华为AC(无线接入控制器)的配置是构建高效、安全、可管理的无线网络的核心环节,其配置命令涉及多个层面,包括基础参数设置、VLAN划分、AP上线认证、射频策略、安全策略、用户接入控制以及高级功能如负载均衡、漫游优化等,以下将从实际部署角度,详细解析华为AC的典型配置命令及流程。
在完成AC与交换机、AP的物理连接后,需在AC上创建AP组,以便对AP进行批量管理,命令为[AC6005] wlan进入WLAN视图,[AC6005-wlan] ap-group name default创建或进入名为default的AP组,[AC6005-wlan-ap-group-default] quit返回上级视图,AP组是AP的集合,不同组可配置不同的业务策略,实现精细化管控。
配置AC与AP的通信方式,华为AC支持CAPWAP隧道和Fit AP模式,这是主流部署方式,需在AC上指定AC的源接口,用于与AP建立CAPWAP隧道。[AC6005] interface vlanif 100(假设VLAN 100为AC管理VLAN),[AC6005-Vlanif100] ip address 192.168.100.1 24,[AC6005-Vlanif100] quit,然后[AC6005] capwap source interface vlanif 100,需在AP上配置AC的IP地址,通常通过DHCP Option 43或静态IP方式实现,此处以静态配置为例(在AP视图下[AP6010D] ac ip-address 192.168.100.1)。
AP上线后,需将AP加入指定的AP组,在AC上通过display ap all查看AP的MAC地址、名称及状态,当AP状态为“idle”时,执行命令[AC6005-wlan] ap-id 0 ap-mac 00e0-fc12-3456 ap-name AP01(ap-id为系统分配的ID,ap-mac为AP的MAC地址,ap-name为自定义名称),[AC6005-wlan-ap-AP01] group-name default将AP01加入default组。
然后进行业务配置,主要包括SSID(无线网络名称)的创建与关联,在WLAN视图下,[AC6005-wlan] ssid-profile name office创建SSID模板,[AC6005-wlan-ssid-prof-office] ssid Huawei-Office设置SSID名称,[AC6005-wlan-ssid-prof-office] quit,接着创建安全模板,例如WPA2-PSK加密:[AC6005-wlan] security-profile name wpa2-psk,[AC6005-wlan-sec-prof-wpa2-psk] security wpa2 psk pass-phrase Huawei@123 aes,[AC6005-wlan-sec-prof-wpa2-psk] quit,创建流量模板(可选,用于限速):[AC6005-wlan] traffic-profile name default,[AC6005-wlan-traffic-prof-default] inbound car cir 10240(入限速10Mbps),[AC6005-wlan-traffic-prof-default] outbound car cir 10240(出限速10Mbps),[AC6005-wlan-traffic-prof-default] quit。
创建VLAN池,用于无线用户接入后的VLAN分配:[AC6005-wlan] vlan-pool user-vlan,[AC6005-wlan-vlan-pool-user-vlan] vlan 101 102(分配VLAN 101和102),[AC6005-wlan-vlan-pool-user-vlan] quit,创建AP模板,关联上述模板:[AC6005-wlan] ap-profile name default,[AC6005-wlan-ap-prof-default] ssid-profile office,[AC6005-wlan-ap-prof-default] security-profile wpa2-psk,[AC6005-wlan-ap-prof-default] traffic-profile default,[AC6005-wlan-ap-prof-default] vlan-pool user-vlan,[AC6005-wlan-ap-prof-default] quit。
将AP模板应用到AP组:[AC6005-wlan-ap-group-default] ap-profile default,[AC6005-wlan-ap-group-default] quit,配置射频参数,如信道和功率:[AC6005-wlan-ap-group-default] radio 0(配置射频0,2.4G频段),[AC6005-wlan-group-radio-default/0/0] channel auto(自动选择信道),[AC6005-wlan-group-radio-default/0/0] power auto(自动发射功率),[AC6005-wlan-group-radio-default/0/0] quit,[AC6005-wlan-ap-group-default] radio 1(配置射频1,5G频段),重复上述信道和功率配置。
还需配置DHCP服务,为无线用户分配IP地址,可在AC或核心交换机上配置,此处以AC为例:[AC6005] dhcp select interface,[AC6005] interface vlanif 101,[AC6005-Vlanif101] dhcp server ip-pool pool1,[AC6005-Vlanif101-dhcp-pool-pool1] gateway-list 192.168.101.1,[AC6005-Vlanif101-dhcp-pool-pool1] dns-list 8.8.8.8,[AC6005-Vlanif101-dhcp-pool-pool1] quit,[AC6005-Vlanif101] quit,VLAN 102同理配置。
对于高级功能,如负载均衡,可在SSID模板下配置:[AC6005-wlan-ssid-prof-office] load-balancing enable启用负载均衡,[AC6005-wlan-ssid-prof-office] load-balancing bandwidth-threshold 5000(负载阈值,单位为kbps),漫游优化可配置[AC6005-wlan-ap-group-default] radio 0,[AC6005-wlan-group-radio-default/0/0] roam fast enable启用快速漫游。
以下为部分配置参数的总结表格:
| 配置模块 | 关键命令示例 | 作用说明 |
|---|---|---|
| AP组创建 | ap-group name default |
创建AP管理组 |
| CAPWAP源接口 | capwap source interface vlanif 100 |
指定AC与AP通信的源接口 |
| AP添加 | ap-id 0 ap-mac 00e0-fc12-3456 ap-name AP01 |
将AP添加到AC并命名 |
| SSID模板 | ssid-profile name office ssid Huawei-Office |
创建无线网络名称 |
| 安全模板 | security-profile name wpa2-psk security wpa2 psk pass-phrase Huawei@123 aes |
配置WPA2-PSK加密方式 |
| VLAN池 | vlan-pool user-vlan vlan 101 102 |
为用户分配VLAN资源 |
| AP模板应用 | ap-profile name default ssid-profile office |
将业务模板关联到AP模板 |
| 射频配置 | radio 0 channel auto power auto |
配置无线信道和发射功率 |
| DHCP服务 | dhcp select interface ip-pool pool1 gateway-list 192.168.101.1 |
为无线用户分配IP地址 |
通过以上配置,可实现华为AC的基本无线网络部署,实际应用中,还需根据网络规模、业务需求进行灵活调整,例如配置802.1X认证、访客隔离、流量整形等功能,以确保无线网络的安全性、稳定性和性能。
相关问答FAQs
Q1: 如何排查AP无法上线AC的问题?
A1: 首先检查物理链路状态,确认AP与AC之间的交换机端口UP状态及VLAN配置正确;其次检查AC的CAPWAP源接口配置是否正确,以及AC与AP之间网络可达(可通过ping测试);然后查看AC的日志信息,使用display logbuffer命令查看是否有AP认证失败或隧道建立失败的日志;最后确认AP的版本是否与AC兼容,必要时进行升级。
Q2: 如何配置无线用户的隔离功能,防止同一SSID下用户互访?
A2: 在安全模板中配置用户隔离,进入安全模板视图,[AC6005-wlan] security-profile name isolation,[AC6005-wlan-sec-prof-isolation] user-isolate forward-group-user enable(启用用户隔离,仅允许访问组内资源,若完全隔离可使用user-isolate forward-user disable),[AC6005-wlan-sec-prof-isolation] quit,然后将该安全模板应用到对应的SSID模板或AP组中,即可实现无线用户间的隔离。
