组建旁挂式三层无线无线局域网

组建旁挂式三层无线无线局域网

项目背景
某企业需要在原有网络增加部署 WLAN 满足员工办公的需要。由于原来的有线网络较为复
杂，为满足 WLAN 组建的灵活性，管理员准备采用 AC+AP 的旁挂式三层组网方案。
项目目的
通过本项目可以掌握如下知识点和技能点，同时积累项目经验。

 配置有线网络，为 AC 和 AP 提供连接。
 AC 上配置 DHCP 服务器。
 在交换机上配 DHCP 代理。
 配置 AP 上线。
 配置 WLAN 业务参数。
 配置 AP 射频的信道和功率。
 验证 WLAN 配置结果。

项目拓扑

配置汇聚交换机 S1 的接口 G0/0/1 加入 VLAN 10、101、102，接口 G0/0/2 加入 VLAN 100，
接口 G0/0/3 加入 VLAN 101 和 VLAN 102。

vlan batch 10 100 101 102
interface gigabitethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 10 101 102
quit
interface gigabitethernet 0/0/2
port link-type trunk
port trunk allow-pass vlan 100 101 102
quit
interface gigabitethernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 101 102
quit

配置接入交换机 S2 的 G0/0/1-3 接口加入 VLAN 10、101、102，G0/0/1-2 的默认 VLAN 为
VLAN 10, G0/0/3 的默认 VLAN 为默认值。

vlan batch 10 101 102
interface gigabitethernet 0/0/1
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 101 102
quit
interface gigabitethernet 0/0/2
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 101 102
quit
interface gigabitethernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 10 101 102
quit

配置 AC 的接口 G0/0/1 加入 VLAN 100、VLAN 101 和 VLAN 102。

vlan batch 100 to 102
interface gigabitethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 100 101 102
q

IP 地址部署

在 S1 上创建接口 VLANIF 10、VLANIF 100、VLANIF 101、VLANIF 102，配置相应地址作为
不同 VLAN 的网关。

interface vlanif 10
ip address 10.23.10.1 24
quit
interface vlanif 100
ip address 10.23.100.1 24
quit
interface vlanif 101
ip address 10.23.101.1 24
quit
interface vlanif 102
ip address 10.23.102.1 24
quit

在 AC 上配置 VLANIF 100 接口的 IP 地址。

interface vlanif 100
ip address 10.23.100.2 24
quit

在 R1 上配置子接口 G0/0/0.101、G0/0/0.102，分别加入 VLAN 101 和 VLAN 102；创建
LoopBack 10 接口用于测试，该接口地址也模拟为 DNS 服务器的地址。

interface g0/0/0.101
dot1q termination vid 101
ip add 10.23.101.2 24
arp broadcast enable
quit
interface g0/0/0.102 
dot1q termination vid 102
ip add 10.23.102.2 24 
arp broadcast enable
quit
interface LoopBack 10
ip address 10.10.10.10 24
quit

以下以 S1 为例，检查各设备的 IP 地址配置，AC、R1 上操作类似。

display ip interface brief

VLAN 间路由部署

S1

ospf 1
area 0.0.0.0
network 10.0.0.0 0.255.255.255
quit
quit

R1

ospf 1
area 0.0.0.0
network 10.0.0.0 0.255.255.255 
quit
quit

AC

ospf 1
area 0.0.0.0
network 10.0.0.0 0.255.255.255
quit
quit

可以在 AC 上检查路由表，测试 AC 和 10.10.10.10（R1 上的 Loopback 10）等地址是否可以通
信。

display ip routing-table

ping 10.10.10.10

ping 10.23.101.1

ping 10.23.102.1

ping 10.23.10.1

DHCP 服务部署
在 AC 上创建 3 个全局地址池。地址池 pool huawei 为 AP 提供地址，这个地址池要设置 option
43 为 AP 指明 AC 的 IP 地址。地址池 pool vlan101 为 VLAN 101 的 STA 提供地址，地址池
pool vlan102 为 VLAN 102 的 STA 提供地址。

dhcp enable
ip pool huawei

network 10.23.10.0 mask 24
gateway-list 10.23.10.1
option 43 sub-option 3 ascii 10.23.100.2
quit

