2023-04-04 网工进阶（四十一）大型WLAN组网---概述、VLAN Pool、DHCP技术、漫游技术、高可靠性技术、准入控制技术、配置举例（漫游失败，未完待续）

概述

目前，大多数企业办公环境同时使用有线和无线网络来支撑业务。办公区在提供有线网口的同时，也采用全Wi-Fi覆盖，办公环境更为开放和智能。未来，企业云桌面办公、智真会议、4K视频等大带宽业务将从有线网络迁移至无线网络，而VR/AR、虚拟助手、自动化工厂等新技术将直接基于无线网络部署。新的应用场景对企业WLAN的设计与规划提出更高的要求。

CAPWAP（Control And Provisioning of Wireless Access Points Protocol Specification）：无线接入点的控制和配置协议。

大型WLAN组网的应用

大型WLAN网络关键技术

技术	作用
VLAN Pool	通过VLAN Pool把接入的用户分配到不同的VLAN，可以减少广播域，减少网络中的广播报文，提升网络性能。
DHCP Option 43 & 52	当AC和AP间是三层组网时，AP通过发送广播请求报文的方式无法发现AC，这时需要通过DHCP服务器回应给AP的报文中携带的Option43字段（IPv4）或Option52（IPv6）来通告AC的IP地址。
漫游技术	WLAN漫游是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。
高可靠性技术	为了保证WLAN业务的稳定运行，保证在主设备故障时业务能够顺利切换到备份设备的技术。
准入控制	准入控制技术是通过对接入网络的客户端和用户的认证来保证网络的安全，是一种“端到端”的安全技术。

VLAN Pool

VLAN Pool是一种把多个VLAN放在一个池中并提供分配算法的VLAN分配技术，又称为VLAN池。

技术背景

现有网络面临的挑战

无线网络终端的移动性导致特定区域IP地址请求较多。

通过情况下，一个SSID只能对应一个业务VLAN，如果通过扩大子网增加IP地址则会导致广播域扩大，大量的广播报文造成网络拥塞。

vlan pool

通过VLAN Pool把接入的用户分配到不同的VLAN，可以减少广播域，减少网络中的广播报文，提升网络性能。

一个SSID需要能够对应多个VLAN，把大量用户分散到不同的VLAN减少广播域。VLAN Pool提供多个VLAN的管理和分配算法，实现SSID对应多个VLAN的方案。

VLAN Pool分配VLAN的算法

顺序分配算法：把用户按上线顺序依次划分到不同的VLAN中。

HASH分配算法：根据用户MAC地址HASH值分配VLAN。

分配算法	优点	缺点
顺序分配	各个VLAN用户数目划分均匀	重新上线VLAN容易变更、IP变化
HASH分配	用户多次上线可分配相同的VLAN、IP不变	各个VLAN用户数划分不均衡

分配VLAN流程

1 用户终端从某个VAP接入，判断VAP是否有绑定VLAN Pool。

2 如果该VAP对应的模板绑定了VLAN Pool，使用VLAN Pool的分配算法分配一个VLAN, VLAN Pool有顺序分配和hash分配两种分配算法。

3 给终端分配一个VLAN。

4 终端从VLAN Pool分配的VLAN上线。
 

虚拟接入点VAP（Virtual Access Point）

VAP就是在一个物理实体AP上虚拟出多个AP，每一个被虚拟出的AP就是一个VAP，每个VAP提供和物理实体AP一样的功能。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。

相关命令

创建并进入vlan pool视图

[AC1]vlan pool guest

将指定VLAN添加到VLAN Pool中

[AC1-vlan-pool-guest]vlan 10 to 20

配置VLAN Pool中的VLAN分配算法（默认为hash）

[AC1-vlan-pool-guest]assignment ?
  even  Even
  hash  Hash

进入wlan视图

[AC1]wlan 

创建并进入vap模板（缺省情况下，系统上存在名为default的VAP模板）

[AC1-wlan-view]vap-profile name guest

配置VAP业务的vlan（默认情况为vlan1）

[AC1-wlan-vap-prof-guest]service-vlan vlan-pool guest

创建域管理模板，并进入模板视图（域管理模板提供对国家码、调优信道和调优带宽等的配置，域管理模板下的配置对使用了此域管理模板的AP生效；缺省情况下，系统上存在名为default的域管理模板）

[AC-wlan-view]regulatory-domain-profile name domanin1

配置设备的国家码标识

[AC-wlan-regulate-domain-domanin1]country-code US

创建并进入AP组视图（配置会对AP组下的AP生效）

[AC-wlan-view]ap-group name group1

将指定的域管理模板引用到AP或AP组

[AC-wlan-ap-group-group1]regulatory-domain-profile domain1

配置AC建立CAPWAP隧道使用的接口，作为AC的源接口

[AC]capwap source interface Vlanif 100

配置VAP模板下的数据转发方式

[AC-wlan-vap-prof-vap1]forward-mode ?
  direct-forward  Direct forward 
  softgre         Softgre profile
  tunnel          Tunnel 

