1. 校园网高可用与无线覆盖实验概述校园网络作为师生日常教学科研的重要基础设施其稳定性和覆盖范围直接影响使用体验。传统校园网常面临两大痛点核心设备单点故障导致全网瘫痪以及无线信号覆盖不均形成的网络死角。这次我们用华为eNSP模拟器从实战角度搭建一个融合VRRP冗余协议和ACAP无线架构的校园网实验环境。这个实验特别适合三类人群网络工程专业学生想验证课本理论、考取HCIA/HCIP认证的备考者、中小型企业网管学习高可用架构。我自己带学生做这个实验时发现只要理清三个关键点就能轻松上手VRRP的Master/Backup选举机制、MSTP多实例生成树的负载分担原理以及CAPWAP隧道如何承载无线数据。下面这张表格对比了实验环境与真实校园网的对应关系实验组件真实场景对应物模拟程度S5700交换机教学楼核心交换机90%AC控制器华为AC6605无线控制器85%瘦AP设备华为AP4050DN吸顶AP80%USG5500防火墙校园网出口防火墙95%2. 实验环境搭建与基础配置2.1 设备选型与拓扑设计在eNSP中拖入设备时建议按照核心-汇聚-接入的三层架构布局。核心层使用两台S5700做堆叠模拟实际工程中会用S12700通过Eth-Trunk链路聚合增加带宽汇聚层用AR2200路由器做OSPF区域划分接入层选择S3700交换机连接PC和AP。无线部分需要特别注意AC控制器建议用独立的AC6005设备而不是集成在交换机里的AC功能模块这样更贴近真实部署场景。IP地址规划有个小技巧我把VLAN ID直接编入第三段IP比如VLAN 101对应192.168.101.0/24网段。这样后期排障时看到IP就能立即定位到所属VLAN。以下是核心交换机的接口配置示例# SW1配置示例 sysname SW1 vlan batch 10 20 30 100 101 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan all interface GigabitEthernet0/0/1 port link-type access port default vlan 102.2 必做的初始化操作很多新手会忽略几个关键初始化步骤导致后续实验出错所有交换机执行undo info-center enable关闭信息中心在系统视图下配置stp mode mstp启用多生成树协议防火墙一定要先划分安全区域trust/untrust/dmzAC控制器需要提前加载WLAN业务板卡驱动有个坑我踩过三次eNSP的AP设备默认不带射频卡需要右键AP选择设置→添加射频模块。否则会出现AP上线但搜不到无线信号的诡异情况。3. 核心层高可用实现方案3.1 VRRP主备切换实战在实验楼和图书馆区域我们给每个VLAN配置VRRP组。比如VLAN10的虚拟网关设为192.168.10.254SW1作为Master设备配置120优先级SW2保持默认100优先级。测试时直接拔掉SW1的上行链路用display vrrp brief观察切换时间# 在SW1上配置VRRP优先级 interface Vlanif10 ip address 192.168.10.252 255.255.255.0 vrrp vrid 10 virtual-ip 192.168.10.254 vrrp vrid 10 priority 120实测发现三个影响切换速度的关键参数advertise-interval建议设为2秒默认1秒会增大CPU负担preempt-mode timer delay配置为5秒避免频繁切换track接口上行口down时主动降低优先级3.2 MSTP防环与负载均衡校园网常见的问题是广播风暴导致全网瘫痪。我们通过MSTP将VLAN10/20映射到实例1VLAN30/40映射到实例2实现流量分流。关键配置在于region的匹配# SW1的MSTP区域配置 stp region-configuration region-name CAMPUS revision-level 1 instance 1 vlan 10 20 instance 2 vlan 30 40 active region-configuration把实验楼的SW1设为实例1的根桥图书馆的SW2设为实例2的根桥。用display stp brief查看端口角色时要注意Discarding状态的端口不一定是故障可能是正常的防环机制。4. 无线网络部署关键细节4.1 ACAP组网架构无线控制器AC通过CAPWAP隧道管理所有AP这里最容易出问题的是AP获取地址的过程。我推荐用以下排查路线图确认AP连接的交换机端口属于VLAN101检查DHCP地址池ip pool ap的网关是否指向VLANIF101在AC上display ap all查看AP状态码state为nor表示正常AC上的关键配置模板# WLAN业务配置流程 wlan ssid-profile name CAMPUS_WIFI ssid HUAWEI-Campus security-profile name WPA2-PSK security wpa-wpa2 psk cipher 12345678 aes vap-profile name STUDENT forward-mode tunnel service-vlan vlan-id 101 ssid-profile CAMPUS_WIFI security-profile WPA2-PSK4.2 无线用户漫游测试用两台笔记本连接同一个SSID分别在实验楼和图书馆移动。通过display station ssid CAMPUS_WIFI观察关联AP的变化。实测中发现影响漫游体验的两个因素信号强度差值建议设置-75dBm触发漫游802.11k/v协议在AC上开启邻居报告功能5. 全网连通性验证技巧5.1 分层测试方法论不要一上来就测全网互通建议分四步走接入层PC能否获取DHCP地址核心层跨VLAN的ping测试无线层手机连接SSID访问内网服务器出口层NAT转换后访问外网模拟器5.2 实用诊断命令合集这些命令是我压箱底的排障工具# 查看OSPF邻居 display ospf peer brief # 检查VRRP状态 display vrrp verbose # 追踪无线用户流量路径 display station trace mac-address xxxx-xxxx-xxxx # 测试NAT转换效果 display firewall session table遇到最棘手的故障是无线能认证但无法上网。后来发现是防火墙策略漏了policy interzone trust untrust outbound的配置。现在我会在实验本上特别标注安全策略的配置顺序。