小型企业WIFI配置方案，附华为企业 WiFi 完整配置案例！

一、适用场景（最典型小企业）

• 面积：500㎡ 办公室

• 人数：50 人以内

• 需求：500㎡办公室 / 50 人内 / 双 SSID（员工 + 访客）/ 无缝漫游 / 访客隔离

二、设备清单

1. 1、企业网关路由器

   （集成 AC 控制器）

• 型号举例：华为 AR6000-S 系列、华三 MSR 系列、TP-LINK ER 系列

• 作用：出口上网、防火墙、DHCP、内置 AC 管理 AP

• 2、POE 交换机

• • 24 口千兆 POE 交换机（802.3af/at）

  • 给 AP 供电 + 数据传输

• 3、吸顶式瘦 AP (Fit AP)

• • 数量：4～6 台（根据遮挡和面积调整）

  • 双频 Wi-Fi 5/Wi-Fi 6：2.4G+5G

• 网线：六类网线 CAT6

• 机柜、理线器、水晶头等辅料

三、网络规划

• 1、VLAN1：管理 VLAN

• • 用途：AC、AP、交换机管理

  • 网段：192.168.1.0/24

• 2、VLAN10：员工业务 VLAN

• • 用途：员工电脑、手机办公上网

  • 网段：192.168.10.0/24

• 3、VLAN20：访客 VLAN

• • 用途：访客上网，隔离员工内网

  • 网段：192.168.20.0/24

四、无线 SSID 配置

1. 1、SSID1：Company_Office（员工 WiFi）

• 安全：WPA2-PSK/WPA3 或 802.1X 账号认证

• 绑定 VLAN10

• 5G 优先，快速漫游

• 2、SSID2：Company_Guest（访客 WiFi）

• • 安全：Web 网页认证 / 短信认证 / 临时密码

  • 绑定 VLAN20

• 禁止访问内网，只允许上互联网

五、关键无线策略配置

1. 1、频段隔离

• 2.4G 与 5G 设置同名同密码，实现自动切换

• 2、漫游优化

• • 开启快速漫游（802.11r/k/v）

  • 调整信号阈值，让终端主动切换信号更好的 AP

• 3、功率调节

• • 避免同频干扰，AP 功率调至60%～80%

• 4、带宽限制

• • 访客限速：单用户下行4Mbps ，上行2Mbps

  • 员工保证带宽，不限速或轻度限速

• 5、安全策略

• • 开启无线入侵检测 WIPS

  • 禁止终端间互相访问（用户隔离）

  六、AC 发现 AP 方式（配置重点）

  • 方式 1：Layer2 二层发现（同一交换机简单）

  • 方式 2：Option43 DHCP（跨网段企业标准）

  • 方式 3：DNS 域名发现（中大型网络）

  七、出口路由配置要点

  1. 运营商双线 / 单线 PPPoE 拨号

  2. 配置默认路由指向运营商

  3. NAT 转换，内网访问互联网

  4. 防火墙放通管理、DNS、HTTP/HTTPS

  5. 行为管理：禁止 P2P 下载、视频网站（可选）

  八、完整拓扑逻辑（你可以直接画拓扑图）

  

  九、配置案例

  1、基础信息规划

  管理VLAN：1        网段：192.168.1.0/24员工VLAN：10       网段：192.168.10.0/24访客VLAN：20       网段：192.168.20.0/24员工SSID：Huawei_Office访客SSID：Huawei_GuestAC地址：192.168.1.1AP地址：自动获取

  2、华为路由器（集成 AC）完整命令配置

  ①基础配置 + 接口 VLAN

  syssysname AR_AC_WiFivlan 1vlan 10vlan 20# 上联互联网口（根据实际改）interface GigabitEthernet0/0/0 ip address 拨号/静态IP 掩码 description To_Internet# 下联交换机口（trunk透传VLAN）interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 1 10 20# 管理VLAN接口interface Vlanif1 ip address 192.168.1.1 255.255.255.0# 员工VLAN接口interface Vlanif10 ip address 192.168.10.1 255.255.255.0# 访客VLAN接口interface Vlanif20 ip address 192.168.20.1 255.255.255.0