配置VAP的业务VLAN

[AC-wlan-vap-prof-vap1]service-vlan vlan-id 10

指定VAP模板中引用安全模板

[AC-wlan-vap-prof-vap1]security-profile sec1

指定的SSID模板引用到VAP模板

[AC-wlan-vap-prof-vap1]ssid-profile test

指定的VAP模板引用到射频（发射信号）

[AC-wlan-ap-group-group1]vap-profile vap1 wlan 1 radio 0
[AC-wlan-ap-group-group1]vap-profile vap1 wlan 1 radio 1

进入射频视图

[AC-wlan-ap-0]radio 0

配置单个AP指定射频的工作带宽和信道

[AC-wlan-radio-0/0]channel 20mhz 6

配置单个AP指定射频的发射功率

[AC-wlan-radio-0/0]eirp 127

DHCP技术

DHCP中继

DHCP中继能够跨网段“透传”DHCP报文，使得一个DHCP服务器同时为多个网段服务成为可能。

相关命令

开启DHCP中继功能

[AC1-Vlanif10]dhcp select relay 

配置DHCP服务器地址

[AC1-Vlanif10]dhcp relay server-ip 192.168.1.1 

创建DHCP服务器组

[AC1]dhcp server group guest

在DHCP服务器组中添加DHCP服务器成员地址

[AC1-dhcp-server-group-guest]dhcp-server 192.168.1.1
[AC1-dhcp-server-group-guest]dhcp-server 192.168.2.1
[AC1-dhcp-server-group-guest]dhcp-server 192.168.3.1

在接口应用DHCP中继服务器组

[AC1-Vlanif10]dhcp relay server-select guest

开启DHCP client功能

[AC1-Vlanif10]ip address dhcp-alloc 

WLAN三层组网AC发现机制

当AC和AP间是三层组网时，AP通过发送广播请求报文的方式无法发现AC，这时需要通过DHCP服务器回应给AP的报文中携带的Option43字段（IPv4）或Option52（IPv6）来通告AC的IP地址。

相关命令

为AP指定AC的IP地址为192.168.0.1

[AC1-ip-pool-guest]option 43 sub-option 2 ip-address 192.168.0.1

漫游技术

WLAN漫游是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。

实现WLAN漫游的两个AP必须使用相同的SSID和安全模板（安全模板名称可以不同，但是安全模板下的配置必须相同），认证模板的认证方式和认证参数也要配置相同。

相关术语

HAC（Home AC）

一个无线终端首次与漫游组内的某个AC进行关联，该AC即为它的HAC。

.

HAP（Home AP）

一个无线终端首次与漫游组内的某个AP进行关联，该AP即为它的HAP。

FAC（Foreign AC）

一个无线终端漫游后关联的AC即为它的FAC。

FAP（Foreign AP）

一个无线终端漫游后关联的AP即为它的FAP。

AC内漫游

如果漫游过程中关联的是同一个AC，这次漫游就是AC内漫游。

AC间漫游

如果漫游过程中关联的不是同一个AC，这次漫游就是AC间漫游。

AC间隧道

为了支持AC间漫游，漫游组内的所有AC需要同步每个AC管理的STA和AP设备的信息，因此在AC间建立一条隧道作为数据同步和报文转发的通道。AC间隧道也是利用CAPWAP协议创建的。

家乡代理

能够和STA家乡网络的网关二层互通的一台设备。为了支持STA漫游后仍能正常访问家乡网络，需要将STA的业务报文通过隧道转发到家乡代理，再由家乡代理中转。STA的家乡代理由HAC或HAP兼任，用户可以选取AC或AP作为STA的家乡代理。

漫游组服务器

STA在AC间进行漫游，通过选定一个AC作为漫游组服务器，在该AC上维护漫游组的成员表，并下发到漫游组内的各AC，使漫游组内的各AC间相互识别并建立AC间隧道。

漫游组服务器既可以是漫游组外的AC，也可以是漫游组内选择的一个AC。

一个AC可以同时作为多个漫游组的漫游组服务器，但是自身只能加入一个漫游组。

漫游组服务器管理其他AC的同时不能被其他的漫游组服务器管理。也就是说如果一个AC是作为漫游组服务器角色负责向其他AC同步漫游配置的，则它无法再作为被管理者接受其他AC向其同步漫游配置（即配置了漫游组就不能再配置漫游组服务器）。

漫游组服务器作为一个集中配置点，不需要有特别强的数据转发能力，只需要能够和各个AC互通即可。

相关命令

创建漫游组并进入漫游组视图

[AC1-wlan-view]mobility-group name mob

添加漫游组成员

[AC1-mc-mg-mob]member ip-address 10.1.100.1
[AC1-mc-mg-mob]member ip-address 10.1.200.1

 

