【华为】AC直连二层组网隧道转发实战：从零到一的CAPWAP隧道构建与业务下发

1. 华为AC直连二层组网环境搭建第一次接触华为AC的无线组网时我被各种专业术语搞得晕头转向。直到真正动手配置了一个小型办公网络才发现原来从零开始搭建CAPWAP隧道并没有想象中那么难。这次就带大家走一遍完整的配置流程我会把每个步骤都掰开揉碎讲解保证即使是没有基础的朋友也能跟着做下来。在开始之前我们需要明确几个关键概念。AC就是无线控制器负责管理所有AP二层组网指的是AC和AP在同一个广播域内不需要跨三层路由而隧道转发则是让所有无线终端的数据流量都通过CAPWAP隧道传送到AC处理。这种架构特别适合中小型办公场景既能集中管理无线网络又能保证数据传输安全。先来看看我们的实验环境需要哪些设备华为AC6005控制器1台华为AP设备1台型号不限二层交换机1台测试用的STA终端笔记本或手机必要的网线和电源物理连接很简单AP通过网线连接到交换机交换机再连接到AC的控制端口。这里有个细节要注意AP的管理VLANVLAN100和业务VLANVLAN110都要在交换机的trunk口放行否则后续通信会出问题。2. 基础网络配置实战2.1 VLAN与接口配置登录AC后第一件事就是创建必要的VLAN。华为设备的配置逻辑很清晰我们先批量创建三个VLANAC6005system-view [AC6005]vlan batch 10 100 110这里VLAN10用于AC与路由器互联VLAN100是AP管理VLANVLAN110则是无线业务VLAN。接下来配置各个VLAN接口的IP地址[AC6005]interface Vlanif100 [AC6005-Vlanif100]ip address 192.168.100.254 24 [AC6005-Vlanif100]quit [AC6005]interface Vlanif110 [AC6005-Vlanif110]ip address 192.168.110.254 24 [AC6005-Vlanif110]quit物理接口的配置也很关键。连接AP的接口要设置为trunk模式允许所有VLAN通过[AC6005]interface GigabitEthernet0/0/2 [AC6005-GigabitEthernet0/0/2]port link-type trunk [AC6005-GigabitEthernet0/0/2]port trunk allow-pass vlan all2.2 DHCP服务配置为了让AP和无线终端能自动获取IP地址我们需要在AC上配置DHCP服务。华为设备的DHCP配置非常直观[AC6005]dhcp enable [AC6005]interface Vlanif100 [AC6005-Vlanif100]dhcp select interface [AC6005-Vlanif100]dhcp server dns-list 8.8.8.8 [AC6005-Vlanif100]quit [AC6005]interface Vlanif110 [AC6005-Vlanif110]dhcp select interface [AC6005-Vlanif110]dhcp server dns-list 8.8.8.8这里使用接口地址池的方式AP会获取192.168.100.0/24网段的IP无线终端则获取192.168.110.0/24网段的IP。实际项目中可以根据需要调整地址池范围。3. CAPWAP隧道建立与AP上线3.1 管理域与AP组配置CAPWAP隧道的建立需要先配置管理域。华为设备要求明确指定国家码这点很重要[AC6005]wlan [AC6005-wlan-view]regulatory-domain-profile name domain [AC6005-wlan-regulate-domain-domain]country-code CN [AC6005-wlan-regulate-domain-domain]quit接着创建AP组并关联管理域[AC6005-wlan-view]ap-group name ap1 [AC6005-wlan-ap-group-ap1]regulatory-domain-profile domain Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y [AC6005-wlan-ap-group-ap1]quit3.2 AP认证与上线华为AC支持多种AP认证方式这里我们使用最简单的MAC地址认证[AC6005]capwap source interface vlanif100 [AC6005]wlan [AC6005-wlan-view]ap auth-mode mac-auth [AC6005-wlan-view]ap-id 1 ap-mac 00e0-fc9e-6090 [AC6005-wlan-ap-1]ap-name ap1 [AC6005-wlan-ap-1]ap-group ap1这里有几个关键点需要注意必须指定CAPWAP隧道的源接口VLANIF100AP的MAC地址可以在设备标签上找到AP命名要有意义方便后期管理AP上线后可以通过命令查看状态display ap all如果看到AP的状态是normal说明已经成功建立CAPWAP管理隧道。4. 无线业务下发与验证4.1 安全模板与SSID配置无线业务的核心是三个模板安全模板、SSID模板和VAP模板。我们先创建安全模板[AC6005-wlan-view]security-profile name test [AC6005-wlan-sec-prof-test]security wpa-wpa2 psk pass-phrase baixi123 aes [AC6005-wlan-sec-prof-test]quit这里配置了WPA2-PSK认证方式密码为baixi123使用AES加密。接着配置SSID模板[AC6005-wlan-view]ssid-profile name test_ssid [AC6005-wlan-ssid-prof-test_ssid]ssid baixi [AC6005-wlan-ssid-prof-test_ssid]quit4.2 VAP模板与业务下发最关键的是VAP模板它决定了无线业务的具体参数[AC6005-wlan-view]vap-profile name test_vap [AC6005-wlan-vap-prof-test_vap]forward-mode tunnel [AC6005-wlan-vap-prof-test_vap]service-vlan vlan-id 110 [AC6005-wlan-vap-prof-test_vap]ssid-profile test_ssid [AC6005-wlan-vap-prof-test_vap]security-profile test [AC6005-wlan-vap-prof-test_vap]quit特别注意forward-mode要设置为tunnel这样才能实现隧道转发。最后将VAP模板应用到AP组[AC6005-wlan-view]ap-group name ap1 [AC6005-wlan-ap-group-ap1]vap-profile test_vap wlan 1 radio all4.3 业务验证与排错配置完成后用手机或笔记本搜索无线信号baixi输入密码baixi123连接。连接成功后查看获取的IP地址应该是192.168.110.0/24网段。如果遇到连接问题可以按以下步骤排查检查AP是否正常上线display ap all确认STA是否获取到正确网段的IP查看AC上的DHCP分配情况display dhcp server statistics检查交换机端口配置是否正确特别是trunk口的VLAN放行情况在实际项目中我还遇到过AP无法上线的情况后来发现是交换机的trunk口没有放行管理VLAN。这种问题通过逐步排查物理连接和配置通常都能解决。