实战经验：华为中大型园区无线网络组网方案配置要点

华为中大型园区无线组网实战：配置要点与踩坑经验

做园区无线网络项目，华为的设备用得不少。尤其是中大型园区，AP多、用户多、业务复杂，配置稍微疏忽就容易出问题。今天跟大伙聊聊S5720HI做AC、下挂AP的组网方案，把关键配置点和实际施工中容易踩的坑都捋一遍。

先看整体网络架构，大概是这样：

咱们的目标很明确：

• 部署一个叫“wlan-net”的无线网络，让用户走到哪连到哪；
• 接入层用支持PoE的S5720LI系列交换机，直接带AP，省去单独供电的麻烦；
• 汇聚层用S5720HI做AC，统一管控所有AP，同时AC兼任DHCP服务器给AP分配管理IP；
• 园区出口用AR系列路由器，路由器给终端STA分配业务IP；
• 业务VLAN采用VLAN pool方式，由VLAN pool下对应的接口地址池给STA分地址。

这里插一句，实际施工中我碰过一哥们，非把管理VLAN和业务VLAN配成同一个，结果AP上线后终端死活连不上网。后来查了半天才发现，隧道转发模式下这俩VLAN必须分开，而且AP和AC之间只能放通管理VLAN，业务VLAN不能透传过去。记住这个，能少走不少弯路。

数据规划先行

动手配置前，先把数据规划表填好。别嫌烦，这一步省了后面全是坑。VLAN ID、IP网段、接口归属、DHCP地址池范围，一个都不能漏。我习惯用Excel先列出来，跟施工队交底时也清楚。

配置思路：模板化配置

华为WLAN的配置用模板化思路，各种模板相互引用。比如SSID模板、安全模板、VAP模板，一层套一层。理解了这个引用关系，配置起来就顺了。快速配置中型园区WLAN，按下面流程走：

1. AC上切换NAC模式为统一模式；
2. 配通AP与AC之间的CAPWAP报文通道；
3. 配通AC与上层网络设备的互通；
4. 配置DHCP：AC给AP分地址，路由器给STA分地址；
5. 创建WLAN模板并应用。

关于NAC模式，S5720HI支持统一模式和传统模式。统一模式好处是配置层次清晰，模板化操作更易理解，而且只有统一模式才支持做AC。所以别犹豫，直接上统一模式。

查看当前模式：

<HUAWEI>display authentication mode
Current authentication mode is common-mode
Next authentication mode is unified-mode

如果显示common-mode，就切一下：

<HUAWEI>system-view
[HUAWEI] authentication unified-mode

这里有个坑要提醒：V200R007C00之前的版本，切换模式后得手动保存配置并重启设备才能生效；之后的版本会自动保存并重启。我当年用老版本时没注意，配完重启一看还是传统模式，白忙活半天。所以开工前先查设备版本，别在这上面浪费时间。

配置AP与AC间的CAPWAP通道

先配接入交换机Switch_A，把接AP的口都划进管理VLAN 100：

[Switch_A] vlan batch 100
[Switch_A] interface gigabitethernet 0/0/1
[Switch_A-GigabitEthernet0/0/1] port link-type trunk
[Switch_A-GigabitEthernet0/0/1] port trunk pvid vlan 100
[Switch_A-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[Switch_A-GigabitEthernet0/0/1] port-isolate enable
[Switch_A-GigabitEthernet0/0/1] quit

其他接AP的口同样配置。注意那个port-isolate enable，端口隔离开了之后，同一交换机下不同AP之间不能直接通信，能防一些广播风暴和二层攻击，建议都加上。

然后配AC连接Switch_A的上行口：

[AC] vlan batch 100
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[AC-GigabitEthernet0/0/1] quit

隧道转发模式下，用户数据报文到AP后经CAPWAP隧道封装发给AC，再由AC转发到上层网络。所以管理VLAN和业务VLAN必须分开，AC和AP之间只放通管理VLAN。

AC与上层网络设备互通

配业务VLAN的虚接口：

[AC] vlan batch 101 102 200
[AC] interface vlanif 101
[AC-Vlanif101] ip address 10.23.101.1 24
[AC-Vlanif101] quit
[AC] interface vlanif 102
[AC-Vlanif102] ip address 10.23.102.1 24
[AC-Vlanif102] quit
[AC] interface vlanif 200
[AC-Vlanif200] ip address 10.23.200.2 24
[AC-Vlanif200] quit

配默认路由指向出口路由器：

[AC] ip route-static 0.0.0.0 0.0.0.0 10.23.200.1

AC连接路由器的口加入VLAN 200：

[AC] interface gigabitethernet 0/0/2
[AC-GigabitEthernet0/0/2] port link-type trunk
[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 200
[AC-GigabitEthernet0/0/2] quit

DHCP配置：AC给AP分地址，路由器给STA分地址

先开全局DHCP：

[AC] dhcp enable

管理VLAN接口配接口地址池给AP分地址：

[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit

业务VLAN接口配置DHCP中继，指向路由器：

[AC] interface vlanif 101
[AC-Vlanif101] dhcp select relay
[AC-Vlanif101] dhcp relay server-ip 10.23.200.1
[AC-Vlanif101] quit
[AC] interface vlanif 102
[AC-Vlanif102] dhcp select relay
[AC-Vlanif102] dhcp relay server-ip 10.23.200.1
[AC-Vlanif102] quit

路由器上配DHCP地址池给STA用：

[Router] dhcp enable
[Router] ip pool sta-pool
[Router-ip-pool-sta-pool] network 10.23.101.0 mask 24
[Router-ip-pool-sta-pool] gateway-list 10.23.101.1
[Router-ip-pool-sta-pool] dns-list 8.8.8.8
[Router-ip-pool-sta-pool] quit

再分享个省钱技巧：如果现场路由器不支持DHCP中继，或者不想让路由器承担DHCP压力，可以直接在AC上建业务VLAN的接口地址池，让AC同时给AP和STA分地址。但要注意AC的CPU负载，AP数量超过50个、STA超过200个时，建议还是分离开，不然AC容易卡死。我有个项目图省事全堆AC上，结果用户一多AP频繁掉线，最后老老实实加了台路由器做DHCP服务器才稳住。

后续还有WLAN模板创建、SSID配置、安全策略等，今天先聊到这。核心思路就是：架构清晰、VLAN隔离、DHCP分离、模板化管理。按这个路子走，中大型园区的无线网络基本稳了。