一、适用场景最典型小企业面积500㎡ 办公室人数50 人以内需求500㎡办公室 / 50 人内 / 双 SSID员工 访客/ 无缝漫游 / 访客隔离二、设备清单1、企业网关路由器集成 AC 控制器型号举例华为 AR6000-S 系列、华三 MSR 系列、TP-LINK ER 系列作用出口上网、防火墙、DHCP、内置 AC 管理 AP2、POE 交换机24 口千兆 POE 交换机802.3af/at给 AP 供电 数据传输3、吸顶式瘦 AP (Fit AP)数量46 台根据遮挡和面积调整双频 Wi-Fi 5/Wi-Fi 62.4G5G网线六类网线 CAT6机柜、理线器、水晶头等辅料三、网络规划1、VLAN1管理 VLAN用途AC、AP、交换机管理网段192.168.1.0/242、VLAN10员工业务 VLAN用途员工电脑、手机办公上网网段192.168.10.0/243、VLAN20访客 VLAN用途访客上网隔离员工内网网段192.168.20.0/24四、无线 SSID 配置1、SSID1Company_Office员工 WiFi安全WPA2-PSK/WPA3 或 802.1X 账号认证绑定 VLAN105G 优先快速漫游2、SSID2Company_Guest访客 WiFi安全Web 网页认证 / 短信认证 / 临时密码绑定 VLAN20禁止访问内网只允许上互联网五、关键无线策略配置1、频段隔离2.4G 与 5G 设置同名同密码实现自动切换2、漫游优化开启快速漫游802.11r/k/v调整信号阈值让终端主动切换信号更好的 AP3、功率调节避免同频干扰AP 功率调至60%80%4、带宽限制访客限速单用户下行4Mbps上行2Mbps员工保证带宽不限速或轻度限速5、安全策略开启无线入侵检测 WIPS禁止终端间互相访问用户隔离六、AC 发现 AP 方式配置重点方式 1Layer2 二层发现同一交换机简单方式 2Option43 DHCP跨网段企业标准方式 3DNS 域名发现中大型网络七、出口路由配置要点运营商双线 / 单线 PPPoE 拨号配置默认路由指向运营商NAT 转换内网访问互联网防火墙放通管理、DNS、HTTP/HTTPS行为管理禁止 P2P 下载、视频网站可选八、完整拓扑逻辑你可以直接画拓扑图九、配置案例1、基础信息规划管理VLAN1 网段192.168.1.0/24员工VLAN10 网段192.168.10.0/24访客VLAN20 网段192.168.20.0/24员工SSIDHuawei_Office访客SSIDHuawei_GuestAC地址192.168.1.1AP地址自动获取2、华为路由器集成 AC完整命令配置①基础配置 接口 VLANsyssysname AR_AC_WiFivlan 1vlan 10vlan 20# 上联互联网口根据实际改interface GigabitEthernet0/0/0 ip address 拨号/静态IP 掩码 description To_Internet# 下联交换机口trunk透传VLANinterface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 1 10 20# 管理VLAN接口interface Vlanif1 ip address 192.168.1.1 255.255.255.0# 员工VLAN接口interface Vlanif10 ip address 192.168.10.1 255.255.255.0# 访客VLAN接口interface Vlanif20 ip address 192.168.20.1 255.255.255.0②DHCP 自动分配 IPdhcp enable# AP管理地址池ip pool AP_POOL gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 223.5.5.5 option 43 hex 800700000000C0A80101 # 让AP自动找AC# 员工地址池ip pool STAFF_POOL gateway-list 192.168.10.1 network 192.168.10.0 mask 255.255.255.0 dns-list 223.5.5.5# 访客地址池ip pool GUEST_POOL gateway-list 192.168.20.1 network 192.168.20.0 mask 255.255.255.0 dns-list 223.5.5.5# 接口启用DHCPint Vlanif1 dhcp select globalint Vlanif10 dhcp select globalint Vlanif20 dhcp select global③NAT 上网配置acl number 3000 rule 10 permit ip source 192.168.1.0 0.0.0.255 rule 20 permit ip source 192.168.10.0 0.0.0.255 rule 30 permit ip source 192.168.20.0 0.0.0.255interface GigabitEthernet0/0/0 nat outbound 3000④AC 无线配置核心wlan ac# 国家码country code CN# 5G/2.4G 模板ap 5g-profile name 5G radio-type 80211ax channel 40mhzap 2g-profile name 2G radio-type 80211ax channel 20mhz# 员工SSIDssid-profile name STAFF_SSID ssid Huawei_Officesecurity-profile name STAFF_SEC wpa2 psk pass-phrase Huawei1234 aes# 访客SSIDssid-profile name GUEST_SSID ssid Huawei_Guestsecurity-profile name GUEST_SEC wpa2 psk pass-phrase Guest888 aes# VAP模板绑定SSIDVLANvap-profile name STAFF_VAP ssid-profile STAFF_SSID