公网IP环境下华为AC旁挂组网配置详解

公网IP环境下华为AC旁挂组网配置详解

在现代网络环境中，无线局域网（WLAN）已经成为不可或缺的基础设施。华为AC（无线控制器）旁挂二层组网方案因其部署灵活、管理便捷而广受欢迎。本文将详细介绍如何在运营商公网IP环境下，通过华为AC实现5个AP的组网配置。

旁挂式组网是将AC旁挂在现有网络中，不改变原有网络结构，AC只负责无线设备的管理，无线数据流不经过AC，直接通过交换机进行转发。这种组网方式具有以下特点：

• 部署灵活：无需改动现有网络结构
• 管理便捷：集中管理所有AP
• 成本较低：无需额外的转发设备

在开始配置之前，首先需要确保网络中有可用的DHCP服务器，用于为AP和无线客户端分配IP地址。如果现有网络中没有DHCP服务器，可以在AC上配置DHCP功能。

// 进入系统视图
system-view

// 创建DHCP地址池
dhcp enable
dhcp server ip-pool wlan
 network 192.168.1.0 mask 255.255.255.0
 gateway-list 192.168.1.1
 dns-list 8.8.8.8
 excluded-ip-address 192.168.1.1 192.168.1.10
 quit

// 配置接口vlanif 100为DHCP服务器
interface vlanif 100
 ip address 192.168.1.1 255.255.255.0
 dhcp select global
 quit

1. 发现并管理AP

首先需要在AC上配置AP的发现和管理。确保AP与AC在同一网段，并将AP设置为FIT模式。

// 进入系统视图
system-view

// 创建管理VLAN
vlan 100
quit

// 创建业务VLAN
vlan 101
quit

// 配置AC源接口
capwap source interface vlanif 100

// 创建AP组
wlan
ap-group name ap-group1
vap-profile wlan-net radio all
quit

// 添加AP
ap auth-mode mac-address
ap-mac 00e0-fcea-4ac0
ap-group ap-group1
quit

2. 设置无线服务

创建SSID并绑定到AP射频接口，启用自动绑定以简化配置。

// 创建SSID模板
ssid-profile name wlan-net
ssid wlan-net
quit

// 创建安全模板
security-profile name wlan-net
security wpa-wpa2 psk pass-phrase your-password
quit

// 创建VAP模板
vap-profile name wlan-net
forward-mode direct
service-vlan vlan-id 101
ssid-profile wlan-net
security-profile wlan-net
quit

3. 射频调优

调整信道、带宽和发射功率以优化性能。

// 配置射频模板
radio-profile name default
 rrm-profile name default
 quit

// 配置RRM模板
rrm-profile name default
 channel-assignment mode auto
 power-mode auto
 quit

1. 创建SSID

SSID是无线网络的标识，需要创建并配置SSID模板。

ssid-profile name wlan-net
ssid wlan-net
quit

2. 配置安全策略

为了保证无线网络的安全性，需要配置WPA/WPA2加密。

security-profile name wlan-net
security wpa-wpa2 psk pass-phrase your-password
quit

3. 配置VAP模板

VAP（Virtual Access Point）模板用于定义无线业务的转发模式和服务。

vap-profile name wlan-net
forward-mode direct
service-vlan vlan-id 101
ssid-profile wlan-net
security-profile wlan-net
quit

在公网IP环境下，需要特别注意NAT转换和安全策略的设置。

1. NAT转换

如果AC连接到公网，需要配置NAT转换。

// 配置NAT
interface vlanif 1
 ip address 116.12.1.5 255.255.255.0
 nat outbound 2000
 quit

// 配置NAT策略
nat-policy
rule name wlan_nat
 source-zone untrust
 destination-zone trust
 source-address 192.168.1.0 255.255.255.0
 action nat
 quit

2. 安全策略

配置安全策略以保护无线网络免受外部攻击。

// 配置安全策略
security-policy
rule name wlan_security
 source-zone untrust
 destination-zone trust
 source-address 192.168.1.0 255.255.255.0
 action permit
 service tcp 80
 service tcp 443
 quit

1. 射频调优

• 信道选择：避免干扰，选择较少使用的信道
• 发射功率：根据覆盖范围调整发射功率
• 带宽设置：根据网络负载调整带宽

2. 故障排查

• AP上线失败：检查AP与AC的连接，确保在同一网段
• 无线连接不稳定：检查射频环境，避免干扰
• 无法获取IP地址：检查DHCP服务器配置

// 进入系统视图
system-view

// 创建DHCP地址池
dhcp enable
dhcp server ip-pool wlan
 network 192.168.1.0 mask 255.255.255.0
 gateway-list 192.168.1.1
 dns-list 8.8.8.8
 excluded-ip-address 192.168.1.1 192.168.1.10
 quit

// 配置接口vlanif 100为DHCP服务器
interface vlanif 100
 ip address 192.168.1.1 255.255.255.0
 dhcp select global
 quit

// 创建管理VLAN
vlan 100
quit

// 创建业务VLAN
vlan 101
quit

// 配置AC源接口
capwap source interface vlanif 100

// 创建AP组
wlan
ap-group name ap-group1
vap-profile wlan-net radio all
quit

// 添加AP
ap auth-mode mac-address
ap-mac 00e0-fcea-4ac0
ap-group ap-group1
quit

// 创建SSID模板
ssid-profile name wlan-net
ssid wlan-net
quit

// 创建安全模板
security-profile name wlan-net
security wpa-wpa2 psk pass-phrase your-password
quit

// 创建VAP模板
vap-profile name wlan-net
forward-mode direct
service-vlan vlan-id 101
ssid-profile wlan-net
security-profile wlan-net
quit

// 配置射频模板
radio-profile name default
 rrm-profile name default
 quit

// 配置RRM模板
rrm-profile name default
 channel-assignment mode auto
 power-mode auto
 quit

// 配置NAT
interface vlanif 1
 ip address 116.12.1.5 255.255.255.0
 nat outbound 2000
 quit

// 配置NAT策略
nat-policy
rule name wlan_nat
 source-zone untrust
 destination-zone trust
 source-address 192.168.1.0 255.255.255.0
 action nat
 quit

// 配置安全策略
security-policy
rule name wlan_security
 source-zone untrust
 destination-zone trust
 source-address 192.168.1.0 255.255.255.0
 action permit
 service tcp 80
 service tcp 443
 quit

通过以上步骤，你可以在运营商公网IP环境下，成功配置华为AC旁挂二层组网，实现5个AP的集中管理和无线业务部署。无论是新建网络还是现有网络升级，这套方案都能为你提供稳定、高效的无线网络服务。