华为AC旁挂二层组网配置详解：从DHCP部署到无线业务配置，完成网络搭建

组网需求

• AC组网方式：旁挂二层组网。

• DHCP部署方式：

  • AC作为DHCP服务器为AP分配IP地址。

  • 防火墙作为DHCP服务器为STA分配IP地址。

• 业务数据转发方式：直接转发。

网络拓扑图

对于旁边路直接转发，优点就是数据流量不经过AC，适合大型网络，用户数据到达AP后，不经过CAPWAP隧道封装，直接转发到上层网络设备，这样可以减少AC的负载。

然后再简简单单画个拓扑图：

当然了，旁挂模式，所有交换机AC配置清空，重新配置。

配置步骤

采用如下的思路进行WLAN配置：

第一步：配置二层交换机、POE交换机、AC控制器的基本配置。

第二步：检测AC的DHCP配置是否正常。

第三步：进入AC WEB界面进行基本参数配置。

第四步：AP上线配置。

第五步：检测AP是否可以正常上线？

第六步：配置无线业务。

第七步：检测无线信号是否配置正确，是否可以正常连接？

第八步：防火墙基本配置，DHCP配置，上网配置，检测无线网络是否可以正常上网？

详细步骤

第一步：配置二层交换机、POE交换机、AC控制器的基本配置。

首先配置二层交换机的三个接口，配置为不同的vlan，和trunk口。G1/0/22是连接到防火墙trust口。G1/0/23是连接AC控制器的G0/0/8口，G0/0/8口vlan10，vlanif10作为AC的源地址，隧道接口地址。G1/0/24是连接POE交换机的G0/0/24接口。

由于是直接转发，隧道创建需要vlan10通过 ，业务数据vlan20，通过AP直接转发到POE交换机，然后POE交换机再把vlan20业务数据，转发到这个二层交换机的G0/0/24口。

然后配置POE交换机配置，G1/0/1和G1/0/2是连接两个AP的，G1/0/24是上连二层交换机的。

再然后，就开始AC的基本配置了。首先，要配置G0/0/8为vlan10，然后配置vlanif10的IP地址，然后再配置DHCP，AC上的DHCP manage这个管理DHCP是为了AP自动获取的，用户IP地址不从AC上获取。用户IP地址，自动从防火墙上获取。

第二步：检测AC的DHCP配置是否正常

在AC上，我也把G0/0/7划分到vlan10，这样笔记电脑可以通过这个G0/0/7登录到AC web界面进行配置，而且还可以测试G0/0/7是否可以正常获取到vlan10网段的IP地址?

这时把，电脑连接到AC的G0/0/7

没有获取IP地址。

在AC上查看配置发现，vlanif10中没有启用全局DHCP调用，这时开启全局DHCP，发现报错：如果要开始全DHCP，请先开启DHCP功能。

然后使用dhcp enable开启。

然后再进入vlanif 10 使用dhcp select global。

这时可以查看到dhcp select global已配置完成。

然后，再把电脑连接到AC的G0/0/7口，发现可以正常获取到IP地址。

也可以正常打开AC的web界面了。

可以看到，现在没有任何的客户端，射频和AP。数量都是0。

可以看到，如果我们把两个AP连接到POE交换机，可以看到现在有两个华为的无线网信号，hw_manage_17a0和hw_manage_2fe0，这两个名字的后面的17a0和2fe0是两个AP的mac地址的后四位，这个我们后面可以验证。

第三步：进入AC WEB界面进行基本参数配置

1、在配置向导中，点击AC，然后进行AC基本配置，这里有几个主要的点，所在国家/地区，这个一定不要选错，如果选错，有可能没有无线信号出来，第二个就是时区，选择UTC+08:00，日期和时间，手动调整正确定。

