配置无线WLAN旁挂三层组网直接转发

企业用户接入 WLAN 网络，以满足移动办公的最基本需求。且在覆盖区域内移动

发生漫游时，不影响用户的业务使用。使用 VLAN pool 作为业务 VLAN，可以避

免出现 IP 地址资源不足或者 IP 地址资源浪费，减小单个 VLAN 下的用户数目，

缩小广播域。

组网需求

 AC 组网方式：旁挂三层组网。

 DHCP 部署方式：

o AC 作为 DHCP 服务器为 AP 分配 IP 地址。

o 汇聚交换机 SwitchB 作为 DHCP 服务器为 STA 分配 IP 地址。

 业务数据转发方式：直接转发。

数据规划

配置思路

1. 配置 AP、AC 和周边网络设备之间实现三层互通。

2. 配置 VLAN pool，用于作为业务 VLAN。

3. 配置 AP 上线。

a. 创建 AP 组，用于将需要进行相同配置的 AP 都加入到 AP 组，实现

统一配置。

b. 配置 AC 的系统参数，包括国家码、AC 与 AP 之间通信的源接口。

c. 配置 AP 上线的认证方式并离线导入 AP，实现 AP 正常上线。

4. 配置 WLAN 业务参数，实现 STA 访问 WLAN 网络功能。

配置注意事项

 纯组播报文由于协议要求在无线空口没有 ACK 机制保障，且无线空口链 路不稳定，为了纯组播报文能够稳定发送，通常会以低速报文形式发 送。如果网络侧有大量异常组播流量涌入，则会造成无线空口拥堵。为 了减小大量低速组播报文对无线网络造成的冲击，建议配置组播报文抑

制功能。配置前请确认是否有组播业务，如果有，请谨慎配置限速值。

o 业务数据转发方式采用直接转发时，建议在直连 AP 的交换机接口 上配置组播报文抑制。

o 业务数据转发方式采用隧道转发时，建议在 AC 的流量模板下配置 组播报文抑制。

建议在与 AP 直连的设备接口上配置端口隔离，如果不配置端口隔离，尤 其是业务数据转发方式采用直接转发时，可能会在 VLAN 内形成大量不必 要的广播报文，导致网络阻塞，影响用户体验。