  ②DHCP 自动分配 IP

  dhcp enable# AP管理地址池ip pool AP_POOL gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 223.5.5.5 option 43 hex 800700000000C0A80101  # 让AP自动找AC# 员工地址池ip pool STAFF_POOL gateway-list 192.168.10.1 network 192.168.10.0 mask 255.255.255.0 dns-list 223.5.5.5# 访客地址池ip pool GUEST_POOL gateway-list 192.168.20.1 network 192.168.20.0 mask 255.255.255.0 dns-list 223.5.5.5# 接口启用DHCPint Vlanif1 dhcp select globalint Vlanif10 dhcp select globalint Vlanif20 dhcp select global

  ③NAT 上网配置

  acl number 3000 rule 10 permit ip source 192.168.1.0 0.0.0.255 rule 20 permit ip source 192.168.10.0 0.0.0.255 rule 30 permit ip source 192.168.20.0 0.0.0.255interface GigabitEthernet0/0/0 nat outbound 3000

  ④AC 无线配置（核心）

  wlan ac# 国家码country code CN# 5G/2.4G 模板ap 5g-profile name 5G radio-type 80211ax channel 40mhzap 2g-profile name 2G radio-type 80211ax channel 20mhz# 员工SSIDssid-profile name STAFF_SSID ssid Huawei_Officesecurity-profile name STAFF_SEC wpa2 psk pass-phrase Huawei@1234 aes# 访客SSIDssid-profile name GUEST_SSID ssid Huawei_Guestsecurity-profile name GUEST_SEC wpa2 psk pass-phrase Guest@888 aes# VAP模板（绑定SSID+VLAN）vap-profile name STAFF_VAP ssid-profile STAFF_SSID security-profile STAFF_SEC service-vlan vlan-id 10 user-isolate enable  # 终端隔离vap-profile name GUEST_VAP ssid-profile GUEST_SSID security-profile GUEST_SEC service-vlan vlan-id 20 user-isolate enable traffic-filter outbound any cir 4096  # 访客限速4Mbps# AP组配置ap-group name OFFICE_AP radio 0  2g-profile 2G  vap-profile STAFF_VAP wlan 1  vap-profile GUEST_VAP wlan 2 radio 1  5g-profile 5G  vap-profile STAFF_VAP wlan 1  vap-profile GUEST_VAP wlan 2# 自动加入APap auth-mode mac-authap confirm all

  ⑤漫游优化（企业必开）

  wlan acroam optimize enableroam rssi threshold 65

  ⑥访客禁止访问内网（安全隔离）

  acl number 3001 rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 20 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 30 permit ipinterface Vlanif20 traffic-filter inbound acl 3001

  ⑦保存配置

  save

  3、华为 POE 交换机 最简配置

  syssysname POE_SWvlan 1vlan 10vlan 20# 上联口interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 1 10 20# AP下联口interface GigabitEthernet0/0/2 to 0/0/24 port link-type trunk port trunk pvid vlan 1 port trunk allow-pass vlan 1 10 20 poe enablesave

  4、配置完成后效果

  • AP 插上网线自动上线、自动被 AC 管理

  • 员工 WiFi：Huawei_Office 密码 Huawei@1234

  • 访客 WiFi：Huawei_Guest 密码 Guest@888

  • 访客不能访问内网，只能上网，且自动限速

  • 2.4G+5G 同名，自动切换，无缝漫游

  • 所有 AP 统一配置、统一查看、统一重启

  5、只需要改 3 个地方就能用

  • 路由器上联口 IP / 拨号信息

  • WiFi 名称（SSID）

  • WiFi 密码

  • 另：点击下方工具可免费使用阿祥自制的ICT随身工具箱↓

    常用厂商指令查找、故障码查询、快捷脚本生成，一网打尽。

  不想错过文章内容？读完请点一下**"在看****** " ，加个**"** 关注"，您的支持是我创作的动力

  期待您的一键三连支持（点赞、在看、分享~）