无线胖AP在VXLAN网络下如何配置?
- 0关注
- 0收藏,29浏览
问题描述:
这边是AD-compus的VXLAN的网络。
分为三个节点,Spine核心层,两个leaf节点,其他都是接入层
之前采用一款无线瘦AP+AC的模式,AP和AC的管理地址是192.202.64网段的,
PDA设备接入瘦AP基站后首先获取一个DHCP的地址,然后打开PDA(无线手持设备,)通过Byod认证,认证填入用户名密码通过后,
给无线配置一个楼层的IP地址就可以上网了。
每个楼层单独一个静态的IP地址段。
例如本测试楼层为192.202.191.0/24网段。
-----------------------------------------------------------
现在计划把单独一个楼层的AP改成胖AP模式,与其他楼层的AP不沟通。单独管理本层无线网络。
问题是胖AP的接入层access交换机上不知道如何配置。
应该配置什么VLAN
此外,AD-compus上规划192.202.191.1-2给胖AP的管理地址和AP的地址用。
192.202.191.3-10给测试设备用,
192.202.191.1-10均做IP-哑终端免认证设备。
请问接入层应该如何配置接入此胖AP的端口?
组网及组网描述:
在 AD-Campus VXLAN 网络中,将胖 AP 的接入交换机端口配置为 Trunk 模式,并放通所需的业务 VLAN 和管理 VLAN 即可。由于胖 AP 独立工作,它无需像瘦 AP 那样与控制器建立 CAPWAP 隧道,因此配置过程会更简单,本质上相当于配置一台接入交换机。以下是详细步骤和配置示例。
🏗️ 配置概述
结合你的网络架构和 IP 规划,配置的核心思路是:
管理流量:胖 AP 需要 IP 地址与管理平台通信。在你的规划中,
192.202.191.1/24是 AP 的管理 IP,192.202.191.2/24是预留地址。因此,需要创建一个专门的管理 VLAN(假设为 VLAN 10),用于承载 AP 的管理流量。业务流量:无线终端通过认证后,会获得一个
192.202.191.0/24网段的业务 IP。因此,需要创建一个业务 VLAN(假设为 VLAN 20),用于承载用户的上网流量。
胖 AP 的网络部署通常有两种模式,你可以根据规划选择:
桥接模式(Bridge Mode):AP 仅作为无线信号的收发器,客户端获取的 IP 地址由上层网络(接入交换机)负责分配。
NAT模式(Router Mode):AP 作为一台路由器,客户端连接 AP 后会获取到 AP 分配的私网 IP,再通过 NAT 转换后访问外网。
根据你的描述,用户通过认证后会从楼层 IP 地址段中获取 IP,因此你的网络更符合桥接模式。
📝 详细配置步骤
1. 在接入交换机上配置胖 AP 的接口
这是本次任务的核心。你需要登录胖 AP 所连接的接入交换机,并进入其接口视图进行配置。假设胖 AP 连接在交换机的 GigabitEthernet 1/0/1 端口。
PVID 的设置:这里将 PVID 设置为管理 VLAN(VLAN 10)。这意味着,胖 AP 发出的不带 VLAN 标签的管理报文,将被交换机划入 VLAN 10 中。同时,交换机也会将 VLAN 10 的报文去掉标签后发送给 AP。
VLAN 的放通:
port trunk permit vlan all命令会放通所有 VLAN 的流量。为了网络安全,建议将all替换为vlan 10 20等具体的 VLAN ID。交换机上行接口配置:确保交换机的上行接口(连接 Leaf 交换机的端口)也配置为 Trunk,并放通了管理 VLAN 和业务 VLAN,以保证这些 VLAN 的流量能够上行到 AD-Campus 网络。
2. 在胖 AP 上进行基本网络配置
完成交换机配置后,需要通过 Console 或 SSH 登录到胖 AP 进行配置,确保它能与网络正常通信。
(1)设置管理 IP 地址
胖 AP 的管理 IP 可以在其 VLAN 接口上进行配置,具体方式取决于你的规划:
使用静态 IP:直接为 AP 的 VLAN 接口配置一个你规划的 IP 地址。
[H3C] interface vlan-interface 1 [H3C-Vlan-interface1] ip address 192.202.191.1 24 [H3C-Vlan-interface1] quit<H3C> system-view- 使用 DHCP:如果网络中有 DHCP 服务器,也可以让 AP 自动获取 IP 地址。
(2)配置无线服务
创建无线服务模板,并指定业务 VLAN,这是实现无线终端地址分配的关键。
将上面创建的服务模板绑定到 AP 的射频接口(如 wlan-radio 1/0/1),才能发出 Wi-Fi 信号。
