第9章

無線局域網(wǎng)學(xué)習(xí)目標(biāo)和素質(zhì)目標(biāo)了解WLAN的組網(wǎng)方式。了解CAPWAP協(xié)議。了解AC+AP的幾種組網(wǎng)方式。了解WLAN中終端的漫游過程。掌握AC+AP直連式二層組網(wǎng)配置。掌握AC+AP旁掛式三層組網(wǎng)配置。培養(yǎng)學(xué)生對錯誤的分辨能力。形成嚴謹踏實的工作作風(fēng)。9.1無線接入點控制和配置協(xié)議WLAN的組網(wǎng)方式很多，不同方式滿足不同的用戶需求，大型企業(yè)或者園區(qū)網(wǎng)絡(luò)中通常采用AC+瘦AP這種方式，該方式要求很多技術(shù)的支持。WLAN讓網(wǎng)絡(luò)使用更自由WLAN讓工作更高效酒店醫(yī)院商業(yè)中心交通樞紐行業(yè)辦公網(wǎng)生產(chǎn)網(wǎng)校園網(wǎng)高新技術(shù)網(wǎng)政府、金融、交通、能源電力、石油、制造行業(yè)學(xué)校校園網(wǎng)高新科技園區(qū)網(wǎng)讓用戶隨時隨地的接入網(wǎng)絡(luò)。為不同行業(yè)提供更加靈活、多樣的組網(wǎng)方案，滿足各行各業(yè)對于網(wǎng)絡(luò)應(yīng)用的需求。9.1.1WLAN組網(wǎng)方式常見的WLAN的組網(wǎng)方式有AD-Hoc、胖AP、AC+瘦AP。Ad-Hoc方式組網(wǎng)：所有節(jié)點的地位平等，組成一個對等式網(wǎng)絡(luò)。網(wǎng)絡(luò)無設(shè)置任何的中心控制節(jié)點，節(jié)點不僅具有普通移動終端所需的功能，而且具有報文轉(zhuǎn)發(fā)能力。STA3STA2STA19.1.1WLAN組網(wǎng)方式胖AP(FATAP)方式組網(wǎng)：FATAP（胖AP）架構(gòu)又稱為自治式網(wǎng)絡(luò)架構(gòu)。當(dāng)部署單個AP時，由于FATAP具備較好的獨立性，不需要另外部署集中控制設(shè)備，部署起來很方便，成本較低廉。隨著WLAN覆蓋面積增大，接入用戶增多，需要部署的FATAP數(shù)量也會增多。而每個FATAP又是獨立工作的，缺少統(tǒng)一的控制設(shè)備，因此管理、維護這些FATAP就變得十分麻煩。所以對于企業(yè)而言，不推薦FATAP架構(gòu)，推薦使用AC+FITAP架構(gòu)。InternetFATAPFATAPFATAP9.1.1WLAN組網(wǎng)方式AC+瘦AP（FitAP）方式組網(wǎng)：APAPSTASTAACAC被稱為無線控制器，是無線網(wǎng)絡(luò)的核心。瘦AP無法單獨運行，必須在無線控制器的控制下運行。瘦AP負責(zé)移動終端報文的收發(fā)、加解密、802.11協(xié)議的物理層功能、射頻空口的統(tǒng)計、接受無線控制器的管理等功能。AC負責(zé)無線網(wǎng)絡(luò)的接入控制、轉(zhuǎn)發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制。該方式通常用于大型WLAN的組建。9.1.1WLAN組網(wǎng)方式胖AP與瘦AP組網(wǎng)方式比較AC+瘦AP胖AP投資AP成本較低，易管理；AC成本高。AP成本較高，但是無AC投入。WLAN組網(wǎng)AP不能單獨工作，需要由AC集中代理維護管理；AP本身零配置，適合大規(guī)模組網(wǎng)；存在多廠商兼容性問題，AC和AP間為私有協(xié)議，必須為同廠家設(shè)備；每個AC管理AP容量較少。需要對AP下發(fā)配置文件；有網(wǎng)管情況下可以支持大規(guī)模網(wǎng)絡(luò)部署和海量規(guī)模用戶管理;不存在兼容性問題：基于AP和網(wǎng)管系統(tǒng)之間采用標(biāo)準(zhǔn)的IP層協(xié)議互通；網(wǎng)管可以實現(xiàn)海量AP統(tǒng)一集中管理和維護，并實現(xiàn)與現(xiàn)有寬帶網(wǎng)絡(luò)融合管理。