企业官网建设流程全解析

1. 华为AC直连二层组网环境搭建

第一次接触华为AC的无线组网时，我被各种专业术语搞得晕头转向。直到真正动手配置了一个小型办公网络，才发现原来从零开始搭建CAPWAP隧道并没有想象中那么难。这次就带大家走一遍完整的配置流程，我会把每个步骤都掰开揉碎讲解，保证即使是没有基础的朋友也能跟着做下来。

在开始之前，我们需要明确几个关键概念。AC就是无线控制器，负责管理所有AP；二层组网指的是AC和AP在同一个广播域内，不需要跨三层路由；而隧道转发则是让所有无线终端的数据流量都通过CAPWAP隧道传送到AC处理。这种架构特别适合中小型办公场景，既能集中管理无线网络，又能保证数据传输安全。

先来看看我们的实验环境需要哪些设备：

• 华为AC6005控制器1台
• 华为AP设备1台（型号不限）
• 二层交换机1台
• 测试用的STA终端（笔记本或手机）
• 必要的网线和电源

物理连接很简单：AP通过网线连接到交换机，交换机再连接到AC的控制端口。这里有个细节要注意，AP的管理VLAN（VLAN100）和业务VLAN（VLAN110）都要在交换机的trunk口放行，否则后续通信会出问题。

2. 基础网络配置实战

2.1 VLAN与接口配置

登录AC后，第一件事就是创建必要的VLAN。华为设备的配置逻辑很清晰，我们先批量创建三个VLAN：

<AC6005>system-view [AC6005]vlan batch 10 100 110

这里VLAN10用于AC与路由器互联，VLAN100是AP管理VLAN，VLAN110则是无线业务VLAN。接下来配置各个VLAN接口的IP地址：

[AC6005]interface Vlanif100 [AC6005-Vlanif100]ip address 192.168.100.254 24 [AC6005-Vlanif100]quit [AC6005]interface Vlanif110 [AC6005-Vlanif110]ip address 192.168.110.254 24 [AC6005-Vlanif110]quit

物理接口的配置也很关键。连接AP的接口要设置为trunk模式，允许所有VLAN通过：

[AC6005]interface GigabitEthernet0/0/2 [AC6005-GigabitEthernet0/0/2]port link-type trunk [AC6005-GigabitEthernet0/0/2]port trunk allow-pass vlan all

2.2 DHCP服务配置

为了让AP和无线终端能自动获取IP地址，我们需要在AC上配置DHCP服务。华为设备的DHCP配置非常直观：

[AC6005]dhcp enable [AC6005]interface Vlanif100 [AC6005-Vlanif100]dhcp select interface [AC6005-Vlanif100]dhcp server dns-list 8.8.8.8 [AC6005-Vlanif100]quit [AC6005]interface Vlanif110 [AC6005-Vlanif110]dhcp select interface [AC6005-Vlanif110]dhcp server dns-list 8.8.8.8

这里使用接口地址池的方式，AP会获取192.168.100.0/24网段的IP，无线终端则获取192.168.110.0/24网段的IP。实际项目中可以根据需要调整地址池范围。

3. CAPWAP隧道建立与AP上线

3.1 管理域与AP组配置

CAPWAP隧道的建立需要先配置管理域。华为设备要求明确指定国家码，这点很重要：

[AC6005]wlan [AC6005-wlan-view]regulatory-domain-profile name domain [AC6005-wlan-regulate-domain-domain]country-code CN [AC6005-wlan-regulate-domain-domain]quit

接着创建AP组并关联管理域：

[AC6005-wlan-view]ap-group name ap1 [AC6005-wlan-ap-group-ap1]regulatory-domain-profile domain Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y [AC6005-wlan-ap-group-ap1]quit

3.2 AP认证与上线

华为AC支持多种AP认证方式，这里我们使用最简单的MAC地址认证：

[AC6005]capwap source interface vlanif100 [AC6005]wlan [AC6005-wlan-view]ap auth-mode mac-auth [AC6005-wlan-view]ap-id 1 ap-mac 00e0-fc9e-6090 [AC6005-wlan-ap-1]ap-name ap1 [AC6005-wlan-ap-1]ap-group ap1

这里有几个关键点需要注意：

1. 必须指定CAPWAP隧道的源接口（VLANIF100）
2. AP的MAC地址可以在设备标签上找到
3. AP命名要有意义，方便后期管理

AP上线后，可以通过命令查看状态：

display ap all

如果看到AP的状态是"normal"，说明已经成功建立CAPWAP管理隧道。

4. 无线业务下发与验证

4.1 安全模板与SSID配置

无线业务的核心是三个模板：安全模板、SSID模板和VAP模板。我们先创建安全模板：

[AC6005-wlan-view]security-profile name test [AC6005-wlan-sec-prof-test]security wpa-wpa2 psk pass-phrase baixi123 aes [AC6005-wlan-sec-prof-test]quit

这里配置了WPA2-PSK认证方式，密码为baixi123，使用AES加密。接着配置SSID模板：

[AC6005-wlan-view]ssid-profile name test_ssid [AC6005-wlan-ssid-prof-test_ssid]ssid baixi [AC6005-wlan-ssid-prof-test_ssid]quit

4.2 VAP模板与业务下发

最关键的是VAP模板，它决定了无线业务的具体参数：

[AC6005-wlan-view]vap-profile name test_vap [AC6005-wlan-vap-prof-test_vap]forward-mode tunnel [AC6005-wlan-vap-prof-test_vap]service-vlan vlan-id 110 [AC6005-wlan-vap-prof-test_vap]ssid-profile test_ssid [AC6005-wlan-vap-prof-test_vap]security-profile test [AC6005-wlan-vap-prof-test_vap]quit

特别注意forward-mode要设置为tunnel，这样才能实现隧道转发。最后将VAP模板应用到AP组：

[AC6005-wlan-view]ap-group name ap1 [AC6005-wlan-ap-group-ap1]vap-profile test_vap wlan 1 radio all

4.3 业务验证与排错

配置完成后，用手机或笔记本搜索无线信号"baixi"，输入密码baixi123连接。连接成功后，查看获取的IP地址应该是192.168.110.0/24网段。

如果遇到连接问题，可以按以下步骤排查：

1. 检查AP是否正常上线（display ap all）
2. 确认STA是否获取到正确网段的IP
3. 查看AC上的DHCP分配情况（display dhcp server statistics）
4. 检查交换机端口配置是否正确，特别是trunk口的VLAN放行情况

在实际项目中，我还遇到过AP无法上线的情况，后来发现是交换机的trunk口没有放行管理VLAN。这种问题通过逐步排查物理连接和配置通常都能解决。