WLAN漫游类型

二层漫游

1个无线客户端在2个AP（或多个AP）之间来回切换连接无线，前提是这些AP都绑定的是同1个SSID并且业务VLAN都在同1个VLAN内（在同一个IP地址段），漫游切换的过程中，无线客户端的接入属性（比如无线客户端所属的业务VLAN、获取的IP地址等属性）不会有任何变化，直接平滑过渡，在漫游的过程中不会有丢包和断线重连的现象。

三层漫游

漫游前后SSID的业务VLAN不同，AP所提供的业务网络为不同的三层网络，对应不同的网关。此时，为保持漫游用户IP地址不变的特性，需要将用户流量迂回到初始接入网段的AP，实现跨VLAN漫游。

漫游域

网络中有时候会出现以下情况：两个业务VLAN的VLAN ID相同，但是这两个子网又属于不同的子网。此时为了避免系统仅仅依据VLAN ID将用户在两个子网间的漫游误判为二层漫游，需要通过漫游域来确定设备是否在同一个子网内，只有当VLAN相同且漫游域也相同的时候才是二层漫游，否则是三层漫游。

WLAN漫游流量转发模型

漫游组是支持用户在其间互相漫游的一组AC集合。

根据WLAN数据转发类型以及跨三层与否，可将漫游流量转发模型划分为四种：

转发模型	特点
二层漫游直接转发	由于二层漫游后STA仍然在原来的子网中，所以FAP/FAC对二层漫游用户的流量转发和平台新上线的用户没有区别，直接在FAP/FAC本地的网络转发，不需要通过隧道转发回家乡代理中转。
二层漫游隧道转发
三层漫游直接转发	HAP和HAC之间的业务报文不通过CAPWAP隧道封装，无法判定HAP和HAC是否在同一个子网内，此时设备默认报文需返回到HAP进行中转，也可配置为HAC代理中转。
三层漫游隧道转发	HAP和HAC之间的业务报文通过CAPWAP隧道封装，此时可以将HAP和HAC看作在同一个子网内，所以报文无需返回HAP，可直接通过HAC中转到上层网络。

三层漫游直接转发

漫游前   

1 STA发送业务报文给HAP。

2 HAP接收到业务报文后直接将业务报文经过交换机发送给上层网络。

漫游后

1 STA发送业务报文给FAP。

2 FAP接收到STA发送的业务报文并通过CAPWAP隧道发送给FAC。

3 FAC通过HAC和FAC之间的AC间隧道将业务报文转发给HAC。

4 HAC通过CAPWAP隧道将业务报文发送给HAP。

5 HAP直接将业务报文发送给上层网络。

相关命令

创建并进入漫游组视图

[AC1-wlan-view]mobility-group name qyt

向漫游组中添加一个成员

[AC1-mc-mg-qyt]member ip-address 192.168.100.1

高可靠性技术

概述

在WLAN组网中，为保证组网可靠性，常见的备份技术有：
VRRP双机热备份（主备）
双链路冷备份
双链路热备份（主备&负载分担）
N+1备份

为了保证WLAN业务的稳定运行，热备份（Hot-Standby Backup）机制可以保证在主设备故障时业务能够不中断的顺利切换到备份设备。
 

对比项	VRRP双机热备	双链路双机热备	N+1备份
切换速度	主备切换速度快，对业务影响小。通过配置VRRP抢占时间，相比于其他备份方式实现更快的切换	AP状态切换慢，需等待检测到CAPWAP断链超时后才会切换，主备切换后终端不需要重新上线	AP状态切换慢，需等待检测到CAPWAP断链超时后才会切换，AP、终端均需要重新上线，业务会出现短暂中断
主备AC异地部署	不建议主备AC异地部署	支持	支持
约束条件	主备AC的型号和软件版本需完全一致。 一台备AC只支持为一台主AC提供备份。	主备AC的型号和软件版本需完全一致。 一台备AC只支持为一台主AC提供备份。	主备AC产品形态可以不同，AC的软件版本必须一致。 一台备AC支持为多台主AC提供备份，能降低购买设备的成本。
适用范围	对可靠性要求高，且无须异地部署主备AC的场景	对可靠性要求高，且要求异地部署主备AC的场景	对可靠性要求较低，对成本控制要求较高的场景

HSB相关概念

HSB（Hot Standby，热备份）是华为主备公共机制。

主备服务（HSB service）：建立和维护主备通道，为各个主备业务模块提供通道通断事件和报文发送/接收接口。

主备备份组（HSB group）：HSB备份组内部绑定HSB service，为各个主备业务模块提供数据备份通道。HSB备份组与一个VRRP实例绑定，借用VRRP机制协商出主备实例。同时，HSB备份组还负责通知各个业务模块处理批量备份、实时备份、主备切换等事件。

HSB主备服务

HSB主备服务负责在两个互为备份的设备间建立主备备份通道，维护主备通道的链路状态，为其他业务提供报文的收发服务，并在备份链路发生故障时通知主备业务备份组进行相应的处理。