業(yè)務(wù)能力二層、三層漫游；可擴展語音等豐富業(yè)務(wù)；可以通過AC增強業(yè)務(wù)QoS、安全等功能。二層漫游；實現(xiàn)簡單數(shù)據(jù)接入。9.1.2CAPWAP協(xié)議CAPWAP協(xié)議背景AC+FITAP的組網(wǎng)架構(gòu)園區(qū)網(wǎng)絡(luò)AC移動用戶AP1移動用戶移動用戶……AP2APn二、三層網(wǎng)絡(luò)傳統(tǒng)FATAP組網(wǎng)難以滿足需求企業(yè)級用戶部署AP的數(shù)量龐大，對集中運維管控、安全性提出了更高的要求。傳統(tǒng)FATAP組網(wǎng)已經(jīng)難于滿足需求：自治管理，安全無法保證；實現(xiàn)不了精細化的用戶管控；大批量部署難度高，只適合SOHO級小規(guī)模組網(wǎng)。FITAP+AC組網(wǎng)架構(gòu)，適合中大規(guī)模組網(wǎng)場景，且可以實現(xiàn)：集中可視化管控，降低運維成本對用戶實現(xiàn)精細化策略管理支持認證計費場景，不同層面保證企業(yè)數(shù)據(jù)安全增值業(yè)務(wù)能力：可擴展更多豐富業(yè)務(wù)在此應(yīng)用背景下，CAPWAP協(xié)議—ControlandProvisioningofWirelessAccessPoints，用于AC與AP通信的協(xié)議規(guī)范也應(yīng)運而生。解決方案9.1.2CAPWAP協(xié)議在AC+瘦AP組網(wǎng)方式中，AC和AP的互通可以使用CAPWAP（ControlAndProvisioningofWirelessAccessPoints）協(xié)議實現(xiàn)。什么是CAPWAP隧道CAPWAP（無線接入點控制和配置協(xié)議）：定義了如何對AP進行管理、業(yè)務(wù)配置，即AC通過CAPWAP隧道來實現(xiàn)對AP的集中管理和控制。AP對AC的自動發(fā)現(xiàn)。AP與AC間的狀態(tài)維護。AC通過CAPWAP隧道對AP進行管理、業(yè)務(wù)配置下發(fā)。當(dāng)采用隧道轉(zhuǎn)發(fā)模式時，AP將STA發(fā)出的數(shù)據(jù)通過CAPWAP隧道實現(xiàn)與AC之間的交互。CAPWAP隧道的功能園區(qū)網(wǎng)絡(luò)CAPWAP隧道AC移動用戶AP1移動用戶移動用戶……AP2APnCAPWAP隧道CAPWAP隧道傳遞控制信息用戶數(shù)據(jù)9.1.2CAPWAP協(xié)議CAPWAP協(xié)議是基于UDP的應(yīng)用層協(xié)議，有兩種類型的報文：控制報文、數(shù)據(jù)報文。

報文類型功能UDP端口加密控制報文管理AP5246大部分是密文數(shù)據(jù)報文轉(zhuǎn)發(fā)用戶業(yè)務(wù)數(shù)據(jù)5247大部分是明文IPHeaderUDPHeaderCAPWAPHeaderControlHeaderMessageElementIPHeaderUDPHeaderCAPWAPDTLSHeaderDTLSHeaderCAPWAPHeaderControlHeaderMessageElementDTLSTailIPHeaderUDPHeaderCAPWAPHeaderEthernetPacketIPHeaderUDPHeaderCAPWAPDTLSHeaderDTLSHeaderCAPWAPHeaderEthernetPacketDTLSTail控制報文數(shù)據(jù)報文對應(yīng)的控制報文和數(shù)據(jù)報文格式如下所示：DTLS加密9.1.3WLAN轉(zhuǎn)發(fā)模式AC+瘦AP組網(wǎng)方式中，數(shù)據(jù)流有兩種轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)模式和隧道轉(zhuǎn)發(fā)模式。直接轉(zhuǎn)發(fā)模式中數(shù)據(jù)流從移動終端到達AP后，由AP直接發(fā)送到有線網(wǎng)絡(luò)中的交換設(shè)備進行轉(zhuǎn)發(fā)。