小型企业WIFI配置方案,附华为企业 WiFi 完整配置案例!
一、适用场景(最典型小企业)
- 面积:500㎡ 办公室
- 人数:50 人以内
- 需求:500㎡办公室 / 50 人内 / 双 SSID(员工 + 访客)/ 无缝漫游 / 访客隔离
二、设备清单
- 1、企业网关路由器(集成 AC 控制器)
- 型号举例:华为 AR6000-S 系列、华三 MSR 系列、TP-LINK ER 系列
- 作用:出口上网、防火墙、DHCP、内置 AC 管理 AP
- 2、POE 交换机
- 24 口千兆 POE 交换机(802.3af/at)
- 给 AP 供电 + 数据传输
- 3、吸顶式瘦 AP (Fit AP)
- 数量:4~6 台(根据遮挡和面积调整)
- 双频 Wi-Fi 5/Wi-Fi 6:2.4G+5G
- 网线:六类网线 CAT6
- 机柜、理线器、水晶头等辅料
三、网络规划
- 1、VLAN1:管理 VLAN
- 用途:AC、AP、交换机管理
- 网段:
192.168.1.0/24
- 2、VLAN10:员工业务 VLAN
- 用途:员工电脑、手机办公上网
- 网段:
192.168.10.0/24
- 3、VLAN20:访客 VLAN
- 用途:访客上网,隔离员工内网
- 网段:
192.168.20.0/24
四、无线 SSID 配置
- 1、SSID1:Company_Office(员工 WiFi)
- 安全:WPA2-PSK/WPA3 或 802.1X 账号认证
- 绑定 VLAN10
- 5G 优先,快速漫游
- 2、SSID2:Company_Guest(访客 WiFi)
- 安全:Web 网页认证 / 短信认证 / 临时密码
- 绑定 VLAN20
- 禁止访问内网,只允许上互联网
五、关键无线策略配置
- 1、频段隔离
- 2.4G 与 5G 设置同名同密码,实现自动切换
- 2、漫游优化
- 开启快速漫游(802.11r/k/v)
- 调整信号阈值,让终端主动切换信号更好的 AP
- 3、功率调节
- 避免同频干扰,AP 功率调至60%~80%
- 4、带宽限制
- 访客限速:单用户下行4Mbps,上行2Mbps
- 员工保证带宽,不限速或轻度限速
- 5、安全策略
- 开启无线入侵检测 WIPS
- 禁止终端间互相访问(用户隔离)
六、AC 发现 AP 方式(配置重点)
- 方式 1:Layer2 二层发现(同一交换机简单)
- 方式 2:Option43 DHCP(跨网段企业标准)
- 方式 3:DNS 域名发现(中大型网络)
七、出口路由配置要点
- 运营商双线 / 单线 PPPoE 拨号
- 配置默认路由指向运营商
- NAT 转换,内网访问互联网
- 防火墙放通管理、DNS、HTTP/HTTPS
- 行为管理:禁止 P2P 下载、视频网站(可选)
八、完整拓扑逻辑(你可以直接画拓扑图)
九、配置案例
1、基础信息规划
管理VLAN:1 网段:192.168.1.0/24
员工VLAN:10 网段:192.168.10.0/24
访客VLAN:20 网段:192.168.20.0/24
员工SSID:Huawei_Office
访客SSID:Huawei_Guest
AC地址:192.168.1.1
AP地址:自动获取2、华为路由器(集成 AC)完整命令配置
①基础配置 + 接口 VLAN
sys
sysname AR_AC_WiFi
vlan 1
vlan 10
vlan 20
# 上联互联网口(根据实际改)
interface GigabitEthernet0/0/0
ip address 拨号/静态IP 掩码
description To_Internet
# 下联交换机口(trunk透传VLAN)
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 1 10 20
# 管理VLAN接口
interface Vlanif1
ip address 192.168.1.1 255.255.255.0
# 员工VLAN接口
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
# 访客VLAN接口
interface Vlanif20
ip address 192.168.20.1 255.255.255.0②DHCP 自动分配 IP
dhcp enable
# AP管理地址池
ip pool AP_POOL
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
dns-list 223.5.5.5
option 43 hex 800700000000C0A80101 # 让AP自动找AC
# 员工地址池
ip pool STAFF_POOL
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 223.5.5.5
# 访客地址池
ip pool GUEST_POOL
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 223.5.5.5
# 接口启用DHCP
int Vlanif1
