNS(acname.domain)> 广播
- 生产环境强烈推荐Option 43,避免广播风暴
VAP与射频关系
- 单AP可创建多VAP(如Guest/Staff隔离)
- 每个射频(radio 0/1)独立绑定VAP,实现2.4G/5G差异化策略
配置备份建议
backup configuration to ftp://192.168.10.10/backup/ # 远程备份
display current-configuration | include wlan # 仅导出无线配置片段安全增强
- 启用AP防私接:
ap unauthorized-access enable - 无线入侵检测:
wids-profile+wids-scan
- 启用AP防私接:
配置前务必确认设备版本!命令细节可能随VRP版本迭代调整。建议操作前查阅《华为WLAN配置指南》对应版本文档,或使用eNSP模拟验证。
