项目6-任务1 直连二层WLAN的配置与调试

任务1直连二层VLAN的配置与调试——项目6无线网络技术的配置与调试“网络设备安装与调试”教学资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述1

为了完成“WLAN无线组网的配置与调试”任务，小王需要使用一台出口网关、一台AC（AccessController，接入控制器）和一台AP（AccessPoint，无线接入点）组建一个简单的小型无线网络，并完成出口网关、AC和AP的基本配置，实现无线局域网中的主机之间能互相访问，以及无线局域网中的主机能访问外网信息（模拟）。配置直连二层WLAN的网络拓扑图如图1-1所示。任务详细描述任务描述1网络拓扑图2任务分析PART任务分析2

根据图1-1拓扑，需将AC作为核心无线控制器、AR作为出口网关，AP直连AC组建直连二层WLAN；规划VLAN99为AP管理VLAN、VLAN10为无线业务VLAN，AC与AP互联口设为Trunk、AC与AR互联口设为Access；由AC充当DHCP服务器为AP与无线终端分配地址，配置CAPWAP隧道、WLAN业务模板及静态路由。实现流程为：先完成AC基础VLAN、IP、DHCP与端口配置，再进行AP上线注册与WLAN模板下发，最后配置三层互联并测试无线接入与外网连通性。步骤提示3知识准备PART知识准备——1.无线网络基本概念3（1）什么是WLAN？定义：WLAN（WirelessLocalAreaNetwork）即无线局域网，它利用无线电波作为传输介质，替代传统的有线网线，实现计算机设备之间的无线互联。核心优势：移动性：用户可以在网络覆盖范围内自由移动，保持网络连接。灵活性：不受网线接口位置的限制，随时随地接入网络。易部署：减少了大量的布线工作，安装快捷，成本较低。易扩展：增加新用户或扩展覆盖范围非常方便。知识内容知识准备——2.WLAN关键术语3（1）

STA(Station)：即无线工作站，指所有能够接入无线网络的终端设备，如我们日常使用的手机、笔记本电脑、平板电脑等。（2）SSID(ServiceSetIdentifier)：即服务集标识符，通俗地讲就是我们在手机或电脑上看到的Wi-Fi名称。它用来区分不同的无线网络，用户通过选择不同的SSID来接入相应的网络。（3）AP(AccessPoint)：即无线接入点，是无线网络的核心设备之一，负责发射Wi-Fi信号，为STA提供接入服务。知识内容知识准备——2.WLAN关键术语3（1）

STA(Station)：即无线工作站，指所有能够接入无线网络的终端设备，如我们日常使用的手机、笔记本电脑、平板电脑等。（2）SSID(ServiceSetIdentifier)：即服务集标识符，通俗地讲就是我们在手机或电脑上看到的Wi-Fi名称。它用来区分不同的无线网络，用户通过选择不同的SSID来接入相应的网络。（3）AP(AccessPoint)：即无线接入点，是无线网络的核心设备之一，负责发射Wi-Fi信号，为STA提供接入服务。知识内容知识准备——3.无线信号的两个主要频段3（1）2.4GHz频段：优点：覆盖范围广，穿墙能力强，传播距离远。缺点：可用信道少，容易受到微波炉、蓝牙设备等干扰，速率相对较低。（2）5GHz频段：优点：可用信道多，干扰少，网络更稳定，支持更高的传输速率。缺点：覆盖范围和穿墙能力相对较弱。知识内容知识准备——4.无线网络核心设备3（1）AC1）角色定位：WLAN网络的“大脑”和“指挥官”。2）核心功能：

集中管理：统一管理网络中所有的AP设备。

配置下发：向AP下发各种配置，如SSID、安全策略、信道、功率等。

用户认证：对接入的用户进行身份验证。

状态监控：实时监控AP的运行状态和用户连接信息。知识内容知识准备——4.无线网络核心设备3（2）AP1）角色定位：WLAN网络的“末梢神经”和“执行者”。2）核心功能：