HSB主备服务主要包括两个方面：

建立主备备份通道

通过配置主备服务本端和对端的IP地址和端口号，从而建立主备机制报文发送的TCP通道，为其他业务提供报文的收发以及链路状态变化通知服务。

维护主备通道的链路状态

通过发送主备服务报文和重传等机制来防止TCP较长时间中断但协议栈没有检测到该连接中断。如果在主备服务报文时间间隔与重传次数乘积的时间内还未收到对端发送的主备服务报文，设备则会收到异常通知，并且准备重建主备备份通道。

VRRP双机热备

两台AC组成一个VRRP组，主、备AC对AP始终显示为同一个虚拟IP地址，主AC通过Hot Standby（HSB）主备通道同步业务信息到备AC上。

两台AC通过VRRP协议产生一台“虚拟AC”，缺省情况下，主AC担任虚拟AC的具体工作，当主AC故障时，备AC接替其工作。所有AP与“虚拟AC”建立CAPWAP隧道。

AP只看到一个AC的存在，AC间的切换由VRRP决定。

这种方式一般将主备AC部署在同一地理位置，和其他备份方式比较，其业务切换速度非常快。

数据同步

基于VRRP双机热备备份信息包括用户表项、CAPWAP链路信息以及AP表项等信息，备份的方式有实时备份，批量备份，定时备份。

批量备份

主用设备会将已有的会话表项一次性同步到新加入的备份设备上，使主备AC信息对齐，这个过程称为批量备份。批量备份会在AC主备确立时进行触发。

实时备份

主用设备在产生新表项或表项变化后会及时备份到备份设备上。

包括用户数据信息备份、CAPWAP隧道信息备份、AP表项备份、DHCP地址信息备份。

定时同步

备用设备会每隔30分钟检查其已有的会话表项与主用设备是否一致，若不一致则将主用设备上的会话表项同步到备用设备。

VRRP双机热备配置流程

1 创建VRRP备份组并配置虚拟IP地址。

2 创建HSB主备服务，建立HSB主备备份通道的IP地址和端口号。

3 创建HSB备份组，配置HSB备份组绑定HSB主备服务、VRRP备份组、WLAN业务以及DHCP。

4 使能HSB备份组，HSB备份组使能后，对HSB备份组的相关配置才会生效。

5 检查VRRP热备份配置结果。

相关命令

 创建VRRP备份组并为备份组指定虚拟IP地址

[AC1-Vlanif10]vrrp vrid 10 virtual-ip 10.1.10.1

配置设备在VRRP备份组中的优先级

[AC1-Vlanif10]vrrp vrid 10 priority 150

创建并进入HSB主备服务视图

[AC1]hsb-service 0

配置HSB主备备份通道的IP地址和端口号

[AC1-hsb-service-0]service-ip-port local-ip 10.1.10.1 peer-ip 10.1.10.2 local-da
ta-port 10240 peer-data-port 10241

创建并进入HSB备份组视图

[AC1]hsb-group 0

在HSB备份组中绑定HSB主备服务

[AC1-hsb-group-0]bind-service 0

开启VRRP通过监视接口的状态实现主备快速切换的功能

[AC1-hsb-group-0]track vrrp vrid 10 interface Vlanif 10

指定WLAN业务备份使用的HSB类型为HSB备份组（VRRP热备份用备份组、双链路热备时用主备服务）

[AC1]hsb-service-type ap hsb-group 0

配置DHCP业务绑定HSB备份组

[AC1]hsb-service-type dhcp hsb-group 0

来配置NAC业务（准入控制）绑定HSB备份通道

[AC1]hsb-service-type access-user hsb-group 0

在HSB备份组下使能HSB主备备份功能

[AC1-hsb-group-0]hsb enable

查看HSB备份组的信息

[AC1]display hsb-group 0
Hot Standby Group Information:
----------------------------------------------------------
  HSB-group ID                : 0
  Vrrp Group ID               : 10
  Vrrp Interface              : Vlanif10
  Service Index               : 0
  Group Vrrp Status           : None
  Group Status                : Independent
  Group Backup Process        : Independent
  Peer Group Device Name      : -
  Peer Group Software Version : -
  Group Backup Modules        : AP
                                DHCP
                                Access-user
----------------------------------------------------------

查看HSB主备服务的信息

[AC1]display hsb-service 0
Hot Standby Service Information:
----------------------------------------------------------
  Local IP Address       : 10.1.10.1
  Peer IP Address        : 10.1.10.2
  Source Port            : 10240
  Destination Port       : 10241
  Keep Alive Times       : 5
  Keep Alive Interval    : 3
  Service State          : Not Valid
  Service Batch Modules  :
----------------------------------------------------------

准入控制技术

NAC（Network Admission Control）称为网络接入控制，通过对接入网络的客户端和用户的认证保证网络的安全，是一种“端到端”的安全技术。

用于用户和接入设备之间的交互。

NAC负责控制用户的接入方式（802.1X，MAC或Portal认证），接入过程中的各类参数和定时器。

确保合法用户和接入设备建立安全稳定的连接。

RADIUS概述

AAA可以通过多种协议来实现，在实际应用中，最常使用RADIUS协议。

RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

该协议定义了基于UDP（User Datagram Protocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为默认的认证、计费端口。

