网络合并与架构优化：TP-Link 路由器“旁挂模式”踩坑实录

shot_gan

已于 2025-04-18 19:36:18 修改

阅读量997

点赞数 11

分类专栏：网络文章标签：网络架构

于 2025-04-18 11:30:20 首次发布

本文链接：https://blog.csdn.net/shot_gan/article/details/147324152

版权

网络专栏收录该内容

1 篇文章

订阅专栏

文章目录

本次网络改造项目，是 C 公司与 Y 公司办公网络的整合。通过保留现有设备并重新设计网络架构，成功实现了既降低成本又满足业务需求的升级方案。下面，我将分享我们在实践过程中采用 TP-Link TL-ER3229G 路由器“旁挂模式”时遇到的问题及相应解决措施，希望能为有类似需求的朋友提供有益借鉴。

一、项目背景与网络环境

为实现网络整合，项目将 C 公司的机房作为统一出口，而 Y 公司则由 C 公司的出口来访外。在此过程中，我们对原有部署策略进行优化：原本位于 C 公司、负责路由与无线控制的 TP-Link TL-ER3229G，被迁移至 Y 公司一处独立办公室并调整为“旁挂模式”。在此模式下，该设备关闭了路由功能，仅保留无线控制（AC）功能，并接入到新部署的核心交换系统。如此一来，不仅兼容了多 VLAN 的新架构，还在成本上避免了重复采购无线控制器的支出。

改造前后网络拓扑示例如下：

改造前网络拓扑	改造后网络拓扑

改造前，TL-ER3229G 除了路由功能，还承担 AP 管理和 DHCP 分配任务；而改造后，核心交换机（华为 S5720s）成为了主要的 DHCP 分发及网络管理中心，TL-ER3229G 则专注于无线控制，与通过 POE 供电的 TL-XAP3020GC AP 整合到多 VLAN 架构之中。

二、改造过程中遇到的问题与解决方案

在网络重构过程中，我们遇到了一些意料之外的技术细节问题。下面详细记录每个坑及我们的解决方案。

坑1：AC无法发现下联AP

问题描述：

在将 TL-ER3229G 切换到无线控制器模式后，发现设备无法识别接入的 4 台 AP。使用 TL-ER3229G 内部的 DHCP 功能时，虽然 AP 能被发现，但这与核心交换机 S5720s 上已有的 DHCP 服务产生了冲突。

原因分析：

TP-Link AP 需要通过 DHCP 获取 IP 地址，并借助 DHCP 的 Option 字段获得 AC 控制器的地址信息。当 AP 实际连接到核心交换机上时，若 DHCP 服务未配置正确的 Option（主要是 Option 60 和 Option 138），AP 就无法识别控制器。

TP-Link 官方文档《AC控制器跨Internet控制局域网AP》中指出：在非直接连接的网络中，必须通过 Option 60 和 Option 138 告知 AP 控制器类型和 IP 地址。

解决方案：

在 S5720s 上配置专用地址池，并对每台 AP 进行静态绑定，同时设置正确的 DHCP Option 参数。示例如下：

## 地址池配置
ip pool AP_Static_Pool_TP
 gateway-list 10.16.11.254
 network 10.16.11.0 mask 255.255.255.0
 # 设置排除地址，只保留分配给4台AP的地址段
 excluded-ip-address 10.16.11.1 10.16.11.222
 excluded-ip-address 10.16.11.227 10.16.11.253
 # 将规划给AP的地址绑定到对应的MAC地址
 static-bind ip-address 10.16.11.223 mac-address 7860-XXXX-XXXX
 static-bind ip-address 10.16.11.224 mac-address 3C6A-XXXX-XXXX
 static-bind ip-address 10.16.11.225 mac-address EC60-XXXX-XXXX
 static-bind ip-address 10.16.11.226 mac-address 7860-XXXX-XXXX
#
# 在地址池中配置Option 60，标识AP类型
option 60 ascii "TP-LINK"
# 在地址池中配置Option 138，指向ER3229G的IP
option 138 ip-address 10.16.11.222
#
#
## VLAN接口配置
interface Vlanif1
 ip address 10.16.11.254 255.255.255.0
 dhcp select global
quit
#