你的规划中,部分 IP(192.202.191.1-10)需要作为“哑终端免认证设备”。这通常可以在 AD-Campus 控制器上,将这些 IP 地址或对应的 MAC 地址加入白名单,并绑定到相应的安全组或策略中,以实现它们免认证接入网络。
✅ 验证与测试
完成以上配置后,你可以通过以下方法确认配置是否成功:
检查交换机接口状态:在交换机上执行
display interface gigabitethernet 1/0/1,确认端口Link状态为UP,Speed、Duplex等信息正确。检查 VLAN 放通状态:执行
display vlan 10或display vlan 20,确认交换机接口GigabitEthernet1/0/1已出现在对应 VLAN 的端口列表中。检查胖 AP 管理地址:在胖 AP 上执行
display ip interface brief,确认其管理 IP 地址已正确获取。测试无线网络:使用无线终端连接 Wi-Fi,检查是否能正常获取到
192.202.191.0/24网段的 IP 地址,并能成功访问网络。
---
#### 1. 胖AP关键配置
# 基础管理配置(同原瘦AP管理段)
vlan 100 //管理VLAN,按需修改
int vlan 100
ip add 192.202.64.x 24
ip route-static 0.0.0.0 0 192.202.64.254 //管理段网关
ntp-service enable
ntp-service unicast-server 【iMC/NTP服务器地址】 //和认证服务器时间同步
# 认证配置(和原AC上BYOD参数一致)
radius scheme BYOD
primary authentication 【iMC RADIUS地址】 1812
key authentication 【RADIUS共享密钥】
domain byod
authentication portal radius-scheme BYOD
portal web-server BYOD
url http://【iMC Portal地址】/portal
server-type imc
# 无线业务配置
wlan service-template 1
ssid 【原业务SSID】
vlan 200 //对应192.202.191.0/24的业务VLAN,按需修改
portal enable method direct
portal domain byod
portal web-server BYOD
service-template enable
# 绑定射频
int WLAN-Radio1/0/1 //2.4G射频
radio enable
service-template 1
int WLAN-Radio1/0/2 //5G射频
radio enable
service-template 1
---
#### 2. 接入Leaf对接配置
int g1/0/x //接胖AP的物理口
port link-type trunk
port trunk permit vlan 100 200 //放通管理+业务VLAN
原有Leaf上的VLAN-VNI绑定、VN实例、DHCP中继配置无需改动。
---
#### 验证命令
胖AP:dis wlan client看终端关联状态、dis radius statistics看认证报文交互
Leaf:dis vxlan mac-address看终端
暂无评论
胖 AP 在 ADCampus VXLAN 网络下的接入配置方案
一、核心需求与网络架构梳理
1. 现有架构
- 网络类型:ADCampus 标准 Spine-Leaf VXLAN 大二层网络
- 原无线方案:瘦 AP+AC,AP/AC 管理 VLAN 为
192.202.64.0/24,无线业务按楼层划分 VLAN(测试楼层192.202.191.0/24),通过 BYOD 认证后分配对应网段 IP - 新需求:17 楼单独改为胖 AP 独立管理,与其他楼层 AP 隔离,仅本层无线使用
- IP 规划:
- 胖 AP 管理 / 业务地址:
192.202.191.1-2(哑终端免认证) - 终端测试地址:
192.202.191.3-10(哑终端免认证) - 网段:
192.202.191.0/24,全段免认证
- 胖 AP 管理 / 业务地址:
2. 核心设计原则
- 胖 AP 独立自治:胖 AP 自身完成 DHCP、无线 SSID、认证(免认证),无需 AC 参与
- VXLAN 网络透传:接入交换机仅做二层透传,不改变胖 AP / 终端的 IP 网段,保证 ADCampus 免认证策略生效
- 楼层隔离:通过 VLAN 划分实现 17 楼网段与其他楼层完全隔离,不影响原有瘦 AP 网络