AC和AP之間的CAPWAP協(xié)議隧道主要用于封裝它們之間的管理流，數(shù)據(jù)流不用CAPWAP協(xié)議封裝。AC核心交換機匯聚交換機CAPWAP隧道數(shù)據(jù)流量控制流量9.1.3WLAN轉(zhuǎn)發(fā)模式在隧道轉(zhuǎn)發(fā)模式中數(shù)據(jù)流從移動終端到達AP后，由AP使用CAPWAP協(xié)議進行封裝，發(fā)送到AC，再由AC發(fā)送到有線網(wǎng)絡(luò)中的交換設(shè)備進行轉(zhuǎn)發(fā)。AC和AP之間的CAPWAP協(xié)議隧道不僅用于封裝管理流，還用于封裝數(shù)據(jù)流。AC核心交換機匯聚交換機CAPWAP隧道數(shù)據(jù)流量控制流量9.1.3WLAN轉(zhuǎn)發(fā)模式直接轉(zhuǎn)發(fā)模式和隧道轉(zhuǎn)發(fā)模式對比轉(zhuǎn)發(fā)模式優(yōu)

點缺

點直接轉(zhuǎn)發(fā)AC所受壓力小轉(zhuǎn)發(fā)效率高方便故障定位業(yè)務(wù)數(shù)據(jù)不需要經(jīng)過AC轉(zhuǎn)發(fā)報文不需要經(jīng)過多次封裝解封裝安全性不夠中間網(wǎng)絡(luò)可以解析出用戶報文中間網(wǎng)絡(luò)需要透傳業(yè)務(wù)VLAN增加了AC與AP間二層網(wǎng)絡(luò)的維護工作量業(yè)務(wù)數(shù)據(jù)不便于集中管理和控制隧道轉(zhuǎn)發(fā)安全性高AC集中轉(zhuǎn)發(fā)數(shù)據(jù)報文方便集中管理和控制經(jīng)過DTLS加密，中間網(wǎng)絡(luò)不易解析出用戶報文內(nèi)容AC和AP之間只需透傳管理VLAN配置簡單不利于故障定位業(yè)務(wù)數(shù)據(jù)必須經(jīng)過AC轉(zhuǎn)發(fā)數(shù)據(jù)報文需要封裝CAPWAP隧道報頭AC所受壓力大轉(zhuǎn)發(fā)效率較直接轉(zhuǎn)發(fā)低9.1.4CAPWAP協(xié)議的隧道建立與維護CAPWAP（無線接入點控制和配置協(xié)議）用于無線終端接入點（AP）和無線網(wǎng)絡(luò)控制器（AC）之間的通信交互，實現(xiàn)AC對其所關(guān)聯(lián)的AP的集中管理和控制。CAPWAP協(xié)議功能包含：AP對AC的自動發(fā)現(xiàn)及AP&AC的狀態(tài)機運行、維護。AC對AP進行管理、業(yè)務(wù)配置下發(fā)。STA數(shù)據(jù)封裝CAPWAP隧道進行轉(zhuǎn)發(fā)。園區(qū)網(wǎng)絡(luò)CAPWAP隧道AC移動用戶AP1移動用戶移動用戶……AP2APnCAPWAP隧道CAPWAP隧道傳遞控制信息用戶數(shù)據(jù)9.1.4CAPWAP協(xié)議的隧道建立與維護

CAPWAP協(xié)議的隧道建立與維護分為8個過程APACDiscoveryRequestDiscoveryResponseJoinRequestJoinResponseDHCP服務(wù)器DHCPDiscovery（廣播）DHCPRequest（廣播）DHCPAck（單播）DHCPOffer（單播）DHCP交互發(fā)現(xiàn)階段DTLS連接DTLSJoinAPACImageDataRequestImageDataRequest

ResponseImageDataDataCheckRun（數(shù)據(jù)）Run（控制）ConfigurationStatusRequestConfigurationStatusResponseConfigurationStatusChangeStateEventRequestChangeStateEventResponseKeepaliveKeepaliveEchoRequestEchoResponseConfigurationUpdateRequestConfigurationUpdateResponseConfigurationUpdate129.1.4CAPWAP協(xié)議的隧道建立與維護1.DHCP交互AP獲取IP地址Discovery階段DTLS連接（可選）Join階段……Step1：DHCP的四步交互首先AP發(fā)送discover廣播報文，請求DHCP服務(wù)器響應(yīng)；在DHCP服務(wù)器監(jiān)聽到discover報文后，響應(yīng)AP一個DHCPoffer報文，該報文中會包含一個租約期限的信息。