RADIUS协议的主要特征

1 客户端/服务器模式

2 安全的消息交互机制

3 良好的扩展性

三种认证方式比较

NAC包括三种认证方式：802.1X认证、MAC认证和Portal认证。由于三种认证方式认证原理不同，各自适合的场景也有所差异，实际应用中，可以根据场景部署某一种合适的认证方式，也可以部署几种认证方式组成的混合认证，混合认证的组合方式以设备实际支持为准。

对比项	802.1X认证	MAC认证	Portal认证
适合场景	新建网络、用户集中、信息安全要求严格的场景	打印机、传真机等哑终端接入认证的场景	用户分散、用户流动性大的场景
客户端需求	需要	不需要	不需要
优点	安全性高	无需安装客户端	部署灵活
缺点	部署不灵活	需登记MAC地址，管理复杂	安全性不高

802.1X认证

802.1X是IEEE制定的关于用户接入网络的认证标准，主要解决以太网内认证和安全方面的问题。

802.1X认证系统为典型的Client/Server结构，包括3个实体：请求方、认证方和认证服务器。

认证服务器通常是RADIUS服务器，用于对申请者进行认证、授权和计费。

对于大中型企业的员工，推荐使用802.1X认证。
 

MAC认证

MAC认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。

接入设备在启动了MAC认证的接口上首次检测到用户的MAC地址后，即启动对该用户的认证操作。

认证过程中，不需要用户手动输入用户名或者密码。

MAC认证常用于哑终端（如打印机）的接入认证，或者结合认证服务器完成MAC优先的Portal认证，用户首次认证通过后，一定时间内免认证再次接入。

Portal认证

Portal认证通常也称为Web认证，将浏览器作为认证客户端，不需要安装单独的认证客户端。

用户上网时，必须在Portal页面进行认证，只有认证通过后才可以使用网络资源，同时服务提供商可以在Portal页面上开展业务拓展，如展示商家广告等。

对于大中型企业的访客、商业会展和公共场所，推荐使用Portal认证。

常用的Portal认证方式

用户名和密码方式：由前台管理员给访客申请一个临时账号，访客使用临时账号认证。

短信认证：访客通过手机验证码方式认证。
 

MAC优先的Portal认证

用户进行Portal认证成功后，在一定时间内断开网络重新连接，能够直接通过MAC认证接入，无需输入用户名密码重新进行Portal认证。

该功能需要在设备配置MAC+Portal的混合认证，同时在认证服务器上开启MAC优先的Portal认证功能并配置MAC地址有效时间。

相关命令

配置AP认证模式（缺省情况下为MAC认证）

[AC-wlan-view]ap auth-mode ?
  mac-auth  MAC authenticated mode, default authenticated mode
  no-auth   No authenticated mode 
  sn-auth   SN authenticated mode 

离线增加AP设备并进入AP视图

[AC-wlan-view]ap-id 0 ap-mac 00e0-fc95-1c60

配置AP的名称

[AC-wlan-ap-0]ap-name ap1

配置AP加入组

[AC-wlan-ap-0]ap-group group1

创建并进入安全模板视图（出厂配置文件中，系统已经创建名称为default的安全模板）

[AC-wlan-view]security-profile name sec1

配置WPA/WPA2的预共享密钥认证和加密

[AC-wlan-sec-prof-sec1]security wpa2 psk pass-phrase qytang123 aes

创建并进入SSID模板视图（缺省情况下，系统上存在名为default的SSID模板）

[AC-wlan-view]ssid-profile name test

配置SSID名称

[AC-wlan-ssid-prof-test]ssid test

配置举例

配置举例：wlan简易组网

需求：使STA通过wlan连接到Internet

配置规划：
管理vlan 100
业务vlan 10
AP名:ap1
AP组：group1
域管理模板：domain1
capwap源接口：vlan 100
安全模板：sec1
密码：qytang123
SSID模板和名称：test
vap模板：vap1
radio 0：channel 20mhz 6   eirp 127
radio 1：channel 20mhz 149 eirp 127

