1. 企业无线网络规划与需求分析第一次接触华为AC直连二层组网时我完全被各种专业术语搞晕了。直到实际部署了几个项目后才发现这种组网方式特别适合200-500人规模的中型企业。简单来说就是把无线控制器AC直接连在二层交换机上所有无线业务数据通过CAPWAP隧道转发到AC处理。为什么要选择这种方案我总结出三个典型场景办公园区需要统一管理多个楼层的AP教育机构要求不同区域使用不同SSID策略零售门店既要员工内网又要顾客WiFi在最近一个客户案例中他们需要同时满足员工使用加密SSID接入内网访客使用开放网络但需要认证AP和终端设备自动获取IP地址经过现场测试我们最终确定的技术方案包含这些关键点VLAN划分管理VLAN 100、业务VLAN 110IP规划192.168.100.0/24给AP192.168.110.0/24给终端转发模式隧道转发确保数据安全认证方式WPA2-PSKAES加密2. 基础网络环境搭建2.1 VLAN与接口配置记得第一次配VLAN时我把access和trunk端口类型搞混了导致AP死活不上线。现在我会先用这个检查清单# 创建必要VLAN [AC1] vlan batch 10 100 110 # 配置管理VLAN接口 [AC1] interface Vlanif100 [AC1-Vlanif100] ip address 192.168.100.254 24 [AC1-Vlanif100] dhcp select interface [AC1-Vlanif100] dhcp server dns-list 8.8.8.8 # 配置业务VLAN接口 [AC1] interface Vlanif110 [AC1-Vlanif110] ip address 192.168.110.254 24 [AC1-Vlanif110] dhcp select interface关键细节连接AP的交换机端口要设成trunk并放行管理VLAN业务VLAN的DHCP必须配置正确DNS接口模式混淆是最常见错误源2.2 三层互联配置与路由器互联时踩过的坑忘记配置静态路由导致业务流量出不去ACL规则阻断CAPWAP隧道流量MTU值不匹配引起分片问题正确配置示例# 配置与路由器对接的接口 [AC1] interface GigabitEthernet0/0/1 [AC1-GigabitEthernet0/0/1] port link-type access [AC1-GigabitEthernet0/0/1] port default vlan 10 # 配置SVI接口 [AC1] interface Vlanif10 [AC1-Vlanif10] ip address 192.168.10.1 243. AP上线全流程详解3.1 CAPWAP隧道建立有次项目现场20个AP只有19个上线排查半天发现是交换机端口PVID设置错误。现在我的标准化流程是配置管理域[AC1] wlan [AC1-wlan-view] regulatory-domain-profile name domain [AC1-wlan-regulate-domain-domain] country-code CN创建AP组[AC1-wlan-view] ap-group name ap1 [AC1-wlan-ap-group-ap1] regulatory-domain-profile domain指定源接口[AC1] capwap source interface vlanif1003.2 AP认证实战推荐使用MAC认证的三种情况小型网络便于管理需要严格管控AP接入临时部署场景具体操作[AC1-wlan-view] ap auth-mode mac-auth [AC1-wlan-view] ap-id 1 ap-mac 00e0-fc9e-6090 [AC1-wlan-ap-1] ap-name ap1 [AC1-wlan-ap-1] ap-group ap1排错技巧用display ap all查看AP状态检查交换机端口是否放行VLAN 100确认AC上capwap source interface配置正确4. WLAN业务发布实战4.1 安全策略配置去年有个客户要求WiFi密码每周自动更换我们最终用这个模板实现[AC1-wlan-view] security-profile name test [AC1-wlan-sec-prof-test] security wpa-wpa2 psk pass-phrase baixi123 aes4.2 SSID与VAP配置常见问题解决方案SSID隐藏在SSID模板添加ssid-hide限速配置在VAP模板设置rate-limit负载均衡调整AP组的射频策略完整配置示例# 创建SSID模板 [AC1-wlan-view] ssid-profile name test_ssid [AC1-wlan-ssid-prof-test_ssid] ssid baixi # 配置VAP模板 [AC1-wlan-view] vap-profile name test_vap [AC1-wlan-vap-prof-test_vap] forward-mode tunnel [AC1-wlan-vap-prof-test_vap] service-vlan vlan-id 110 [AC1-wlan-vap-prof-test_vap] ssid-profile test_ssid [AC1-wlan-vap-prof-test_vap] security-profile test # 应用到AP组 [AC1-wlan-ap-group-ap1] vap-profile test_vap wlan 1 radio all5. 交换机关键配置5.1 端口类型选择三层架构中最容易出错的就是交换机配置。我的经验法则是连接AP的端口trunkPVID管理VLAN连接AC的端口trunk放行业务VLAN上行端口根据拓扑决定配置示例[LSW1] interface GigabitEthernet0/0/1 [LSW1-GigabitEthernet0/0/1] port link-type trunk [LSW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 1105.2 常见故障处理收集的几个典型故障案例AP能上线但终端获取不到IP检查DHCP relay配置网速时快时慢调整射频信道避开干扰部分区域信号弱优化AP发射功率6. 路由器互联配置最后别忘了出口路由器的配置特别是这条静态路由[AR1] ip route-static 192.168.110.0 255.255.255.0 192.168.10.1实际项目中我习惯在配置完成后做这些验证终端ping测试网关和公网使用display vap ssid baixi查看用户在线情况用流量测试工具检查实际吞吐量有一次深夜割接后所有配置看起来都正常但用户就是上不了网。最后发现是防火墙策略没放行新网段。现在我的验收清单里一定会包含跨设备流量测试。