當(dāng)AP端收到多臺DHCPServer的響應(yīng)時，只會挑選其中一個offer（通常是最先抵達的那個），然后向網(wǎng)絡(luò)中發(fā)送一個DHCPrequest廣播報文，告訴所有的offer服務(wù)器結(jié)果；當(dāng)DHCP服務(wù)器接收到AP的request報文之后，會向AP發(fā)送一個DHCPAck響應(yīng)，該報文中攜帶的信息包括了AP的IP地址，租約期限，網(wǎng)關(guān)信息，以及DNSserverIP等，以此確定租約的正式生效，就此完成DHCP的四步交互工作。APDHCPDiscovery（廣播）發(fā)現(xiàn)網(wǎng)絡(luò)中的DHCP服務(wù)器DHCPServerDHCPRequest（廣播）通知DHCPServer本機選擇的IP地址DHCPAck（單播）確認地址分配DHCPOffer（單播）從地址池中挑選可用IP地址，回應(yīng)AP12349.1.4CAPWAP協(xié)議的隧道建立與維護2.Discovery過程AP獲得AC的IP地址后，將使用AC發(fā)現(xiàn)機制來獲知哪些AC是可用的，并與最佳AC來建立CAPWAP協(xié)議隧道。Step2：Discovery階段（AP發(fā)現(xiàn)AC階段）AP以單播（三層組網(wǎng)DHCPOption43獲取AC的IP）或廣播(二層組網(wǎng)）的形式發(fā)送發(fā)現(xiàn)請求報文試圖關(guān)聯(lián)AC。AC收到AP的DiscoveryRequest以后，會發(fā)送一個單播DiscoverResponse給AP，AP可以通過DiscoverResponse中所帶的AC優(yōu)先級或者AC上當(dāng)前AP的個數(shù)等，確定與哪個AC建立會話。AP獲取IP地址Discovery階段DTLS連接（可選）Join階段……APAC…DiscoveryRequestDiscoveryResponse569.1.4CAPWAP協(xié)議的隧道建立與維護3.DTLS（DatagramTransportLayerSecurity，數(shù)據(jù)報傳輸層安全協(xié)議）握手過程（可選）Step3：DTLS連接（可選）AP與AC之間DTLSconnect消息交互，該過程是可選過程，根據(jù)報文是否需要加密來決定。是否需要加密的開關(guān)在discoverresponse報文中。AP獲取IP地址Discovery階段DTLS連接（可選）Join階段……APAC…DiscoveryRequestDiscoveryResponseDTLS（可選）567IPHeaderUDPHeaderCAPWAPDTLSHeaderDTLSHeaderCAPWAPHeaderControlHeaderMessageElementDTLSTailIPHeaderUDPHeaderCAPWAPDTLSHeaderDTLSHeaderCAPWAPHeaderEthernetPacketDTLSTail9.1.4CAPWAP協(xié)議的隧道建立與維護4.Join過程AP獲取IP地址Discovery階段DTLS連接（可選）Join階段ImageData階段APACDiscoveryRequestDiscoveryResponseDTLS（可選）5678JoinResponse9Step4：Join在完成DTLS握手后，AC與AP開始建立控制通道，AP發(fā)送JoinRequest報文請求在AC上線。AC回應(yīng)的JoinResponse報文中會攜帶用戶配置的升級版本號，握手報文間隔/超時時間，控制報文優(yōu)先級等信息。