二、接入层交换机端口配置(H3C V7/V9 通用,直接复制可用)
1. 端口核心配置思路
VLAN 191,对应192.202.191.0/24),接入交换机端口配置为Access/Trunk 透传模式,仅允许该 VLAN 通过,实现:- 胖 AP 获取
192.202.191.1-2的管理 IP - 终端获取
192.202.191.3-10的业务 IP - 全段
192.202.191.0/24在 ADCampus 中配置为哑终端免认证,无需 BYOD 认证
2. 标准配置(推荐:Trunk 模式,兼容性最强)
# 1. 创建楼层业务VLAN(与原瘦AP楼层VLAN一致,复用原有网段)
vlan 191
name WLAN_17F_192.202.191.0/24
quit
# 2. 配置接入胖AP的端口(假设端口为G1/0/1)
interface GigabitEthernet 1/0/1
# 配置端口为Trunk模式,仅透传VLAN 191
port link-type trunk
port trunk permit vlan 191
# 关闭STP(胖AP环境避免环路,可选)
undo stp enable
# 配置端口为边缘端口(加速UP,可选)
stp edged-port enable
# 配置端口速率/双工(强制千兆全双工,避免协商问题)
speed 1000
duplex full
quit
# 3. (可选)配置VLAN 191的三层接口(若接入交换机做DHCP中继,胖AP用中心DHCP)
# interface Vlan-interface 191
# ip address 192.202.191.254 255.255.255.0
# dhcp server apply ip-pool WLAN_17F
# quit
3. 简化配置(Access 模式,适合纯胖 AP 独立场景)
vlan 191
name WLAN_17F_192.202.191.0/24
quit
interface GigabitEthernet 1/0/1
# 配置为Access口,划入VLAN 191
port link-type access
port access vlan 191
undo stp enable
stp edged-port enable
speed 1000
duplex full
quit
三、胖 AP 自身关键配置(必须同步完成)
1. 胖 AP 基础配置
# 1. 配置胖AP管理IP(使用规划的192.202.191.1/24)
interface WLAN-BSS 0
ip address 192.202.191.1 255.255.255.0
# 配置默认网关(指向ADCampus核心/Leaf的三层网关,保证AP能上网/管理)
ip route-static 0.0.0.0 0.0.0.0 192.202.191.254
# 2. 配置无线SSID(17楼专属SSID)
wlan service-template 1
ssid 17F-Test-WLAN
service-template enable
quit
# 3. 绑定无线接口与射频
interface WLAN-Radio 0/0
service-template 1
radio enable
quit
# 4. 配置胖AP内置DHCP服务器(给终端分配192.202.191.3-10)
dhcp server ip-pool WLAN_17F
network 192.202.191.0 mask 255.255.255.0
# 排除AP自身使用的1-2地址
excluded-ip-address 192.202.191.1 192.202.191.2
# 分配终端地址段3-10
dns-list 114.114.114.114 223.5.5.5
gateway-list 192.202.191.254
quit
# 5. 开启DHCP服务
dhcp enable
2. 免认证配置(ADCampus 侧同步)
- ADCampus 控制器:将
192.202.191.1-10添加到哑终端免认证 IP 列表,关闭该网段的 BYOD 认证 - 胖 AP 侧:关闭无线客户端认证(配置为开放网络 / PSK 预共享密钥,无需 802.1X 认证),保证终端连接后直接获取 IP 上网
四、VXLAN 网络适配与 ADCampus 配置要点
1. VXLAN 透传配置(Leaf 交换机侧,无需修改接入层)
VLAN 191的 VXLAN 实例,仅需保证:- Leaf 交换机上
VLAN 191已绑定 VXLAN 隧道,透传到 Spine 核心 - 接入交换机的 Trunk/Access 口仅透传
VLAN 191,不允许其他 VLAN 通过,实现楼层隔离
