项目6-任务2 AC+AP旁挂式三层组网的配置与调试

任务2AC+AP旁挂式三层组网的配置与调试——项目6无线网络技术的配置与调试“网络设备安装与调试”教学资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述1

宏宏互联网络有限公司需要在原有网络上增加部署WLAN，以满足员工办公的需要。由于原来的有线网络比较复杂，因此为了提高无线网络部署的灵活性，网络管理员小王决定采用AC+AP旁挂式三层组网方案。配置AC+AP旁挂式三层组网的网络拓扑图如图1-1所示。任务详细描述任务描述1网络拓扑图2任务分析PART任务分析2

根据图1-1拓扑，需采用AC+AP旁挂式三层组网、直接转发模式，将AC旁挂于三层交换机L3SW，L2SW为接入层交换机，规划VLAN99、VLAN100为AP管理VLAN，VLAN101、VLAN102为STA业务VLAN；AC作为DHCP服务器为AP与STA分配地址，L3SW配置DHCP中继并实现三层路由，RA配置子接口对接业务网段，交换机间与AP接入链路均配置为Trunk并放行对应VLAN。实现流程为：先完成各设备基础VLAN、接口与IP配置，再配置DHCP服务与RIPv2路由实现全网三层互通，接着配置AC的WLAN模板、AP上线与双SSID业务，最后下发配置至AP并验证终端接入与全网连通性。步骤提示3知识准备PART知识准备——1.AC+AP旁挂式三层组网3

旁挂式组网是将AC旁挂在三层交换机，不串联在业务流量路径中，AC仅负责AP管理、配置下发、状态监控，无线数据采用直接转发，不经过AC封装。优点是部署灵活、不影响原有有线网络、故障影响小，适合在现有网络上扩容WLAN。知识内容知识准备——2.CAPWAP隧道技术3

（1）CAPWAP隧道技术CAPWAP（ControlAndProvisioningofWirelessAccessPoints）是AC与AP之间的标准管理隧道协议，用于实现AP的集中管理、配置下发、状态监控与射频控制。CAPWAP隧道分为控制隧道和数据隧道，在旁挂式三层组网中通常只使用控制隧道。知识内容知识准备——2.CAPWAP隧道技术3

（2）AP三层发现与AC建立隧道过程

在三层网络环境中，AP与AC不在同一网段，无法通过广播自动发现AC。AP先通过DHCP获取管理IP，并从Option43字段中获取AC的IP地址，然后主动向AC发起CAPWAP隧道建立请求。AC验证AP合法性后，双方完成握手，建立稳定的控制隧道。此后AC可通过这条隧道对AP进行上线注册、配置下发、状态上报、射频管理，实现跨三层网段的统一无线管控。知识内容知识准备——3.DHCP3

（1）DHCP简介DHCP（动态主机配置协议）自动为设备分配IP地址、子网掩码、网关、DNS，避免手动配置错误，提升部署效率。本次AC作为DHCP服务器，为AP和STA分配地址。知识内容知识准备——3.DHCP3

（2）DHCP中继

跨网段时，DHCP广播报文无法直接到达服务器，需在三层交换机配置DHCP中继，将AP与STA的DHCP请求转发到AC。（3）Option43Option43是DHCP扩展字段，用于三层网络中AP自动发现AC。AP获取地址时从Option43中读取AC地址，主动发起CAPWAP隧道建立，是AP跨网段上线的必备配置。知识内容知识准备——4.WLAN认证与安全技术3

（1）

开放认证

无密码、无加密，任何人可连接，仅用于测试环境，不推荐企业使用。

（2）共享密钥认证

简单密码认证，安全性低，易被破解，逐步被淘汰。

（3）802.1X认证

企业级高安全认证，结合RADIUS服务器，需账号密码，适合办公区、园区网。知识内容知识准备——4.WLAN认证与安全技术3

（4）WPA/WPA2-PSK

企业主流安全方案：WPA/WPA2：安全协议标准，兼容性强。PSK：预共享密钥，输入密码即可接入。AES：高级加密标准，保障数据传输安全知识内容知识准备——5.WLAN高级安全与接入技术3（1）SSID隐藏（禁用SSID广播）AP不对外广播Wi‑Fi名称，用户需手动输入SSID才能连接，提升私密性，防止非法扫描。（2）黑白名单

白名单：仅名单内MAC可接入，适合内部固定设备。

黑名单：禁止名单内MAC接入，用于屏蔽非法终端、攻击设备。知识内容4任务实施PART任务实施4阶段一：基础组网搭建目标：完成设备互联与VLAN规划。核心任务：在eNSP搭建拓扑并正确连线；创建管理VLAN99/100、业务VLAN101/102；所有互联口配置为Trunk并放行对应VLAN。操作流程任务实施4阶段二：三层互通配置目标：实现全网跨网段通信。核心任务：配置各设备VLANIF网关地址；L3SW开启DHCP中继；AC配置DHCP地址池；全网部署RIPv2实现路由互通。操作流程任务实施4阶段三：AC管理配置目标：让AP跨三层正常上线。核心任务：AC配置CAPWAP源接口；添加APMAC地址并加入AP组；配置域管理模板与国家码，确保AP注册上线。操作流程任务实施4阶段四：WLAN业务发布目标：创建双SSID无线服务。核心任务：配置安全模板、SSID模板；创建VAP模板并设置直接转发与业务VLAN；将VAP绑定到AP组下发配置。操作流程5任务测试PART任务测试5（1）在AC上查看AP上线状态命令：displayapall检查：AP状态为normal，表示注册成功。（2）查看WLAN业务配置是否下发命令：displayvapall检查：VAP状态为ON，双SSID已生效。操作流程任务测试5（3）查看AC上在线无线用户命令：displaystationall检查：可看到已连接终端的MAC、IP、VLAN、SSID信息。（4）无线终端获取地址验证命令：ipconfig检查：STA1获取172.16.101.0/24网段地址；STA2获取172.16.102.0/24网段地址。操作流程任务测试5（5）网络连通性测试命令：ping网关IP、pingACIP、pingRAIP检查：丢包率为0，全网通。操作流程6任务拓展PART任务拓展6

小张是新来的公司网络管理员，公司要求他熟悉相关的网络产品。公司新购买了一批华为网络设备，为了熟悉相关的操作，项目经理要求小张使用华为eNSP搭建基础网络进