JoinRequest……9.1.4CAPWAP協(xié)議的隧道建立與維護5.ImageData過程（可選）AP獲取IP地址Discovery階段DTLS連接（可選）Join階段ImageData階段APACDiscoveryRequestDiscoveryResponseDTLS（可選）5678JoinResponse910ImageDataRequest（可選）ImageDataResponse（可選）11Step5：ImageData（版本升級，版本一致跳過）AP根據(jù)協(xié)商參數(shù)判斷當(dāng)前版本是否是最新版本，如果不是最新版本，則AP將在CAPWAP隧道上開始更新軟件版本，AP向AC發(fā)送ImageDataRequest請求下載最新軟件版本；AC收到請求后下發(fā)軟件版本，AP在軟件版本更新完成后重新啟動，重復(fù)進行AC發(fā)現(xiàn)、建立CAPWAP隧道、加入過程。JoinRequest……9.1.4CAPWAP協(xié)議的隧道建立與維護6.Configure過程ImageData階段ConfigurationStatusDataCheckRun（數(shù)據(jù)）……APAC…14ChangeStateEventRequestChangeStateEventResponse1512ConfigurationStatusRequest13ConfigurationStatusResponseStep6：ConfigurationStatusAP發(fā)送ConfigurationStatusRequest報文（攜帶AC

Name，Radio等信息），啟動等待ConfigurationStatusResponse報文超時定時器。AC收到報文后，遷移狀態(tài)并回應(yīng)Response報文（目前此階段沒有下發(fā)配置，都是在run狀態(tài)之后統(tǒng)一下發(fā)）；AP收到報文后，停止等待Response報文超時定時器，并遷移到DataCheck狀態(tài)。Step7：DataCheckAP發(fā)送ChangeStateEventRequest報文（攜帶Radio,ResultCode等信息），并啟動等待Response超時定時器；AC收到ChangeStateEventRequest后，遷移狀態(tài)到DataCheck并回Response報文（目前沒有攜帶錯誤碼信息）；AP收到Response報文后，停止等待Response超時定時器并遷移到run狀態(tài)。9.1.4CAPWAP協(xié)議的隧道建立與維護8.Run過程ImageData階段ConfigurationStatusDataCheckRun（數(shù)據(jù)隧道）Run（控制隧道）APAC14ChangeStateEventRequestChangeStateEventResponse1512ConfigurationStatusRequest13ConfigurationStatusResponse18EchoRequestEchoResponse1916Keepalive17KeepaliveStep8：Run（數(shù)據(jù)）AP發(fā)送keepalive到AC，AC收到keepalive后表示數(shù)據(jù)隧道建立。AC回應(yīng)keepalive，AP進入“normal”狀態(tài)，開始正常工作。Step8：Run（控制）AP進入Run狀態(tài)后，同時發(fā)送echorequest報文給AC，宣布建立好CAPWAP管理隧道并啟動echo發(fā)送定時器和隧道檢測超時定時器以檢測管理隧道時候異常。當(dāng)AC收到EchoRequest報文后，同樣進入Run狀態(tài)，并回應(yīng)EchoResponse報文給AP，啟動隧道超時定時器。AP收到EchoResponse報文后，會重設(shè)檢驗隧道超時的定時器。此時，AP已經(jīng)正常上線。……9.1.4CAPWAP協(xié)議的隧道建立與維護9.ConfigurationUpdateDataCheckRun（數(shù)據(jù)）Run（控制）ConfigurationUpdateAPAC18EchoRequestEchoResponse1916Keepalive17Keepalive2021Step9：ConfigurationUpdateAC對AP的配置進行更新，當(dāng)AP的配置需要進行更新時，AC會向AP發(fā)送configurationupdaterequest報文。