2. 胖 AP 与原有瘦 AP 网络隔离
- VLAN 隔离:17 楼胖 AP 使用
VLAN 191,其他楼层瘦 AP 使用各自 VLAN,通过 VLAN 天然隔离 - 广播隔离:胖 AP 内置 DHCP 仅为本楼层终端分配地址,不影响其他楼层
- 管理隔离:胖 AP 独立管理,与原有 AC / 瘦 AP 管理 VLAN
192.202.64.0/24完全隔离
3. 网关配置(两种方案二选一)
| 方案 | 配置位置 | 适用场景 |
|---|---|---|
| 胖 AP 做网关 | 胖 AP 上配置192.202.191.254,终端网关指向 AP | 纯独立测试场景,无需 ADCampus 参与 |
| 核心 / Leaf 做网关 | Leaf 交换机配置VLAN 191三层接口192.202.191.254,AP / 终端网关指向核心 | 复用原有 ADCampus 网关,统一管理路由 |
推荐方案:复用原有 Leaf 三层网关,胖 AP / 终端网关指向192.202.191.254,保证 ADCampus 路由、免认证策略统一生效。
五、常见问题与排障
1. 胖 AP 无法获取管理 IP
- 排查接入交换机端口 VLAN 配置是否正确,是否透传
VLAN 191 - 检查胖 AP 上行口是否为 Access/Trunk 模式,与交换机端口匹配
- 确认 ADCampus 中
VLAN 191的 DHCP 服务 / 地址池是否正常
2. 终端连接后无法上网
- 检查胖 AP 内置 DHCP 是否正常分配
192.202.191.3-10地址 - 确认终端网关是否正确指向核心 / 胖 AP
- 排查 ADCampus 免认证策略,
192.202.191.0/24是否已加入免认证列表
3. 胖 AP 与原有瘦 AP 网络冲突
- 确认胖 AP 使用的
VLAN 191与其他楼层 VLAN 完全独立,无重叠 - 检查接入交换机端口是否仅透传
VLAN 191,未透传其他 VLAN - 关闭胖 AP 的 AC 发现功能,避免自动注册到原有 AC
六、最终配置清单(一键落地)
1. 接入交换机(H3C)
# 1. 创建VLAN
vlan 191
name WLAN_17F_192.202.191.0/24
quit
# 2. 配置接入端口(Trunk模式)
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 191
undo stp enable
stp edged-port enable
speed 1000
duplex full
quit
2. 胖 AP(H3C WA 系列通用)
# 1. 基础配置
sysname AP_17F
dhcp enable
vlan 1
quit
# 2. 配置管理IP与网关
interface WLAN-BSS 0
ip address 192.202.191.1 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 192.202.191.254
# 3. 配置无线SSID
wlan service-template 1
ssid 17F-Test-WLAN
service-template enable
quit
interface WLAN-Radio 0/0
service-template 1
radio enable
quit
# 4. 配置内置DHCP
dhcp server ip-pool WLAN_17F
network 192.202.191.0 mask 255.255.255.0
excluded-ip-address 192.202.191.1 192.202.191.2
dns-list 114.114.114.114 223.5.5.5
gateway-list 192.202.191.254
quit
3. ADCampus 控制器
- 将
192.202.191.1-10添加到哑终端免认证 IP 组 - 确认
VLAN 191的 VXLAN 隧道、三层网关配置正常 - 关闭该网段的 BYOD 认证策略
七、补充说明
- 端口模式选择:若胖 AP 仅需单一 VLAN,Access 模式配置更简单;若后续需扩展多个 SSID/VLAN,推荐 Trunk 模式
- 安全加固:胖 AP 可配置 PSK 预共享密钥,避免未授权接入;ADCampus 侧可配置 ACL 限制
192.202.191.0/24的访问范围 - 兼容性:该方案完全兼容 ADCampus VXLAN 架构,无需修改原有 Spine-Leaf 核心配置,仅需调整接入层端口和胖 AP 配置
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论