security-profile STAFF_SEC service-vlan vlan-id 10 user-isolate enable # 终端隔离vap-profile name GUEST_VAP ssid-profile GUEST_SSID security-profile GUEST_SEC service-vlan vlan-id 20 user-isolate enable traffic-filter outbound any cir 4096 # 访客限速4Mbps# AP组配置ap-group name OFFICE_AP radio 0 2g-profile 2G vap-profile STAFF_VAP wlan 1 vap-profile GUEST_VAP wlan 2 radio 1 5g-profile 5G vap-profile STAFF_VAP wlan 1 vap-profile GUEST_VAP wlan 2# 自动加入APap auth-mode mac-authap confirm all⑤漫游优化企业必开wlan acroam optimize enableroam rssi threshold 65⑥访客禁止访问内网安全隔离acl number 3001 rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 20 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 30 permit ipinterface Vlanif20 traffic-filter inbound acl 3001⑦保存配置save3、华为 POE 交换机 最简配置syssysname POE_SWvlan 1vlan 10vlan 20# 上联口interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 1 10 20# AP下联口interface GigabitEthernet0/0/2 to 0/0/24 port link-type trunk port trunk pvid vlan 1 port trunk allow-pass vlan 1 10 20 poe enablesave4、配置完成后效果AP 插上网线自动上线、自动被 AC 管理员工 WiFiHuawei_Office 密码 Huawei1234访客 WiFiHuawei_Guest 密码 Guest888访客不能访问内网只能上网且自动限速2.4G5G 同名自动切换无缝漫游所有 AP 统一配置、统一查看、统一重启5、只需要改 3 个地方就能用路由器上联口 IP / 拨号信息WiFi 名称SSIDWiFi 密码另点击下方工具可免费使用阿祥自制的ICT随身工具箱↓常用厂商指令查找、故障码查询、快捷脚本生成一网打尽。不想错过文章内容读完请点一下“在看”加个“关注”您的支持是我创作的动力期待您的一键三连支持点赞、在看、分享~
小型企业WIFI配置方案,附华为企业 WiFi 完整配置案例!
发布时间:2026/5/28 4:49:41
一、适用场景最典型小企业面积500㎡ 办公室人数50 人以内需求500㎡办公室 / 50 人内 / 双 SSID员工 访客/ 无缝漫游 / 访客隔离二、设备清单1、企业网关路由器集成 AC 控制器型号举例华为 AR6000-S 系列、华三 MSR 系列、TP-LINK ER 系列作用出口上网、防火墙、DHCP、内置 AC 管理 AP2、POE 交换机24 口千兆 POE 交换机802.3af/at给 AP 供电 数据传输3、吸顶式瘦 AP (Fit AP)数量46 台根据遮挡和面积调整双频 Wi-Fi 5/Wi-Fi 62.4G5G网线六类网线 CAT6机柜、理线器、水晶头等辅料三、网络规划1、VLAN1管理 VLAN用途AC、AP、交换机管理网段192.168.1.0/242、VLAN10员工业务 VLAN用途员工电脑、手机办公上网网段192.168.10.0/243、VLAN20访客 VLAN用途访客上网隔离员工内网网段192.168.20.0/24四、无线 SSID 配置1、SSID1Company_Office员工 WiFi安全WPA2-PSK/WPA3 或 802.1X 账号认证绑定 VLAN105G 优先快速漫游2、SSID2Company_Guest访客 WiFi安全Web 网页认证 / 短信认证 / 临时密码绑定 VLAN20禁止访问内网只允许上互联网五、关键无线策略配置1、频段隔离2.4G 与 5G 设置同名同密码实现自动切换2、漫游优化开启快速漫游802.11r/k/v调整信号阈值让终端主动切换信号更好的 AP3、功率调节避免同频干扰AP 功率调至60%80%4、带宽限制访客限速单用户下行4Mbps上行2Mbps员工保证带宽不限速或轻度限速5、安全策略开启无线入侵检测 WIPS禁止终端间互相访问用户隔离六、AC 发现 AP 方式配置重点方式 1Layer2 二层发现同一交换机简单方式 2Option43 DHCP跨网段企业标准方式 3DNS 域名发现中大型网络七、出口路由配置要点运营商双线 / 单线 PPPoE 拨号配置默认路由指向运营商NAT 转换内网访问互联网防火墙放通管理、DNS、HTTP/HTTPS行为管理禁止 P2P 下载、视频网站可选八、完整拓扑逻辑你可以直接画拓扑图九、配置案例1、基础信息规划管理VLAN1 网段192.168.1.0/24员工VLAN10 网段192.168.10.0/24访客VLAN20 网段192.168.20.0/24员工SSIDHuawei_Office访客SSIDHuawei_GuestAC地址192.168.1.1AP地址自动获取2、华为路由器集成 AC完整命令配置①基础配置 接口 VLANsyssysname AR_AC_WiFivlan 1vlan 10vlan 20# 上联互联网口根据实际改interface GigabitEthernet0/0/0 ip address 拨号/静态IP 掩码 description To_Internet# 下联交换机口trunk透传VLANinterface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 