AP接收到AC的請求后會向AC回一個ConfigurationUpdateResponse報文，AC收到AP的ConfigurationUpdateResponse報文后，進行配置更新。ConfigurationUpdateRequestConfigurationUpdateResponse9.2AC+瘦AP組網(wǎng)AC+瘦AP組網(wǎng)方式是大型企業(yè)或者園區(qū)網(wǎng)絡(luò)中常用的WLAN組網(wǎng)方式。根據(jù)AC和AP連接的網(wǎng)絡(luò)架構(gòu)可分為二層組網(wǎng)和三層組網(wǎng)；根據(jù)AC在網(wǎng)絡(luò)中的位置，可分為直連式組網(wǎng)和旁掛式組網(wǎng)。二層組網(wǎng)和三層組網(wǎng)、直連式組網(wǎng)和旁掛式組網(wǎng)可以組合成4種方式：直連式二層組網(wǎng)、旁掛式二層組網(wǎng)、直連式三層組網(wǎng)、旁掛式三層組網(wǎng)。AC+瘦AP組網(wǎng)中，數(shù)據(jù)流轉(zhuǎn)發(fā)模式又包括直接轉(zhuǎn)發(fā)和隧道轉(zhuǎn)發(fā)，所以組網(wǎng)方式和轉(zhuǎn)發(fā)模式的組合有8種。9.2.1二層、三層組網(wǎng)二層組網(wǎng)AC和AP直連或者AC和AP之間通過二層網(wǎng)絡(luò)進行連接的網(wǎng)絡(luò)稱為二層組網(wǎng)，如圖所示。二層組網(wǎng)比較簡單，AC通常配置為DHCP服務(wù)器，無需配置DHCP代理，簡化了配置。由于AC和AP在同一廣播域中，因此AP通過廣播很容易就能發(fā)現(xiàn)AC。二層組網(wǎng)適用于簡單的組網(wǎng)，但是由于要求AC和AP在同一個二層網(wǎng)絡(luò)中，所以局限性較大，不適用于有大量三層路由的大型網(wǎng)絡(luò)。9.2.1二層、三層組網(wǎng)三層組網(wǎng)AC和AP之間通過三層網(wǎng)絡(luò)進行連接的網(wǎng)絡(luò)稱為三層組網(wǎng)，如圖所示。在三層組網(wǎng)中，AC和AP不在同一廣播域中，AP需要通過DHCP代理從AC獲得IP地址，或者額外部署DHCP服務(wù)器為AP分配IP地址。由于AP無法通過廣播發(fā)現(xiàn)AC，所以需要在DHCP服務(wù)器上配置option43來指明AC的IP地址。三層組網(wǎng)雖然比較復(fù)雜，但是由于AC和AP可以放在不同的網(wǎng)絡(luò)中，只需要它們之間IP可達即可，所以部署非常靈活，適用于大型網(wǎng)絡(luò)的無線組網(wǎng)。9.2.2直連式和旁掛式組網(wǎng)直連式組網(wǎng)AP和AC與核心網(wǎng)絡(luò)串聯(lián)在一起，移動終端的數(shù)據(jù)流需要經(jīng)過AC到達上層網(wǎng)絡(luò)。在這種組網(wǎng)方式中，AC需要轉(zhuǎn)發(fā)移動終端的數(shù)據(jù)流，壓力較大；并且，如果是在已有的有線網(wǎng)絡(luò)中新增無線網(wǎng)絡(luò)，在核心網(wǎng)絡(luò)和IP網(wǎng)絡(luò)中插入AC會改變原有拓撲。但該種組網(wǎng)架構(gòu)清晰，實施較為容易。9.2.2直連式和旁掛式組網(wǎng)旁掛式組網(wǎng)AC并不在AP和核心網(wǎng)絡(luò)的中間，而是位于網(wǎng)絡(luò)的一側(cè)（通常是旁掛在匯聚交換機或者核心交換機上）。由于實際組建WLAN時，大多情況是已經(jīng)建好了有線網(wǎng)絡(luò)，旁掛式組網(wǎng)不需要改變現(xiàn)有網(wǎng)絡(luò)的拓撲，所以它是較為常用的組網(wǎng)方式。旁掛式組網(wǎng)如果采用直接轉(zhuǎn)發(fā)模式，移動終端的數(shù)據(jù)流不需要經(jīng)過AC就能到達上層網(wǎng)絡(luò)，AC的壓力較小。