 隧道转发模式下，管理 VLAN 和业务 VLAN 不能配置为同一 VLAN，且 AP 和 AC 之间只能放通管理 VLAN，不能放通业务 VLAN。

操作步骤

1. 配置周围设备

# 配置接入交换机 SwitchA 的 GE0/0/1 和 GE0/0/2 接口加入 VLAN10、 VLAN101 和 VLAN102，GE0/0/1 的缺省 VLAN 为 VLAN10。

<HUAWEI> system-view

[HUAWEI] sysname SwitchA

[SwitchA] vlan batch 10 101 102

[SwitchA] interface gigabitethernet 0/0/1

[SwitchA-GigabitEthernet0/0/1] port link-type trunk

[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 10

[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 101 102

[SwitchA-GigabitEthernet0/0/1] port-isolate enable

[SwitchA-GigabitEthernet0/0/1] quit

[SwitchA] interface gigabitethernet 0/0/2

[SwitchA-GigabitEthernet0/0/2] port link-type trunk

[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 10

101 102

[SwitchA-GigabitEthernet0/0/2] quit

# 配置汇聚交换机 SwitchB 的接口 GE0/0/1 加入 VLAN10、VLAN101 和

VLAN102，接口 GE0/0/2 加入 VLAN100，接口 GE0/0/3 加入 VLAN101 和

VLAN102，并创建接口 VLANIF100，地址为 10.23.100.2/24。

<HUAWEI> system-view

[HUAWEI] sysname SwitchB

[SwitchB] vlan batch 10 100 101 102

[SwitchB] interface gigabitethernet 0/0/1

[SwitchB-GigabitEthernet0/0/1] port link-type trunk

[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 10

101 102

[SwitchB-GigabitEthernet0/0/1] quit

[SwitchB] interface gigabitethernet 0/0/2

[SwitchB-GigabitEthernet0/0/2] port link-type trunk

[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100

[SwitchB-GigabitEthernet0/0/2] quit

[SwitchB] interface gigabitethernet 0/0/3

[SwitchB-GigabitEthernet0/0/3] port link-type trunk

[SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 101

102

[SwitchB-GigabitEthernet0/0/3] quit

[SwitchB] interface vlanif 100

[SwitchB-Vlanif100] ip address 10.23.100.2 24

[SwitchB-Vlanif100] quit

# 配置 Router 的接口 GE1/0/0 加入 VLAN101 和 VLAN102，创建接口

VLANIF101 并配置 IP 地址为 10.23.101.2/24，创建接口 VLANIF102 并配

置 IP 地址为 10.23.102.2/24。

<Huawei> system-view

[Huawei] sysname Router

[Router] vlan batch 101 102

[Router] interface gigabitethernet 1/0/0

[Router-GigabitEthernet1/0/0] port link-type trunk

[Router-GigabitEthernet1/0/0] port trunk allow-pass vlan 101

102

[Router-GigabitEthernet1/0/0] quit

[Router] interface vlanif 101

[Router-Vlanif101] ip address 10.23.101.2 24

[Router-Vlanif101] quit

[Router] interface vlanif 102

[Router-Vlanif102] ip address 10.23.102.2 24

[Router-Vlanif102] quit

2. 配置 AC 与其它网络设备互通

# 配置 AC 的接口 GE0/0/1 加入 VLAN100，并创建接口 VLANIF100。

<AC6605> system-view

[AC6605] sysname AC

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlanif 100

[AC-Vlanif100] ip address 10.23.100.1 24

[AC-Vlanif100] quit

[AC] interface gigabitethernet 0/0/1

[AC-GigabitEthernet0/0/1] port link-type trunk

[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[AC-GigabitEthernet0/0/1] quit

# 配置 AC 到 AP 的路由，下一跳为 SwitchB 的 VLANIF100。

[AC] ip route-static 10.23.10.0 24 10.23.100.2

3. 配置 DHCP 服务器为 STA 和 AP 分配 IP 地址

# 在 SwitchB 上配置 DHCP 中继。

[SwitchB] dhcp enable

[SwitchB] interface vlanif 10

[SwitchB-Vlanif10] ip address 10.23.10.1 24

[SwitchB-Vlanif10] dhcp select relay

[SwitchB-Vlanif10] dhcp relay server-ip 10.23.100.1

[SwitchB-Vlanif10] quit

# 在 SwitchB 上创建 VLANIF101 和 VLANIF102 接口为 STA 提供地址，并

指定默认网关。

说明：

DNS 服务器地址请根据实际需要配置。常用配置方法如下：

o 接口地址池场景，需要在 VLANIF 接口视图下执行命令 dhcp

server dns-list ip-address &<1-8>。

o 全局地址池场景，需要在 IP 地址池视图下执行命令 dns-list

ip-address &<1-8>。

[SwitchB] interface vlanif 101

[SwitchB-Vlanif101] ip address 10.23.101.1 24

[SwitchB-Vlanif101] dhcp select interface

[SwitchB-Vlanif101] dhcp server gateway-list 10.23.101.2

[SwitchB-Vlanif101] quit

[SwitchB] interface vlanif 102

[SwitchB-Vlanif102] ip address 10.23.102.1 24

[SwitchB-Vlanif102] dhcp select interface

[SwitchB-Vlanif102] dhcp server gateway-list 10.23.102.2

[SwitchB-Vlanif102] quit

# 在 AC 上创建全局地址池为 AP 提供地址。

[AC] dhcp enable

[AC] ip pool huawei

[AC-ip-pool-huawei] network 10.23.10.0 mask 24

[AC-ip-pool-huawei] gateway-list 10.23.10.1

[AC-ip-pool-huawei] option 43 sub-option 3 ascii 10.23.100.1

[AC-ip-pool-huawei] quit

[AC] interface vlanif 100

[AC-Vlanif100] dhcp select global

[AC-Vlanif100] quit

4. 配置 VLAN pool，用于作为业务 VLAN

# 在 AC 上新建 VLAN pool，并将 VLAN101 和 VLAN102 加入其中，配置

VLAN pool 中的 VLAN 分配算法为“hash”。

说明：

本例 VLAN pool 中的 VLAN 分配算法配置为“hash”。分配算法缺省情况

下为“hash”，如果之前没有修改其缺省配置，可以不用执行命令

assignment hash 。

本例 VLAN pool 仅以加入 VLAN101 和 VLAN102 两个 VLAN 为例，实际可以

配置多个 VLAN 加入 VLAN pool，配置方法与 VLAN101 和 VLAN102 一致。

[AC] vlan batch 101 102

[AC] vlan pool sta-pool

[AC-vlan-pool-sta-pool] vlan 101 102

[AC-vlan-pool-sta-pool] assignment hash

[AC-vlan-pool-sta-pool] quit

5. 配置 AP 上线

# 创建 AP 组，用于将相同配置的 AP 都加入同一 AP 组中。

[AC] wlan

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] quit

# 创建域管理模板，在域管理模板下配置 AC 的国家码并在 AP 组下引用

域管理模板。

[AC-wlan-view] regulatory-domain-profile name default

[AC-wlan-regulate-domain-default] country-code cn

[AC-wlan-regulate-domain-default] quit

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default

Warning: Modifying the country code will clear channel, power

and antenna gain configurations of the radio and reset the AP.

