问题描述:
我配置本地转发,没有配置map configuration
wlan service-template 1
ssid test
vlan 10
client forwarding-location ap
akm mode psk
preshared-key pass-phrase cipher abcdefg
cipher-suite ccmp
security-ie rsn
bss transition-management enable
service-template enable
交换机上AC和AP接口都启用了trunk,允许了vlan all,修改了pvid 20作为cap管理
按官方示例,没有下发map是不对的
但是我们正常连接获得IP并上网,这超出了我的预料,能讲解一下?
- 2026-06-12提问
- 举报
-
(0)
最佳答案
Super_King
八段
可能ap 之前本地就创建了vlan 10 或者 radio 接口下将服务模板绑定了vlan 1 客户端获取的是管理段地址上网
- 2026-06-12回答
- 评论(0)
- 举报
-
(0)
是新开箱的
管理网192.168.20.0/24,不能上网,电脑拿到的192.168.10.x,确实是业务网段
wlan ap-group test
ap-model WA7230
radio 1
radio enable
service-template 1
quit
没有其他配置了
我也是后面看示例才觉得奇怪
- 2026-06-12回答
- 评论(0)
- 举报
-
(0)
暂无评论
WX2520+WA7230 本地转发无 map-configuration 却能正常上网完整原理讲解
一、先明确两个核心概念:map-configuration 到底是干嘛的
map-configuration 是 AC 下发自定义配置脚本文件到 AP,脚本里写的是AP 本地有线接口的底层配置(trunk、允许哪些业务 VLAN、端口安全、二层隔离等)。
官方文档写 “本地转发需要 map”,是有前提场景,不是所有本地转发必须配:- 需要 map 文件的场景(官方标准示例场景) AP 上联交换机接口只透传 AP 管理 VLAN(PVID),交换机不提前放通无线业务 VLAN,靠 map 文件在 AP 的 GE 口自动添加 port trunk permit vlan X,让 AP 本地转发带业务 VLAN 标签出站。
- 你现场不需要 map 文件的核心原因(你的组网条件天然满足本地转发)
接入交换机侧已经做了完整放行:AP 上联 Trunk
port trunk permit vlan all,PVID=20(CAPWAP 管理 VLAN),有线侧已经提前放通业务 VLAN10,AP 不需要靠 map 文件修改自身 GE 口 VLAN 配置,出厂缺省逻辑就能完成本地转发。
二、WA7230 AP 出厂有线接口缺省行为(关键)
WA7230 这类 V7 FIT AP,上联 GE 口出厂默认:
- 接口原生是 Trunk 模式;
- 默认允许所有 VLAN 通过;
- 原生 PVID 为 1,交换机侧已经把接口 PVID 改成 20(AP 管理 VLAN),不冲突;
- 开启本地转发后,无线侧 SSID 绑定 VLAN10,无线终端发出的报文在 AP 内部打上 VLAN10 标签,直接从 GE 口透传出去。
你的交换机 Trunk 已经放通全部 VLAN,AP 送出带 VLAN10 标签的报文,交换机正常转发到业务网关,全程不需要 AC 下发 map 脚本修改 AP 端口 VLAN,所以不用配置
map-configuration也能正常获取 IP、上网。三、本地转发完整报文转发流程(你现场无 map 版本)
- 手机连接 SSID test,关联认证通过,AP 内部给终端数据帧打上 VLAN10 标签;
- 开启
client forwarding-location ap本地转发,数据报文不封装 CAPWAP 隧道,直接走 AP 有线 GE 口; - AP GE 口出厂 Trunk 允许所有 VLAN,VLAN10 标签报文直接送出 AP;
- 上联交换机 Trunk 允许 vlan all,识别 VLAN10 标签,转发至业务 VLAN 网关;
- 网关分配 10 段 IP,回程流量原路返回 AP,去掉 VLAN 标签发给无线终端。
整个流程没有任何环节需要修改 AP 的有线端口 VLAN,因此 map 文件完全多余。
四、什么时候必须配置 map-configuration?(官方示例的真实适用场景)
场景约束:交换机上联 AP 接口只透传管理 VLAN,不允许业务 VLAN
交换机接口配置:
plaintext
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk pvid 20
port trunk permit vlan 20 // 仅放通CAPWAP管理VLAN,不放业务VLAN10
此时 AP 出厂 GE 口虽然是 trunk,但交换机拦截了 VLAN10 标签,无线本地转发报文出不去。
解决方式:AC 上传 apcfg.txt 脚本,通过
map-configuration下发给 AP,自动在 AP GE 口添加允许业务 VLAN:plaintext
system-view
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 10
AP 重启加载脚本后,GE 口主动允许 VLAN10,本地转发才能通 —— 这就是官方示例强制要求 map 文件的来源。
五、区分两种本地转发部署模式,看懂文档和现场差异
模式 A(官方标准示例,需 map)
交换机仅透传 AP 管理 VLAN,业务 VLAN 放行交给 AP 自身配置(map 脚本下发);
优点:交换机配置极简,批量 AP 不用在交换机批量放业务 VLAN;
缺点:AC 需要制作、上传、绑定 map 配置文件,维护多一步。
模式 B(你当前现场,无需 map)
交换机提前 Trunk 放通所有 / 指定业务 VLAN,AP 仅负责无线打标签转发,有线端口配置完全交给交换机;
优点:AC 配置极简,不用维护 map 文件,调试简单;
缺点:交换机需要提前规划透传对应业务 VLAN。
六、补充风险与优化建议(你当前配置潜在隐患)
port trunk permit vlan all广播域过大,后期新增 VLAN 容易泛洪故障,建议改为精准放行:port trunk permit vlan 10 20,不要 all;- 若后续需要在 AP 本地做二层隔离、端口 ACL、限制有线接入终端等,仍然需要 map 文件下发对应端口配置;
- 切换 Remote-AP(AC 断网 AP 独立运行)场景:如果需要 AC 离线后本地转发持续稳定,建议补全 map 文件固化 AP 端口 VLAN,避免 AP 重启恢复出厂缺省逻辑。
七、一句话总结
官方文档写 “本地转发需要 map” 是交换机不放通业务 VLAN的前置场景;你现场交换机 Trunk 已经全量放行 VLAN,AP 出厂有线口原生 Trunk 允许所有标签,无线侧打上业务 VLAN 后可直接透传转发,因此不配置
map-configuration也能正常分配 IP、上网。map 文件只是用来远程修改 AP 有线接口二层配置的工具,不是本地转发的强制必备项。- 2026-06-15回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论