信号收发：负责发射和接收无线射频信号。

用户接入：为STA提供无线接入接口。

数据转发：将STA的数据转发到有线网络。知识内容知识准备——4.无线网络核心设备3（2）AP1）角色定位：WLAN网络的“末梢神经”和“执行者”。2）核心功能：

信号收发：负责发射和接收无线射频信号。

用户接入：为STA提供无线接入接口。

数据转发：将STA的数据转发到有线网络。知识内容知识准备——5.WLAN二层组网3（1）拓扑结构：AP通过二层交换机直接连接到AC上。（2）适用场景：小型网络环境，如教室、小型办公室、咖啡馆等。（3）核心特点：

配置简单：无需配置复杂的三层网络，AC和AP在同一个广播域内即可通信。

成本较低：无需额外的三层交换机或路由器。

二层通信：AP通过二层广播发现AC并建立CAPWAP隧道。知识内容知识准备——6.转发模式3（1）直接转发1）数据路径：无线用户（STA）产生的业务数据，由AP直接转发到上层网络（如交换机），不再经过AC。2）核心特点：

转发效率高：数据路径短，减少了AC的处理压力。

配置简单：适合二层组网场景。

故障域小：单个AP的故障不会影响其他AP的数据转发。知识内容知识准备——6.转发模式3（2）隧道转发模式1）数据路径：无线用户（STA）产生的业务数据，首先由AP进行CAPWAP协议封装，然后通过CAPWAP隧道发送到AC，最后由AC解封装并转发到上层网络。2）核心特点：