旁掛式組網(wǎng)如果采用隧道轉(zhuǎn)發(fā)模式，移動終端的數(shù)據(jù)流要通過CAPWAP協(xié)議隧道發(fā)送到AC，AC再把數(shù)據(jù)轉(zhuǎn)發(fā)到上層網(wǎng)絡(luò)，AC也將面臨較大壓力。9.2.2直連式和旁掛式組網(wǎng)AC+FITAP組網(wǎng)特點對比組網(wǎng)描述特點直連模式+二層組網(wǎng)+直接轉(zhuǎn)發(fā)數(shù)據(jù)流量無迂回，轉(zhuǎn)發(fā)效率高。旁掛模式+二層組網(wǎng)+直接轉(zhuǎn)發(fā)數(shù)據(jù)流量無迂回，轉(zhuǎn)發(fā)效率高，便于在現(xiàn)有網(wǎng)絡(luò)上疊加建設(shè)WLAN，也便于熱備方案部署。旁掛模式+二層組網(wǎng)+隧道轉(zhuǎn)發(fā)數(shù)據(jù)VLAN配置簡單，隧道轉(zhuǎn)發(fā)提供了二層隧道，可支持802.1X認證，便于在現(xiàn)有網(wǎng)絡(luò)上疊加建設(shè)WLAN，也便于熱備方案部署。旁掛模式+三層組網(wǎng)+隧道轉(zhuǎn)發(fā)數(shù)據(jù)VLAN配置簡單，隧道轉(zhuǎn)發(fā)提供了二層隧道，可支持802.1X認證，便于在現(xiàn)有網(wǎng)絡(luò)上疊加建設(shè)WLAN，也便于熱備方案部署。旁掛模式+三層組網(wǎng)+直接轉(zhuǎn)發(fā)數(shù)據(jù)流量無迂回，轉(zhuǎn)發(fā)效率高，便于在現(xiàn)有網(wǎng)絡(luò)上疊加建設(shè)WLAN，也便于熱備方案部署。9.2.3AC+AP組網(wǎng)中的VLAN管理VLAN管理VLAN主要用來實現(xiàn)AC和AP直接的通信，主要是DHCP報文、ARP報文、APCAPWAP控制報文和數(shù)據(jù)報文。二層組網(wǎng)時，AP和AC在同一管理VLAN上；三層組網(wǎng)時，AC和AP在不同的管理VLAN上，甚至不同的AP是在不同的管理VLAN上，需要正確配置IP網(wǎng)絡(luò)的VLAN間路由使得AC和AP可以通信。配置WLAN時，沒有正確配置有線網(wǎng)絡(luò)的路由會造成管理VLAN之間無法通信，以及DHCP服務(wù)器或者DHCP代理配置不正確會導(dǎo)致AP發(fā)現(xiàn)不了AC，這是最常見的錯誤。9.2.3AC+AP組網(wǎng)中的VLAN業(yè)務(wù)VLAN業(yè)務(wù)VLAN主要負責(zé)傳輸WLAN用戶（移動終端，也稱為STA）上網(wǎng)時的數(shù)據(jù)，它就是WLAN用戶接入后用戶所在的VLAN。對于AP來說，在直接轉(zhuǎn)發(fā)模式下，業(yè)務(wù)VLAN是AP為用戶的數(shù)據(jù)所加的VLAN標(biāo)簽。圖中AP1和S1之間的鏈路為Trunk鏈路，AP1收到PC1的數(shù)據(jù)后，將加上VLAN1的標(biāo)簽發(fā)往S1；AP2收到PC2的數(shù)據(jù)后，將加上VLAN2的標(biāo)簽發(fā)往S1。如果在隧道轉(zhuǎn)發(fā)模式下，業(yè)務(wù)VLAN是CAPWAP協(xié)議隧道內(nèi)用戶報文的VLAN標(biāo)簽。AP1收到PC1的數(shù)據(jù)后，將加上VLAN1的標(biāo)簽，再把數(shù)據(jù)封裝在CAPWAP報文發(fā)送到AC，AC解封CAPWAP后得到帶VLAN1標(biāo)簽的數(shù)據(jù)報文后再轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)9.2.3AC+AP組網(wǎng)中的VLAN直連式組網(wǎng)+直接轉(zhuǎn)發(fā)APVLAN11IP01SwitchRouterACMobilePC1IP1ACIP-VLAN11：00managementVLAN101：00serviceVLANAPVLAN11IP02SSID:HW101ServiceVLAN101MobilePC2IP2SwitchIPVLAN101GatewayDot1q101Dot1q11101CAPWAPDASAdot1qSIPDIPDATAFCSGw

