晚上好,同学们!
WLAN项目中,最常见的问题是“AP亮了但上不了网、访问慢、漫游断”。
今天用一套标准流程带你从0到1部署AC+Fit AP,并讲清楚“直转发vs隧道转发”的选择。
今日文章阅读福利:《网络工程师手册》
扫添加小助理微信,备注【网工】,即可获取。
一、 直转发vs隧道转发,怎么选?
· 直转发(Direct/Local forwarding)
o 数据在AP本地三层转发,走有线接入VLAN,流量就近出网
o 优点:核心带宽压力小,时延低;适合本地上网、语音终端
· 隧道转发(Centralized/CAPWAP Tunnel)
o 数据从AP封装到AC,再由AC转发(统一策略、可审计)
o 优点:集中控制与安全策略,易合规;适合访客网、需要统一出口
类比
· 直转发像“就近地铁出站”,隧道转发像“先坐快线到总站再分流”。
二、组网与规划
· 设备:AC(如AC6605/WAC功能交换机)、Fit AP(如AP6050DN)
· SSID:
o Corp-STA(员工):WPA2/WPA3,VLAN 20,直转发
o Guest(访客):Portal/开放策略,VLAN 30,隧道转发统一出网
· 上联:AC上联至核心三层;AP接入接入层交换机Trunk
三、标准化配置流程(示例命令,版本可能略有差异)
1)全局与基本WLAN视图
[AC] system-view
[AC] wlan
[AC-wlan] country-code CN
[AC-wlan] commit
2)SSID与安全配置
# 员工网 SSID + 安全
[AC-wlan] ssid-profile name SSID-Corp
[AC-wlan-ssid-prof-SSID-Corp] ssid Corp-STA
[AC-wlan-ssid-prof-SSID-Corp] quit
[AC-wlan] security-profile name SEC-Corp
[AC-wlan-sec-prof-SEC-Corp] security wpa2 psk pass-phrase cipher aes
[AC-wlan-sec-prof-SEC-Corp] wpa2 psk pass-phrase cipher aes plain HUAWEI@2025
[AC-wlan-sec-prof-SEC-Corp] quit
# 访客网(示例:开放或 Portal 前置)
[AC-wlan] ssid-profile name SSID-Guest
[AC-wlan-ssid-prof-SSID-Guest] ssid Guest
[AC-wlan-ssid-prof-SSID-Guest] quit
3)VAP/业务模板与转发模式
# 员工 VAP:直转发 + 业务 VLAN 20
[AC-wlan] vap-profile name VAP-Corp
[AC-wlan-vap-prof-VAP-Corp] ssid-profile SSID-Corp
[AC-wlan-vap-prof-VAP-Corp] security-profile SEC-Corp
[AC-wlan-vap-prof-VAP-Corp] service-vlan vlan-id 20
[AC-wlan-vap-prof-VAP-Corp] forward-mode direct-forwarding
[AC-wlan-vap-prof-VAP-Corp] quit
# 访客 VAP:隧道转发 + 业务 VLAN 30(由 AC 集中转发/统一出口)
[AC-wlan] vap-profile name VAP-Guest
[AC-wlan-vap-prof-VAP-Guest] ssid-profile SSID-Guest
[AC-wlan-vap-prof-VAP-Guest] service-vlan vlan-id 30
[AC-wlan-vap-prof-VAP-Guest] forward-mode tunnel
[AC-wlan-vap-prof-VAP-Guest] quit
4)射频与AP组
[AC-wlan] ap-group name HQ
[AC-wlan-ap-group-HQ] vap-profile VAP-Corp wlan 1
[AC-wlan-ap-group-HQ] vap-profile VAP-Guest wlan 2
# 可选:绑定射频参数/信道/功率模板
[AC-wlan-ap-group-HQ] quit
5)引入AP并下发
# 按实际型号/MAC 添加 AP(可用 DHCP Option 43/AC Discovery 自动发现)
[AC-wlan] ap-id 1 type AP6050DN mac xxxx-xxxx-xxxx
[AC-wlan-ap-1] ap-group HQ
[AC-wlan-ap-1] quit
[AC-wlan] commit
6)有线侧VLAN与上联
# 接入交换机:AP 接口 Trunk 放行 VLAN 20/30
[SW] interface GigabitEthernet0/0/10
[SW-GE0/0/10] port link-type trunk
[SW-GE0/0/10] port trunk allow-pass vlan 20 30
[SW-GE0/0/10] quit
# 三层网关(直转发场景须在汇聚/核心上为 VLAN20 提供网关)
[Core] interface Vlanif20
[Core-Vlanif20] ip address 10.1.20.254 255.255.255.0
常见坑
· 直转发必须保证业务VLAN贯通到三层网关;隧道转发则需要AC的三层出口/策略
· 同一信道过多AP、功率过高导致co-channel干扰:优先5GHz,信道规划1/6/11(2.4G)或UNII-1/3(5G)分布
· 密码/加密不一致导致终端反复关联失败
四、验证与排错
# AP 与在线终端
[AC] display ap all
[AC] display station all
# VAP 与转发模式核对
[AC] display vap all
[AC] display current-configuration configuration wlan
# 业务连通性(直转发:查看汇聚 VLANIF ARP/路由;隧道转发:查看 AC 出口)
最佳实践
· 员工网用直转发减少时延;访客/合规网用隧道转发集中管控
· 统一命名:VAP/SSID/Group前缀化,便于多站点复制
· 漫游优化:开启802.11k/v/r(视终端支持)、合理最小RSSI与负载均衡
我们今天就分享到这,下次再见啦