安全性高：所有用户数据都经过AC转发，便于AC进行统一的安全策略控制和审计。

集中管控：AC可以对所有用户的流量进行监控、过滤和管理。知识内容知识准备——6.转发模式3（2）隧道转发模式2）核心特点：

支持三层漫游：由于数据都汇聚到AC，用户在不同AP间移动时，可以实现无缝的三层漫游。

可靠性强：AC可以实现对用户流量的备份和负载均衡。知识内容知识准备——6.转发模式3（2）隧道转发模式3）优缺点：

优点：安全性高，便于集中管理和策略实施，支持复杂的漫游场景。

缺点：对AC的性能要求较高，所有数据都需经过AC转发，可能成为

网络瓶颈；配置相对复杂。

适用场景：中大型企业网络、对安全性和集中管控要求高的场景。知识内容知识准备——7.AP上线方式-MAC地址认证3（1）MAC地址认证1）为什么需要认证？

为了防止未经授权的AP接入网络，保障无线网络的安全。只有经过AC认证授权的AP才能上线并提供服务。知识内容知识准备——7.AP上线方式-MAC地址认证3（2）MAC地址认证流程1）获取AP的MAC地址：在eNSP中，点击AP设备图标，在弹出的设备信息中找到其MAC地址。2）在AC上配置认证：登录AC的命令行界面，进入WLAN视图，将获取到的APMAC地址手动添加到AC的授权列表中。知识内容知识准备——7.AP上线方式-MAC地址认证3（2）MAC地址认证流程3）AP自动发现与注册：AP启动后，会通过DHCP获取IP地址，并通过广播或组播方式发现AC。4）建立CAPWAP隧道：AC验证AP的MAC地址合法后，与AP建立CAPWAP隧道，并下发配置。5）AP上线成功：AP状态变为“normal”，表示上线成功，可以开始提供无线服务。知识内容知识准备——7.AP上线方式-MAC地址认证3（3）配置命令示例wlanapauth-modemac-authap-id0ap-mac00e0-fc1c-6110ap-groupap-group1知识内容知识准备——7.AP上线方式-SN认证（序列号认证）3（1）原理：与MAC地址认证类似，但验证的是AP的序列号（SerialNumber）。SN号通常印刷在AP设备的标签上。（2）优点：SN号是全球唯一的，且不易被伪造，安全性较高；便于资产管理和追踪。（3）缺点：SN号通常较长，手动输入容易出错。知识内容知识准备——7.AP上线方式-SN认证（序列号认证）3（4）适用场景：企业批量部署AP时，便于统一管理和资产登记。（5）配置命令示例wlanapauth-modesn-authap-id0ap-sn210235419610CB000028ap-groupap-group1知识内容知识准备——7.AP上线方式-免认证（即插即用））3（1）原理：关闭AC上的AP认证功能，允许任何AP接入网络并自动上线。（2）优点：配置极其简单，AP即插即用，无需任何手动授权。（3）缺点：安全性极低！任何拿到AP的人都可以接入网络，存在重大安全隐患。知识内容知识准备——7.AP上线方式-免认证（即插即用）3（4）适用场景：仅适用于实验室、教学演示、测试环境或对安全性无要求的临时网络。严禁在生产环境中使用！（5）配置命令示例：wlanapauth-modeno-auth知识内容知识准备——8.关键配置命令3（1）基础网络配置#进入系统视图system-viewsysnameAC//修改设备名称为AC#创建VLANvlanbatch1099//批量创建VLAN10（业务VLAN）和VLAN99（管理VLAN）知识内容知识准备——8.关键配置命令3（1）基础网络配置#配置AC的管理IP地址interfaceVlanif99//进入VLAN99的三层接口ipaddress172.16.99.1255.255.255.0//配置IP地址和子网掩码#配置CAPWAP源接口capwapsourceinterfaceVlanif99//指定AC与AP建立CAPWAP隧道的源接口，必须是三层接口，通常使用管理VLAN的接口知识内容知识准备——8.关键配置命令3（2）WLAN核心配置#进入WLAN视图wlan#配置国家码（必须配置）regulatory-domain-profilenamedefault//进入默认的域管理模板country-codecn//设置国家码为中国，这会影响信道和功率的合规性知识内容知识准备——8.关键配置命令3（2）WLAN核心配置#创建AP组并加入APap-groupnameap-group1//创建名为ap-group1的AP组apauth-modemac-auth//设置AP认证模式为MAC地址认证ap-id0ap-mac00e0-fc1c-6110ap-groupap-group1//将MAC地址为00e0-fc1c-6110的AP加入ap-group1组，ap-id为0知识内容知识准备——8.关键配置命令3（2）WLAN核心配置#创建安全模板security-profilenamewlan-net//创建名为wlan-net的安全模板securitywpa-wpa2pskpass-phraseabcd1234aes//设置安全策略为WPA-WPA2加密，使用预共享密钥（PSK），密码为abcd1234，加密算法为AES知识内容知识准备——8.关键配置命令3（2）WLAN核心配置#创建SSID模板ssid-profilenamewlan-net//创建名为wlan-net的SSID模板ssidwlan-net//设置无线网络名称（SSID）为wlan-net知识内容知识准备——8.关键配置命令3（2）WLAN核心配置#创建VAP模板（核心）vap-profilenamewlan-net//创建名为wlan-net的VAP模板forward-modedirect-forward//设置转发模式为直接转发service-vlanvlan-id10//指定无线用户所属的业务VLAN为10security-profilewlan-net//绑定安全模板ssid-profilewlan-net//绑定SSID模板知识内容知识准备——8.关键配置命令3（2）WLAN核心配置#将VAP模板下发到AP组ap-groupnameap-group1//进入ap-group1组视图vap-profilewlan-netwlan1radio0//将VAP模板wlan-net绑定到该组所有AP的射频0（通常是2.4GHz）vap-profilewlan-netwlan1radio1//将VAP模板wlan-net绑定到该组所有AP的射频1（通常是5GHz）知识内容知识准备——8.关键配置命令3（3）验证与排错常用命令1）displayapall：查看所有AP的状态，正常状态应为“normal”。2）displayipinterfacebrief：查看所有接口的IP地址和状态。3）displayvap-profileall：查看所有VAP模板的配置。4）displaysecurity-profileall：查看所有安全模板的配置。5）displayssid-profileall：查看所有SSID模板的配置。知识内容4任务实施PART任务实施4阶段一：前期准备目标：构建实验环境。核心任务：搭建拓扑：在eNSP中拖入设备并连接。命名设备：为AR和AC配置有意义的名称。操作流程任务实施4阶段二：有线基础配置目标：打通AC与AR的三层连接，并为AP和终端准备好IP地址。核心任务：VLAN与IP：在AC上创建管理和业务VLAN，并配置对应的VLANIF接口IP。接口模式：AC连接AP的口设为Trunk，连接AR的口设为Access。DHCP服务：在AC上开启DHCP，为AP和无线用户分配地址。静态路由：在AC和AR上配置静态路由，确保全网互通。操作流程任务实施4阶段三：无线核心配置（重点）目标：让AP上线并提供无线服务。核心任务：AC基础：进入W