ip pool vlan101
gateway-list 10.23.101.1 
network 10.23.101.0 mask 255.255.255.0 
dns-list 10.10.10.10
quit

ip pool vlan102
gateway-list 10.23.102.1
network 10.23.102.0 mask 255.255.255.0
dns-list 10.10.10.10
quit

interface vlanif 100
dhcp select global
quit

在 S1 上配置 DHCP 中继，代理 AC 为 AP、STA 分配 IP 地址。

dhcp enable
interface vlanif 10
dhcp select relay
dhcp relay server-ip 10.23.100.2
quit

interface vlanif 101
dhcp select relay
dhcp relay server-ip 10.23.100.2
quit

interface vlanif 102
dhcp select relay
dhcp relay server-ip 10.23.100.2
quit

项目核心任务

创建 AP 组
创建 AP 组，用于将相同配置的 AP 都加入同一 AP 组中。

wlan
ap-group name ap-group1
regulatory-domain-profile name default
country-code cn
quit

ap-group name ap-group1
regulatory-domain-profile default

AP 上线
配置 AC 的源接口

capwap source interface vlanif 100

wlan
ap auth-mode mac-auth
ap-id 0 ap-mac 00e0-fcbd-1e50
ap-name area_1
ap-group ap-group1
q

ap-id 1 ap-mac 00e0-fca1-2310
ap-name area_2
ap-group ap-group1
q

将 AP 上电后，当执行命令查看到 AP 的“State”字段为“nor”时，表示 AP 正常上线。AP 正常能
上线是整个 WLAN 组网的关键一步，如果 AP 没有正常上线，请先仔细考虑有线网络的
VLAN、Trunk、VLAN 路由、DHCP 代理、DHCP 服务器是否正确？

display ap all

配置 WLAN 业务参数
本项目将发布两个 SSID，使用了两个 vap-profile，分别为“wlan-net1”、“wlan-net2”。两个
SSID 可以配置独立的认证方式等参数。先创建名为“wlan-net1”的安全模板，并配置安全策
略。

security-profile name wlan-net1
security wpa-wpa2 psk pass-phrase a1234567 aes
quit

创建名为“wlan-net”的 SSID 模板，并配置 SSID 名称为“wlan-net1”。

ssid-profile name wlan-net1
ssid wlan-net1
quit

创建名为“wlan-net1”的 VAP 模板，配置业务数据转发模式、业务 VLAN，并且引用安全模板
和 SSID 模板。这里采用隧道转发模式，业务 VLAN 是 VLAN 101。

vap-profile name wlan-net1
forward-mode tunnel
service-vlan vlan-id 101
security-profile wlan-net1
ssid-profile wlan-net1
quit

参照“wlan-net1”的 VAP 模板，创建名为“wlan-net2”的 VAP 模板

security-profile name wlan-net2
security wpa-wpa2 psk pass-phrase a1234567 aes
quit

ssid-profile name wlan-net2
ssid wlan-net2
quit

vap-profile name wlan-net2
forward-mode tunnel
service-vlan vlan-id 102
security-profile wlan-net2
ssid-profile wlan-net2
quit

配置 AP 组引用 VAP 模板，AP 上射频 0 和射频 1 都同时使用 VAP 模板“wlan-net1”“wlannet2”的配置。

ap-group name ap-group1
vap-profile wlan-net1 wlan 1 radio 0
vap-profile wlan-net1 wlan 1 radio 1
vap-profile wlan-net2 wlan 2 radio 0
vap-profile wlan-net2 wlan 2 radio 1
q

9.2.6 项目验证
9.2.6.1 检查 WLAN 业务配置是否下发
当“Status”项显示为“ON”时，表示 AP 对应的射频上的 VAP 已创建成功。

display vap ssid wlan-net1

display vap ssid wlan-net2

检查 AP 的 IP 地址、通信

display ip interface brief

ping 10.23.100.2

检查无线终端能否使用无线
无线终端需要在信号覆盖范围内才能连接 AP。注意：eNSP（V100R003C00SPC100）里的无
线并不稳定，很可能无线终端能够无线连接成功，并获得 IP 地址，但无法稳定通信。以下是
STA1 连接 wlan-net1 的测试。

ipconfig

ping 10.10.10.10

以下是 STA2 连接 wlan-net2 的测试