配置步骤：

1 在AC上配置业务vlan和管理vlan、物理接口类型、vlanif接口ip、源接口

2 配置SSID模板、安全模板、VAP模板（配置转发方式、绑定业务vlan、SSID模板和安全模板）

3 配置域管理模板、配置AP组（绑定域管理模板、调用VAP模板到射频0、1） 

4 配置离线AP（加入到AP组、配置射频频率、信道、强度）

5 配置AP与Internet之间的通信、配置Internet（略）。

AC配置（PS：Internet配置略）

#
 sysname AC
#
 vlan batch 10 100                   //创建业务vlan和管理vlan
#
dhcp enable            //启用DHCP能力
#
interface Vlanif1                     //配置与Internet连接的接口IP
 ip address 10.1.1.1 255.255.255.0   
#
interface Vlanif10
 ip address 10.1.10.1 255.255.255.0
 dhcp select interface                 //开启dhcp，为STA分配地址
#
interface Vlanif100
 ip address 10.1.100.1 255.255.255.0
 dhcp select interface                 //开启dhcp，为AP分配地址
#
interface GigabitEthernet0/0/1         //配置连接AP的接口类型
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2         
 port link-type trunk
 port trunk allow-pass vlan 10
#
ip route-static 1.1.1.1 255.255.255.255 10.1.1.2   //配置连接Internet的静态路由
#
capwap source interface vlanif100     //配置AC源接口（管理vlan 连接AP）         
#
wlan                             配置wlan
 security-profile name sec1         ///配置安全模板
  security wpa2 psk pass-phrase %^%#C[F{9RKCb5X\T/QbmS,-P`5=88=`kG+$R!Di{^ER%^%#
 aes                                  //配置认证方式
 ssid-profile name test             ///配置SSID模板
  ssid test                           
 vap-profile name vap1              ///配置VAP模板
  forward-mode tunnel                 //配置VAP为隧道转发
  service-vlan vlan-id 10             //配置VAP的业务vlan号
  ssid-profile test                   //绑定SSID模板到VAP 
  security-profile sec1               //绑定安全模板到VAP
 regulatory-domain-profile name domain1   ///创建域管理模板
 ap-group name group1                ///创建AP组
  regulatory-domain-profile domain1   //调用域管理模板到AP组
  radio 0                             
   vap-profile vap1 wlan 1            //调用vap模板到射频0
  radio 1
   vap-profile vap1 wlan 1            //调用vap模板到射频1
 ap-id 0 type-id 69 ap-mac 00e0-fc95-1c60 ap-sn 210235448310B130EE6A ///配置离线AP的MAC/SN
  ap-name ap1             //配置离线AP名称
  ap-group group1         //配置离线AP加入AP组
  radio 0                 
   channel 20mhz 6        //配置射频0频率和信道
   eirp 127               //配置射频0信号强度
  radio 1
   channel 20mhz 149      //配置射频1频率和信道
   eirp 127               //配置射频1信号强度
#
return

检查结果

查看SSID信息

<AC>display vap ssid test
Info: This operation may take a few seconds, please wait.
WID : WLAN ID            
----------------------------------------------------------------------
AP ID AP name RfID WID  BSSID          Status  Auth type  STA   SSID
----------------------------------------------------------------------
0     ap1     0    1    00E0-FC95-1C60 ON      WPA2-PSK   1     test
0     ap1     1    1    00E0-FC95-1C70 ON      WPA2-PSK   0     test
----------------------------------------------------------------------
Total: 2

查看接入的设备信息

<AC>display station ssid test
Rf/WLAN: Radio ID/WLAN ID                                                     
Rx/Tx: link receive rate/link transmit rate(Mbps)                             
--------------------------------------------------------------------------------
---------
STA MAC          AP ID Ap name  Rf/WLAN  Band  Type  Rx/Tx      RSSI  VLAN  IP a
ddress               
--------------------------------------------------------------------------------
---------
5489-98b5-5156   0     ap1      0/1      2.4G  -     -/-        -     10    10.1
.10.132              
--------------------------------------------------------------------------------
---------
Total: 1 2.4G: 1 5G: 0

测试STA与Internet的连通性

STA>ping 1.1.1.1

Ping 1.1.1.1: 32 data bytes, Press Ctrl_C to break
From 1.1.1.1: bytes=32 seq=1 ttl=254 time=125 ms
From 1.1.1.1: bytes=32 seq=2 ttl=254 time=109 ms
From 1.1.1.1: bytes=32 seq=3 ttl=254 time=110 ms
From 1.1.1.1: bytes=32 seq=4 ttl=254 time=110 ms
From 1.1.1.1: bytes=32 seq=5 ttl=254 time=109 ms

--- 1.1.1.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 109/112/125 ms

wlan简易组网配置成功

配置举例：Wlan 2层隧道组网

需求：使用2层隧道组网使STA连接到wlan

数据规划
1 AP管理vlan 100，STA业务vlan 101
2 AC作为DHCP服务器为AP分配IP地址
3 汇聚交换机作为DHCP服务器为STA分配IP地址
4 AP的地址池 10.1.100.2---10.1.100.254
5 STA的地址池 10.1.101.2---10.1.100.254
6 域管理模板：名称default，国际码：中国
7 SSID模板：名称test，SSID名称：test
8 安全模板：名称：sec，安全策略：WPA-WPA2+PSK+AES，密码：qytang123
9 VAP模板：名称：vap1，转发模式：隧道转发，业务VLAN：VLAN101，调用SSID模板和安全模板

配置步骤
1 配置路由器子接口、交换机vlan、AC vlan。
2 配置AC管理vlan接口和地址、开启DHCP。
3 配置汇聚交换机上业务vlan的接口和地址、开启DHCP。
4 配置AC上的源接口为业务vlan接口。
5 配置AC上的SSID模板、安全模板、VAP模板（转发方式、绑定业务vlan、绑定SSID模板和安全模板）
6 配置AC上的域管理模板、AP组、AP加入到AP组、AP组绑定域管理模板，AP组下调用VAP模板到射频0和1