Continu

e?[Y/N]: y

[AC-wlan-ap-group-ap-group1] quit

[AC-wlan-view] quit

# 配置 AC 的源接口。

[AC] capwap source interface vlanif 100

# 在 AC 上离线导入 AP，并将 AP 加入 AP 组“ap-group1”中。假设 AP

的 MAC 地址为 60de-4476-e360，并且根据 AP 的部署位置为 AP 配置名

称，便于从名称上就能够了解 AP 的部署位置。例如 MAC 地址为 60de-

4476-e360 的 AP 部署在 1 号区域，命名此 AP 为 area_1。

说明：

ap auth-mode 命令缺省情况下为 MAC 认证，如果之前没有修改其缺省配

置，可以不用执行 ap auth-mode mac-auth 。

举例中使用的 AP 为 AP5030DN，具有射频 0 和射频 1 两个射频。

AP5030DN 的射频 0 为 2.4GHz 射频，射频 1 为 5GHz 射频。 [AC] wlan

[AC-wlan-view] ap auth-mode mac-auth

[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360

[AC-wlan-ap-0] ap-name area_1

Warning: This operation may cause AP reset. Continue? [Y/N]: y

[AC-wlan-ap-0] ap-group ap-group1

Warning: This operation may cause AP reset. If the country code

changes, it will clear channel, power and antenna gain

configuration

s of the radio, Whether to continue? [Y/N]: y

[AC-wlan-ap-0] quit

# 将 AP 上电后，当执行命令 display ap all 查看到 AP 的“State”字

段为“nor”时，表示 AP 正常上线。

[AC-wlan-view] display ap all

Total AP information:

nor : normal [1]

Extra information:

P : insufficient power supply

---------------------------------------------------------------

-----------------------------------

ID MAC Name Group IP Type

State STA Uptime ExtraInfo

---------------------------------------------------------------

-----------------------------------

0 60de-4476-e360 area_1 ap-group1 10.23.10.254 AP5030DN

nor 0 10S -

---------------------------------------------------------------

-----------------------------------

Total: 1

6. 配置 WLAN 业务参数

# 创建名为“wlan-net”的安全模板，并配置安全策略。

说明：

举例中以配置 WPA-WPA2+PSK+AES 的安全策略为例，密码为

“a1234567”，实际配置中请根据实际情况，配置符合实际要求的安全

策略。

[AC-wlan-view] security-profile name wlan-net [AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase

a1234567 aes

[AC-wlan-sec-prof-wlan-net] quit

# 创建名为“wlan-net”的 SSID 模板，并配置 SSID 名称为“wlan

net”。

[AC-wlan-view] ssid-profile name wlan-net

[AC-wlan-ssid-prof-wlan-net] ssid wlan-net

[AC-wlan-ssid-prof-wlan-net] quit

# 创建名为“wlan-net”的 VAP 模板，配置业务数据转发模式、业务

VLAN，并且引用安全模板和 SSID 模板。

[AC-wlan-view] vap-profile name wlan-net

[AC-wlan-vap-prof-wlan-net] forward-mode direct-forward

[AC-wlan-vap-prof-wlan-net] service-vlan vlan-pool sta-pool

[AC-wlan-vap-prof-wlan-net] security-profile wlan-net

[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net

[AC-wlan-vap-prof-wlan-net] quit

# 配置 AP 组引用 VAP 模板，AP 上射频 0 和射频 1 都使用 VAP 模板

“wlan-net”的配置。

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio

0

[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio

1

[AC-wlan-ap-group-ap-group1] quit

7. 配置 AP 射频的信道和功率

说明：

射频的信道和功率自动调优功能默认开启，如果不关闭此功能则会导致

手动配置不生效。举例中 AP 射频的信道和功率仅为示例，实际配置中请

根据 AP 的国家码和网规结果进行配置。

# 关闭 AP 射频 0 的信道和功率自动调优功能，并配置 AP 射频 0 的信道

和功率。

[AC-wlan-view] ap-id 0

[AC-wlan-ap-0] radio 0

[AC-wlan-radio-0/0] calibrate auto-channel-select disable

[AC-wlan-radio-0/0] calibrate auto-txpower-select disable

[AC-wlan-radio-0/0] channel 20mhz 6

Warning: This action may cause service interruption.

Continue?[Y/N] y

[AC-wlan-radio-0/0] eirp 127

[AC-wlan-radio-0/0] quit

# 关闭 AP 射频 1 的信道和功率自动调优功能，并配置 AP 射频 1 的信道

和功率。

[AC-wlan-ap-0] radio 1

[AC-wlan-radio-0/1] calibrate auto-channel-select disable

[AC-wlan-radio-0/1] calibrate auto-txpower-select disable

[AC-wlan-radio-0/1] channel 20mhz 149

Warning: This action may cause service interruption.