MACPc

MACVLAN1011abcdefgFCS離開AP時的用戶幀數(shù)據(jù)報文控制報文9.2.4WLAN的基本業(yè)務(wù)配置流程創(chuàng)建AP組。配置網(wǎng)絡(luò)互通。配置AC系統(tǒng)參數(shù)。配置AC為瘦AP下發(fā)WLAN業(yè)務(wù)。9.2.4WLAN的基本業(yè)務(wù)配置流程創(chuàng)建AP組配置網(wǎng)絡(luò)互通配置AC系統(tǒng)參數(shù)AP上線配置SSID模板配置安全模板配置VAP模板配置模板綁定VAP模板綁定AP或AP組綁定模板9.2.4WLAN的基本業(yè)務(wù)配置流程配置AP上線添加AP有三種方式：離線導(dǎo)入AP、自動發(fā)現(xiàn)AP以及手工確認未認證列表中的AP。配置網(wǎng)絡(luò)互通配置DHCP服務(wù)器，為AP和STA分配IP地址，也可將AC設(shè)備配置為DHCP服務(wù)器。配置AP到DHCP服務(wù)器間的網(wǎng)絡(luò)互通；配置AP到AC之間的網(wǎng)絡(luò)互通。創(chuàng)建AP組每個AP都會加入并且只能加入到一個AP組中，AP組通常用于多個AP的通用配置。配置AC的國家碼（域管理模板）國家碼用來標(biāo)識AP射頻所在的國家，不同國家碼規(guī)定了不同的AP射頻特性，包括AP的發(fā)送功率、支持的信道等。配置源接口或源地址（與AP建隧道）每臺AC都必須唯一指定一個IP地址或接口，該AC設(shè)備下掛接的AP學(xué)習(xí)到此IP地址或者此接口下配置的IP地址，用于AC和AP間的通信，以及CAPWAP隧道的建立。配置AP上線時自動升級（可選）自動升級是指AP在上線過程中自動對比自身版本與AC或SFTP或FTP服務(wù)器上配置的AP版本是否一致，如果版本不一致，則進行升級，然后AP自動重啟再重新上線。添加AP設(shè)備（配置AP認證模式）9.2.4WLAN的基本業(yè)務(wù)配置流程配置和綁定模板為了方便用戶配置和維護WLAN的各個功能，針對WLAN的不同功能和特性設(shè)計了各種類型的模板，這些模板統(tǒng)稱為WLAN模板。AP或AP組的各個射頻域管理模板射頻模板射頻模板主要用于優(yōu)化射頻的參數(shù)，以及配置信道切換業(yè)務(wù)不中斷功能。VAP模板在VAP模板下配置各項參數(shù)，同時還可以引用SSID模板、安全模板、認證模板等。其他模板AP系統(tǒng)模板、定位模板、WIDS模板、Mesh模板等。域管理模板提供對AP的國家碼、調(diào)優(yōu)信道集合和調(diào)優(yōu)帶寬等的配置。引用引用引用射頻參數(shù)配置配置基本射頻參數(shù)：工作頻段、信道、發(fā)射功率等。引用創(chuàng)建SSID模板創(chuàng)建安全模板SSID用來指定不同的無線網(wǎng)絡(luò)。在STA上搜索可接入的無線網(wǎng)絡(luò)時，顯示出來的網(wǎng)絡(luò)名稱就是SSID。SSID模板主要用于配置WLAN網(wǎng)絡(luò)的SSID名稱。配置WLAN安全策略，可以對無線終端（STA）進行身份驗證，對用戶的報文進行加密，保護WLAN網(wǎng)絡(luò)和用戶的安全。配置數(shù)據(jù)轉(zhuǎn)發(fā)方式配置業(yè)務(wù)VLAN配置數(shù)據(jù)報文的轉(zhuǎn)發(fā)模式。VAP下發(fā)給AP的二層業(yè)務(wù)數(shù)據(jù)報文中都會帶有業(yè)務(wù)VLAN的VLANID。VAP模板引用引用9.2.4WLAN的基本業(yè)務(wù)配置流程VAP模板9.3WLAN漫游移動終端（STA）是會移動的，當(dāng)移動終端在同一個AP信號覆蓋下移動并不稱為漫游，只有當(dāng)移動終端在不同AP信號覆蓋范圍之間移動才稱為漫游。可以漫游是AC+AP組網(wǎng)的一大特點。9.3.1漫游簡介WLAN漫游是指STA在