2、配置端口，因为我们这次使用的是旁挂，所以只需要配置一个端口，将8口配置access，划分到vlan10即可。

3、网络互联配置，这里的vlanif10 Ip地址和DHCP manage都已经通过命令配置完成了。

4、AC备份配置，没有多余的AC，直接下一步。

5、AC源地址配置，这里一定要注意，我们使用的vlanif10 ip地址使用管理AP，为AP提供 vlan 10的IP地址，当AP获取到vlan10 管理vlan的IP地址之后，AP就和AC通过vlan10进行CAPWAP隧道创建，创建完成之后，AC就可以管理AP了，下发配置给AP了。需要注意的就 AC的源地址一定不要选错，选择vlanif10接口后，然后一定要点加号，然后再下一步。

6、配置确认，这里的确认，就是刚才我们上5步的配置，点击完成并继续AP上线配置。

到这里AC的基本配置就结束了。

第四步：AP上线配置

在配置向导中，找到AP上线，在这里进行AP注册到AC的基本配置。

1、AP上线，这里主要注意的就是AC的版本号，要和AP的大版本号在一起，AP才能注册到AC上，华为官方有对应的表。

AP认证方式，默认是MAC认证。

我们这里选择不认证，就是只要AP插入到这个网络后，只有AP和AC的版本兼容，AC的license够，AC就可以自动将AP注册上来了。

选择不认证，然后，确定。

确定完成。

AP上线不认证就配置完成了。

2、AP分组，点新建，可以新建另外一个组。

可以新建一个AP组。

新建完成之后，可以看到有两个AP组，可以将AP划分到不同的AP组，默认都是在default组。

3、配置确认，这时AP上线就配置完成了。

第五步：检测AP是否可以正常上线？

如果配置AP上线后，发现AP还是没有上线。那我们就得来查找原因。

1、先确定AP是否已常通电了，我们在笔记本中，查看无线网络时，已经看到两个AP的无线信号了，那说明无线AP已经通电了。

2、确定一个AP上线，认证方式，不认证没有问题。

3、需要确定AP是否能获取到IP地址？

将电脑连接到POE交换机的1口或者2口。发现网口一直正在识别。

无法正常获取IP地址。

查看POE交换机的接口配置，可以看到配置如下所示：

由于这G1/0/1和G1/0/2接口，是连接AP的，要给AP下发IP地址，但是这两个接口又是trunk接口，AP连接到trunk接口能获取到IP地址吗？

当然可以的，我们都知道，一般trunk口是连接两个互联的设备的，但是trunk连接AP就是比较特殊，所以我们需要在trunk口上配置了一个pvid vlan10，这样AP连接到这个trunk口之后，就可以获取到native vlan10的IP地址了。

我们来配置了一下，在G1/0/1和G1/0/2接口都配置pvid vlan10。

pvid已经配置完成。

我们再测试电脑连接到poe交换机1号口，是否可以获取vlan10的Ip地址？

发现还是无法从AC上获取IP地址，检查普通二层交换机，G1/0/22连接的是防火墙的G1/0/4 trust接口，划分到vlan20，没有问题。G1/0/23连接的是AC的G0/0/8口配置的vlan10没有问题。G1/0/24连接POE交换机的G1/0/24是trunk口允许vlan10和vlan20通过也没有任何问题。

那问题出哪了呢？

我先在二层交换机上，将G1/0/10，划分到vlan10，将电脑连接到二层交换机上，查看一下是否可以从AC获取 vlan10 IP地址？

将电脑连接到普通二层交换机的G1/0/10口后，可以发现，可以从AC的DHCP中获取到vlan10的IP地址。

后来查找原因，发现POE交换机的G1/0/24口和普通的二层交换机的G1/0/24口，之间的网线没连。（兄弟们，和大家说一下，无论做任何实验，建议兄弟们一定要用真机去练习，因为只有真机，才真正能锻炼你的排错能力。）