dhcp select global
int Vlanif10
dhcp select global
int Vlanif20
dhcp select global③NAT 上网配置
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255
rule 20 permit ip source 192.168.10.0 0.0.0.255
rule 30 permit ip source 192.168.20.0 0.0.0.255
interface GigabitEthernet0/0/0
nat outbound 3000④AC 无线配置(核心)
wlan ac
# 国家码
country code CN
# 5G/2.4G 模板
ap 5g-profile name 5G
radio-type 80211ax
channel 40mhz
ap 2g-profile name 2G
radio-type 80211ax
channel 20mhz
# 员工SSID
ssid-profile name STAFF_SSID ssid Huawei_Office
security-profile name STAFF_SEC
wpa2 psk pass-phrase Huawei@1234 aes
# 访客SSID
ssid-profile name GUEST_SSID ssid Huawei_Guest
security-profile name GUEST_SEC
wpa2 psk pass-phrase Guest@888 aes
# VAP模板(绑定SSID+VLAN)
vap-profile name STAFF_VAP
ssid-profile STAFF_SSID
security-profile STAFF_SEC
service-vlan vlan-id 10
user-isolate enable # 终端隔离
vap-profile name GUEST_VAP
ssid-profile GUEST_SSID
security-profile GUEST_SEC
service-vlan vlan-id 20
user-isolate enable
traffic-filter outbound any cir 4096 # 访客限速4Mbps
# AP组配置
ap-group name OFFICE_AP
radio 0
2g-profile 2G
vap-profile STAFF_VAP wlan 1
vap-profile GUEST_VAP wlan 2
radio 1
5g-profile 5G
vap-profile STAFF_VAP wlan 1
vap-profile GUEST_VAP wlan 2
# 自动加入AP
ap auth-mode mac-auth
ap confirm all⑤漫游优化(企业必开)
wlan ac
roam optimize enable
roam rssi threshold 65⑥访客禁止访问内网(安全隔离)
acl number 3001
rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 30 permit ip
interface Vlanif20
traffic-filter inbound acl 3001⑦保存配置
save3、华为 POE 交换机 最简配置
sys
sysname POE_SW
vlan 1
vlan 10
vlan 20
# 上联口
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 1 10 20
# AP下联口
interface GigabitEthernet0/0/2 to 0/0/24
port link-type trunk
port trunk pvid vlan 1
port trunk allow-pass vlan 1 10 20
poe enable
save4、配置完成后效果
- AP 插上网线自动上线、自动被 AC 管理
- 员工 WiFi:Huawei_Office 密码 Huawei@1234
- 访客 WiFi:Huawei_Guest 密码 Guest@888
- 访客不能访问内网,只能上网,且自动限速
- 2.4G+5G 同名,自动切换,无缝漫游
- 所有 AP 统一配置、统一查看、统一重启
5、只需要改 3 个地方就能用
- 路由器上联口 IP / 拨号信息
- WiFi 名称(SSID)
- WiFi 密码
- 另:点击下方工具可免费使用阿祥自制的ICT随身工具箱↓ 常用厂商指令查找、故障码查询、快捷脚本生成,一网打尽。
不想错过文章内容?读完请点一下“在看
”,加个“关注”,您的支持是我创作的动力
期待您的一键三连支持(点赞、在看、分享~)
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2026-03-24,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号