经验总结：

关键在于 DHCP Option 的正确配置，确保 AP 能在获取 IP 时获得控制器的地址信息。
对 AP MAC 地址进行静态绑定，不仅提升了管理的可控性，也避免了地址误分配。
调试时可临时启用 TL-ER3229G 的 DHCP 以验证配置，但正式环境中应回归核心交换机管理。

坑 2：终端连接无线后无法获取员工网段 IP

问题描述：

终端连接 Wi-Fi 后，无法从核心交换机的 DHCP 获取员工无线网段（VLAN 3）的 IP 地址。若手动设置该网段 IP，则可正常上网。

原因分析：

问题根源在于 VLAN 3 的 VLAN ID 未正确传递至 AP 端口，导致终端的 DHCP 广播未能进入正确 VLAN。同时，通过直连测试发现，部分交换机（如 S5024P）并未显式声明 VLAN 3，虽然 trunk 口允许所有 VLAN 通过，但缺少声明会导致数据包被丢弃。

解决方案：

在涉及 VLAN 传递的各级交换设备中，显式添加 VLAN 3 并确保 trunk 口允许其通过。配置示例如下：

vlan 3

经验总结：

VLAN 配置必须在全链路中明确声明，不能依赖默认“允许所有 VLAN”。
采用直连测试（通过修改端口 PVID）有助于迅速定位问题所在。

坑3：设置Radius认证的方式失效

问题描述：

为提升无线网络安全性，我们尝试在 TL-ER3229G 控制的 SSID 中启用基于 802.1x 的 Radius 认证。但客户端即便输入正确的认证信息，依旧提示“无法加入此网络”。

原因分析：

与 TP-Link 客服确认后得知，TL-ER3229G 在“旁挂模式”下作为无线控制器时，不支持 802.1x 认证。只有当设备作为主路由器运行时，此功能才可用。客服建议，如果一定要用 Radius 认证，需采购 TP-Link 的专用无线控制器（比如 TL-AC100），这类设备才支持这种认证方式。

客服回复路由旁挂不支持802.1x协议

解决方案：

鉴于预算有限，我们暂时关闭 Radius 认证，将无线安全方式调整为普通的 WPA2-PSK 密码认证。

经验总结：

及时与厂商确认设备功能细节非常关键，以免在项目部署过程中因设备限制带来不必要的变更。
在规划无线安全方案时，应充分考虑设备的实际支持功能，合理评估方案。

坑4：其他网段访问不到这台AC控制器的地址

问题描述：

设置 TL-ER3229G 的 LAN 口 IP 为 10.16.11.222 后，直连笔记本能够访问控制界面，但其他 VLAN 内的终端无法 ping 通该地址，尽管它们能正常 ping 通接入的 AP。

原因分析：

AP 之所以能 ping 通，是因为其通过 DHCP 获取了网关地址，具备完整的网络路由信息；而 TL-ER3229G 在作为 AC 使用时，其 LAN 口并未配置默认网关，无法主动响应来自其他网段的数据包。

路由器Lan口无网关配置

解决方案：

在核心交换设备上手动添加一条静态路由，确保访问 TL-ER3229G 的数据包能正确返回源网段。示例如下图：

设置静态路由

经验总结：

跨网段通讯问题常因设备无网关配置导致，通过添加静态路由可以有效解决。
在构建网络时，全面考虑设备间的回程路由需求，是确保互联互通的重要一环。

三、结语

通过本次网络合并与架构优化项目，我们不仅完成了两家公司网络资源的整合，还积累了宝贵的实战经验。从 DHCP Option 与 VLAN 全链路配置，到设备功能与回程路由问题，每一个难题都让我们对网络规划有了更深刻的认识。我们希望这篇文章能给大家在类似项目中提供一点帮助，让大家少走一些弯路，提高工作效率。