1 10 20# 管理VLAN接口interface Vlanif1 ip address 192.168.1.1 255.255.255.0# 员工VLAN接口interface Vlanif10 ip address 192.168.10.1 255.255.255.0# 访客VLAN接口interface Vlanif20 ip address 192.168.20.1 255.255.255.0②DHCP 自动分配 IPdhcp enable# AP管理地址池ip pool AP_POOL gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 223.5.5.5 option 43 hex 800700000000C0A80101 # 让AP自动找AC# 员工地址池ip pool STAFF_POOL gateway-list 192.168.10.1 network 192.168.10.0 mask 255.255.255.0 dns-list 223.5.5.5# 访客地址池ip pool GUEST_POOL gateway-list 192.168.20.1 network 192.168.20.0 mask 255.255.255.0 dns-list 223.5.5.5# 接口启用DHCPint Vlanif1 dhcp select globalint Vlanif10 dhcp select globalint Vlanif20 dhcp select global③NAT 上网配置acl number 3000 rule 10 permit ip source 192.168.1.0 0.0.0.255 rule 20 permit ip source 192.168.10.0 0.0.0.255 rule 30 permit ip source 192.168.20.0 0.0.0.255interface GigabitEthernet0/0/0 nat outbound 3000④AC 无线配置核心wlan ac# 国家码country code CN# 5G/2.4G 模板ap 5g-profile name 5G radio-type 80211ax channel 40mhzap 2g-profile name 2G radio-type 80211ax channel 20mhz# 员工SSIDssid-profile name STAFF_SSID ssid Huawei_Officesecurity-profile name STAFF_SEC wpa2 psk pass-phrase Huawei1234 aes# 访客SSIDssid-profile name GUEST_SSID ssid Huawei_Guestsecurity-profile name GUEST_SEC wpa2 psk pass-phrase Guest888 aes# VAP模板绑定SSIDVLANvap-profile name STAFF_VAP ssid-profile STAFF_SSID security-profile STAFF_SEC service-vlan vlan-id 10 user-isolate enable # 终端隔离vap-profile name GUEST_VAP ssid-profile GUEST_SSID security-profile GUEST_SEC service-vlan vlan-id 20 user-isolate enable traffic-filter outbound any cir 4096 # 访客限速4Mbps# AP组配置ap-group name OFFICE_AP radio 0 2g-profile 2G vap-profile STAFF_VAP wlan 1 vap-profile GUEST_VAP wlan 2 radio 1 5g-profile 5G vap-profile STAFF_VAP wlan 1 vap-profile GUEST_VAP wlan 2# 自动加入APap auth-mode mac-authap confirm all⑤漫游优化企业必开wlan acroam optimize enableroam rssi threshold 65⑥访客禁止访问内网安全隔离acl number 3001 rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 20 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 30 permit ipinterface Vlanif20 traffic-filter inbound acl 3001⑦保存配置save3、华为 POE 交换机 最简配置syssysname POE_SWvlan 1vlan 10vlan 20# 上联口interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 1 10 20# AP下联口interface GigabitEthernet0/0/2 to 0/0/24 port link-type trunk port trunk pvid vlan 1 port trunk allow-pass vlan 1 10 20 poe enablesave4、配置完成后效果AP 插上网线自动上线、自动被 AC 管理员工 WiFiHuawei_Office 密码 Huawei1234访客 WiFiHuawei_Guest 密码 Guest888访客不能访问内网只能上网且自动限速2.4G5G 同名自动切换无缝漫游所有 AP 统一配置、统一查看、统一重启5、只需要改 3 个地方就能用路由器上联口 IP / 拨号信息WiFi 名称SSIDWiFi 密码另点击下方工具可免费使用阿祥自制的ICT随身工具箱↓常用厂商指令查找、故障码查询、快捷脚本生成一网打尽。不想错过文章内容读完请点一下“在看”加个“关注”您的支持是我创作的动力期待您的一键三连支持点赞、在看、分享~
)
)
:测试如何提前在代码提交阶段发现 Bug?)
)