然后连接好互联线，这时电脑接入POE交换机的1口，发现可以正常获取到IP地址了。

然后，再次登录AC控制器，可以看到，现在已经有一个AP上线了。

查看一下，这个AP的MAC地址，发现正好和我们之前搜索出来的，无线信号的后四位的字母一样。

再把另外一个AP接入上来，这个AP的mac地址后四位，也是和另外一个无线信号的后四位一样。

后接入的这个AP正在注册配置。

当AP的状态是normal正常的情况，那这时说明AP已经注册完成了。

如果AP也能获取到IP地址，还是注册不到AC上，这时就要确定AC的license是否已导入，如果没有导入license，默认是0个AP可以被注册到AC上。

第六：配置无线业务。

还是在配置向导中，找到无线业务，在SSID列表中，点击新建。

1、基本信息，这里的基本信息，就包含了SSID无线名称，就是无线网信号的名字，我们合适jidaoge-wifi，这个名称，可以按你们公司名称来起，这个名称最好是英文，如果是中文，有些系统会显示乱码。业务vlan，因为我们个人数据是通过vlan20上网的，所以这里选择个vlan,业务vlan ID是20。也就是jidaoge-wifi，这个无线，只要通过jidaoge-wifi接入的设备，都是默认接入到vlan20的。

这个和有线网接口一样，如果一个交换机G0/0/20口配置在vlan20的，然后G0/0/20下面接了一下傻瓜交换机，只要有线连接到这个傻瓜交换机的电脑，也都是获取到地vlan20的IP地址。

转发模式，我们还是选择直接转发，业务数据，也是就手机电脑连接到这个jidaoge-wifi这个无线信号的上网数据，直接通过AP转发到POE交换机G1/0/1和G1/0/2两个接口，然后数据再通过POE交换机的G1/0/24转发到二层普通交换机的G1/0/24，然后由二层普通交换机的G1/0/22转发到防火墙的G0/0/4接口。然后再转发出去。

2、安全认证，就选择密钥认证，就是连接一个无线网，需要输入密码，密钥设置为12345678。当然了，如果公司，为了蹭网，肯定要设置复杂一些，而且要定期更改无线网密码。

3、这里，我们还是选择默认default组，因为两个AP还是在默认组中的，我没有把这个两个AP迁移到AP-group1中。

选择default组，点击完成。

第七：检测无线信号是否配置正确，是否可以正常连接？

打开笔记本的无线网，查看刚才配置的无线信号是否正常通过射频发送出来了，可以看到jidaoge-wifi可以正常通搜索到。

然后，点击连接，输入密码。

jidaoge-wifi这个无线信号，的确可以正常连接，但是发现这个信号，没有办法正常获取到Ip地址。

那该如何解决呢？

我们规划的时候，jidaoge-wifi属于业务vlan20，那vlan20的DHCP服务器在哪呢？是在防火墙上，原来防火墙我们还没有配置，现在开始来配置防火墙。

第八步：防火墙基本配置，DHCP配置，上网配置。

配置防火墙DHCP服务，防火墙上网配置就不多讲了。防火寺上网配置可以参考：为什么建议新手调试华为防火墙，先使用WEB快速向导配置，真的不要太简单！

防火墙G0/0/4配置及dhcp配置。

配置DHCP。

配置完成之后，首先将电脑连接到防火墙G0/0/4确定可以正常获192.168.20.0网段Ip地址，而且可以正常上网，说明防火墙配置完成。

然后再把防火墙g0/0/4口连接到二层交换机的G0/0/22。连接之后，再次测试无线网，发现无线网还是拿不到IP地址。

然后再到POE交换机上测试，电脑连接到到POE交换机的G1/0/3，把POE交换机上的G1/0/3接口划分到vlan20，查看一下电脑是否可以拿到vlan20地址。

在配置的时候，发现POE交换机，居然还没有配置vlan20。

为什么POE交换机必须要配置vlan20呢？因为无线是直接转发，用户数据在vlan20中，vlan20数据要从POE交换机的vlan20才能转发出去，如果POE交换机都没有vlan20，那数据到POE交换机，肯定没有办法走，因为你交换机上都没有vlan20。

配置vlan20。

配置完成之后，这时jidaoge-wifi，就正常了，也可以正常上网了。

也可以正常获取到vlan20的IP地址了。

我们再来看一下POE交换机中的vlan和二层交换机中的vlan。

POE交换机中的vlan配置。

二层交换机中的vlan配置。

真实的环境设备连线图。

转载：华为AC旁挂二层组网配置详解：从DHCP部署到无线业务配置，一步步教你完成网络搭建。