Continue?[Y/N] y

[AC-wlan-radio-0/1] eirp 127

[AC-wlan-radio-0/1] quit

[AC-wlan-ap-0] quit

8. 验证配置结果

WLAN 业务配置会自动下发给 AP，配置完成后，通过执行命令 display

vap ssid wlan-net 查看如下信息，当“Status”项显示为“ON”时，

表示 AP 对应的射频上的 VAP 已创建成功。

[AC-wlan-view] display vap ssid wlan-net

WID : WLAN ID

---------------------------------------------------------------

-----------------

AP ID AP name RfID WID BSSID Status Auth type

STA SSID

---------------------------------------------------------------

-----------------

0 area_1 0 1 60DE-4476-E360 ON WPA/WPA2-PSK 0

wlan-net

0 area_1 1 1 60DE-4476-E370 ON WPA/WPA2-PSK 0

wlan-net

---------------------------------------------------------------

----------------

Total: 2

STA 搜索到名为“wlan-net”的无线网络，输入密码“a1234567”并正

常关联后，在 AC 上执行 display station ssid wlan-net 命令，可以

查看到用户已经接入到无线网络“wlan-net”中。

[AC-wlan-view] display station ssid wlan-net

Rf/WLAN: Radio ID/WLAN ID

Rx/Tx: link receive rate/link transmit rate(Mbps)

---------------------------------------------------------------

------------------

STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx

RSSI VLAN IP address

---------------------------------------------------------------

------------------

e019-1dc7-1e08 0 area_1 1/1 5G 11n 46/59

-68 101 10.23.101.254

---------------------------------------------------------------

------------------

Total: 1 2.4G: 0 5G: 1

配置文件

 SwitchA 的配置文件

 #

 sysname SwitchA

 #

 vlan batch 10 101 to 102

 #

 interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk pvid vlan 10

 port trunk allow-pass vlan 10 101 to 102

 port-isolate enable group 1

 #

 interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 10 101 to 102

 #

return

 SwitchB 的配置文件

 #

 sysname SwitchB

 #

 vlan batch 10 100 to 102

 #

 dhcp enable

 #

 interface Vlanif10

 ip address 10.23.10.1 255.255.255.0

 dhcp select relay

 dhcp relay server-ip 10.23.100.1

 #

 interface Vlanif100

 ip address 10.23.100.2 255.255.255.0

 #

 interface Vlanif101

 ip address 10.23.101.1 255.255.255.0

 dhcp select interface

 dhcp server gateway-list 10.23.101.2

 #

 interface Vlanif102

 ip address 10.23.102.1 255.255.255.0

 dhcp select interface

 dhcp server gateway-list 10.23.102.2

 #

 interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 10 101 to 102

 #

 interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 100

 #

 interface GigabitEthernet0/0/3

 port link-type trunk

 port trunk allow-pass vlan 101 to 102

 #

return

 Router 的配置文件

 #

 sysname Router

 #

 vlan batch 101 to 102

 #

 interface Vlanif101

 ip address 10.23.101.2 255.255.255.0

 #

 interface Vlanif102

 ip address 10.23.102.2 255.255.255.0

 #

 interface GigabitEthernet1/0/0

 port link-type trunk

 port trunk allow-pass vlan 101 to 102

 #

 return

 AC 的配置文件

 #

 sysname AC

 #

 vlan batch 100 to 102

 #

 vlan pool sta-pool

 vlan 101 to 102

 #

 dhcp enable

 #

 ip pool huawei

 gateway-list 10.23.10.1

 network 10.23.10.0 mask 255.255.255.0

 option 43 sub-option 3 ascii 10.23.100.1

 #

 interface Vlanif100

 ip address 10.23.100.1 255.255.255.0

 dhcp select global

 #

 interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 100

 #

 ip route-static 10.23.10.0 24 10.23.100.2

 #

 capwap source interface vlanif100

 #

 wlan

 security-profile name wlan-net

 security wpa-wpa2 psk pass

phrase %^%#m"tz0f> ~ 7.[`^6RWdzwCy16hJj/Mc!,}s`X*B]}A%^%# aes

 ssid-profile name wlan-net

 ssid wlan-net

 vap-profile name wlan-net

 service-vlan vlan-pool sta-pool

 ssid-profile wlan-net

 security-profile wlan-net

 regulatory-domain-profile name default

 ap-group name ap-group1

 radio 0

 vap-profile wlan-net wlan 1

 radio 1

 vap-profile wlan-net wlan 1

 ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn

210235554710CB000042

 ap-name area_1

 ap-group ap-group1

 radio 0

 channel 20mhz 6

 eirp 127

 calibrate auto-channel-select disable

 calibrate auto-txpower-select disable

 radio 1

 channel 20mhz 149

 eirp 127

 calibrate auto-channel-select disable

 calibrate auto-txpower-select disable

 #

return