路由器R1配置

#
 sysname R1
#
interface GigabitEthernet0/0/0.101
 dot1q termination vid 101
 ip address 10.1.101.2 255.255.255.0 
 arp broadcast enable
#

接入交换机SW2配置

#
sysname SW2
#
vlan batch 100
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100
 port-isolate enable group 1
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100
#

汇聚交换机SW1配置

#
sysname SW1
#
vlan batch 100 to 101
#
dhcp enable
#
interface Vlanif101
 ip address 10.1.101.1 255.255.255.0
 dhcp select interface
 dhcp server excluded-ip-address 10.1.101.2
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 101
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 100 to 101
#

AC配置

#
 sysname AC
#
 vlan batch 100 to 101
#
dhcp enable
#
interface Vlanif100
 ip address 10.1.100.1 255.255.255.0
 dhcp select interface
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/7
 undo negotiation auto
 duplex half
#
interface GigabitEthernet0/0/8
 undo negotiation auto
 duplex half
#
capwap source interface vlanif100
#
wlan
 security-profile name sec
  security wpa-wpa2 psk pass-phrase %^%#kOtq0hXjJB'h$x%;4=uRR'3MFeW-cQTj]^49:qCD
%^%# aes
 ssid-profile name test
  ssid test
 vap-profile name vap1
  forward-mode tunnel
  service-vlan vlan-id 101
  ssid-profile test
  security-profile sec
 regulatory-domain-profile name default
 ap-group name group1
  radio 0
   vap-profile vap1 wlan 1
  radio 1
   vap-profile vap1 wlan 1
 ap-group name default
 ap-id 0 type-id 69 ap-mac 00e0-fc41-61a0 ap-sn 21023544831023249E08
  ap-name ap1
  ap-group group1
#

查看SSID的业务型VAP的相关信息

<AC>display vap ssid test
Info: This operation may take a few seconds, please wait.
WID : WLAN ID            
-------------------------------------------------------------------------
AP ID AP name RfID WID  BSSID          Status  Auth type     STA   SSID
-------------------------------------------------------------------------
0     ap1     0    1    00E0-FC41-61A0 ON      WPA/WPA2-PSK  1     test
0     ap1     1    1    00E0-FC41-61B0 ON      WPA/WPA2-PSK  0     test
-------------------------------------------------------------------------
Total: 2

查看SSID的STA接入信息

<AC>display station ssid test
Rf/WLAN: Radio ID/WLAN ID                                                     
Rx/Tx: link receive rate/link transmit rate(Mbps)                             
--------------------------------------------------------------------------------
----------
STA MAC          AP ID Ap name  Rf/WLAN  Band  Type  Rx/Tx      RSSI  VLAN  IP a
ddress                
--------------------------------------------------------------------------------
----------
5489-988a-0678   0     ap1      0/1      2.4G  -     -/-        -     101   10.1
.101.254              
--------------------------------------------------------------------------------
----------
Total: 1 2.4G: 1 5G: 0

PING测试STA到R1的连接

STA>ping 10.1.101.2

Ping 10.1.101.2: 32 data bytes, Press Ctrl_C to break
From 10.1.101.2: bytes=32 seq=1 ttl=255 time=187 ms
From 10.1.101.2: bytes=32 seq=2 ttl=255 time=188 ms
From 10.1.101.2: bytes=32 seq=3 ttl=255 time=187 ms
From 10.1.101.2: bytes=32 seq=4 ttl=255 time=203 ms
From 10.1.101.2: bytes=32 seq=5 ttl=255 time=172 ms

--- 10.1.101.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 172/187/203 ms

测试配置成功

配置举例：AC间三层漫游组网（模拟器未成功）

数据规划

管理VLAN
AP1：VLAN 100
AP2：VLAN 200

业务VLAN
AP1：VLAN 101
AP2：VLAN 102

DHCP服务器
AC1作为DHCP服务器，为AP1和STA分配IP地址
AC2作为DHCP服务器，为AP2和STA分配IP地址

管理VLAN地址池
AP1：10.1.100.2～10.1.100.254/24
AP2：10.1.200.2～10.1.200.254/24

业务VLAN地址池
10.1.101.2～10.1.101.254/24
10.1.102.2～10.1.102.254/24

AP组
AP1：group1 引用模板：VAP模板、域管理模板、2G射频模板、5G射频模板
AP2：group2 引用模板：VAP模板、域管理模板、2G射频模板、5G射频模板

域管理模板
名称：default  国家码：中国  调优信道集合：配置2.4G和5G调优带宽和调优信道

SSID模板
名称：test  SSID名称：test

安全模板
名称：sec  安全策略：WPA-WPA2+PSK+AES  密码：qytang123

VAP模板
AP1：名称：vap1  转发模式：直接转发  业务VLAN：VLAN101  引用模板：SSID模板、安全模板
AP2：名称：vap2  转发模式：直接转发  业务VLAN：VLAN102  引用模板：SSID模板、安全模板

空口扫描模板
名称：scan  探测信道集合：调优信道  空口扫描间隔时间：60000毫秒  空口扫描持续时间：60毫秒

2G射频模板
名称：radio2g  引用模板：空口扫描模板

5G射频模板
名称：radio5g  引用模板：空口扫描模板

漫游组
名称：mob  成员：AC1和AC2

R1配置

#
 sysname R1
#
interface GigabitEthernet0/0/0
 ip address 10.1.100.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 10.1.200.2 255.255.255.0 
#

SW1配置

#
sysname SW1
#
vlan batch 100 to 101
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100 to 101
#

SW2配置

#
sysname SW2
#
vlan batch 102 200
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 200
 port trunk allow-pass vlan 102 200
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 102 200
#

AC1配置

#
 sysname AC1
#
vlan batch 100 to 102
#
dhcp enable
#
interface Vlanif100
 ip address 10.1.100.1 255.255.255.0
 dhcp select interface
#
interface Vlanif101
 ip address 10.1.101.1 255.255.255.0
 dhcp select interface
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100
#
ip route-static 10.1.200.0 255.255.255.0 10.1.100.2
#
capwap source interface vlanif100
capwap dtls inter-controller control-link encrypt
capwap dtls inter-controller psk %^%#%,#5YH4HP(5(cr1qa<<OQ{}GI5ce%Z")tz%WlJ7C%^%
#
wlan
 calibrate enable schedule time 03:00:00
 security-profile name sec
  security wpa-wpa2 psk pass-phrase %^%#9/o3Io_dN:.E$<<37]NA^ZoeXf*%q>Vnsl(`5&SQ
%^%# aes
 ssid-profile name test
  ssid test
 vap-profile name vap1
  service-vlan vlan-id 101
  ssid-profile test
  security-profile sec
 regulatory-domain-profile name default
  dca-channel 2.4g channel-set 1,2,3,4,5,6,7
  dca-channel 5g channel-set 149,153,157,161
  dca-channel 5g bandwidth 80mhz
 air-scan-profile name scan
  scan-channel-set dca-channel
 radio-2g-profile name radio2g
  air-scan-profile scan
 radio-5g-profile name radio5g
  air-scan-profile scan
 mobility-group name mob
  member ip-address 10.1.100.1
  member ip-address 10.1.200.1
 ap-group name group1
  radio 0
   radio-2g-profile radio2g
   vap-profile vap1 wlan 1
  radio 1
   radio-5g-profile radio5g
   vap-profile vap1 wlan 1
 ap-id 0 type-id 69 ap-mac 00e0-fca0-3230 ap-sn 210235448310F25C9A19
  ap-name ap1
  ap-group group1
#

AC2配置

#
 sysname AC2
#
vlan batch 101 to 102 200
#
dhcp enable
#
interface Vlanif102
 ip address 10.1.102.1 255.255.255.0
 dhcp select interface
#
interface Vlanif200
 ip address 10.1.200.1 255.255.255.0
 dhcp select interface
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 102 200
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk pvid vlan 200
 port trunk allow-pass vlan 200
#
ip route-static 10.1.100.0 255.255.255.0 10.1.200.2
#
capwap source interface vlanif200
capwap dtls inter-controller control-link encrypt
capwap dtls inter-controller psk %^%#5qb15)P4YMRulo6H&0X)Pc%<'q\*MT6CG.X|_D\O%^%
#
wlan
 calibrate enable schedule time 03:00:00
 security-profile name sec
  security wpa-wpa2 psk pass-phrase %^%#x>'~'fVSZ-OK0Z'{h#\)r$inAh(QQIV[VyV8d1HW
%^%# aes
 ssid-profile name test
  ssid test
 ssid-profile name default
 vap-profile name vap2
  service-vlan vlan-id 102
  ssid-profile test
  security-profile sec
 regulatory-domain-profile name default
  dca-channel 2.4g channel-set 1,2,3,4,5,6,7
  dca-channel 5g channel-set 149,153,157,161
  dca-channel 5g bandwidth 80mhz
 air-scan-profile name scan
  scan-channel-set dca-channel
 radio-2g-profile name default
 radio-2g-profile name radio2g
  air-scan-profile scan
 radio-5g-profile name radio5g
  air-scan-profile scan
 mobility-group name mob
  member ip-address 10.1.100.1
  member ip-address 10.1.200.1
 ap-group name group2
  radio 0
   radio-2g-profile radio2g
   vap-profile vap2 wlan 1
  radio 1
   radio-5g-profile radio5g
   vap-profile vap2 wlan 1
 ap-id 0 type-id 69 ap-mac 00e0-fca7-3ae0 ap-sn 2102354483103912D426
  ap-name ap1
  ap-group group2
#