在组建企业级无线局域网（WLAN）时，往往采用无线控制器AC+无线接入点AP的方式，便于实现无线设备集中统一管理和维护。AC和各AP之间一般运行CAPWAP（无线接入点控制和配置）协议。

CAPWAP是基于UDP端口的应用层协议，AC与AP的数据交互，需要先通过控制报文（基于UDP 5246）建立CAPWAP隧道，再发送数据报文（基 于 UDP 5247）。 数据报文可以选择经由CAPWAP隧 道 封 装，也可以选择直接发送。CAPWAP隧道建立过程比较复杂，如图1所示。

由于AP和AC交互过程多，又采用UDP协议，而实际的WLAN组网中，经常会碰到所选用的WLAN产品厂商与原有有线局域网产品厂商不同的情况，此时CAPWAP隧道的建立可能会遇到一些问题。

图1 CAPWAP隧道建立过程

比如笔者单位在CISCO有线局域网环境中，部署华为WLAN时就发生了AC和AP建立CAPWAP隧道失败的情况。有线网络采用的核心层、接入层的两层架构，核心交换机为CISCO6504-E，接入层为C2960；WLAN部分采用华为 AC6605和 AP6050DN，由于AP数量为130台，只需一台AC即可，且为了不改变有线网络的结构，AC采用旁挂式部署，二层组网，即AC地址和AP的管理地址在同一VLAN，另外再为AP划分几个业务VLAN，总体拓扑如图2。

为便于说明多厂商设备组建无线局域网时CAPWAP管理隧道建立时所遇到的问题，本文使用了GNS3和ENSP两种模拟器来进行组合实验。用GNS3模拟CISCO的汇聚层C6504-E和接入层C2960交换机，即有线网络部分，用华为的ENSP模拟器来模拟华为AC6605和AP6050DN等无线设备，并用环回网卡来互联两个模拟器的网络设备，有线侧拓扑如图3。

图2 总体拓扑

GNS3版 本 为 2.1.3，R3为7200路由器，用于代替防火墙，配置f0/0.100、f0/0.101等子接口，并封装802.1q，设置子接口IP地址。R1为3640路由器，配NM-16ESW交换板卡来模拟C6504-E核心交换机，创 建 VLAN 100、101，均设置VLAN接口地址，创建2个DHCP地址池，VLAN 100为管理VLAN，为所有AP提 供 IP地 址，f0/0、f0/1、f0/2接口均设为TRUNK即可，不设Native VLAN。R2为3640路由器，配NM-16ESW交换板卡来模拟C2960接入交换机，创建 VLAN 100、101，不设置VLAN接口地址，f0/0、f0/1接口均设为TRUNK即可，不设Native VLAN。

图3 GNS3的拓扑

在Windows设备管理器中添加过时硬件、网络适配 器、厂 商 Microsoft、型号Microsoft KM-TEST环回 适 配 器（Windows 10系统下），添加2块环回网卡，重启电脑，为防止实验过程中AP通过DHCP获取IP时，环回网卡的IP突然发生变化，手动指定2块环回网卡的 IP，如 169.254.X.X/16即可。添加2个Cloud，其中Cloud-1使用环回网卡用来桥接ENSP中的华为AC，Cloud-2使用环回网卡2用来桥接ENSP中的华为AP，为尽量简化实验设计，实验中只接入一个AP，若要接入更多AP，可再添加几个环回网卡，无线侧拓扑如图4。

AC上创建VLANIF 100、101，为 VLANIF 100接口指定IP地址为172.16.100.100，g0/0/1接口配置TRUNK，允许VLAN 100、101 通过，不指定 PVID，设置 CAPWAP源接 口 为 VLANIF 100，AP零配置即可。添加2个Cloud，Cloud1添加 1个UDP接口，添加1个环回接口（绑定环回网卡），并将2个接口做双向通道端口映射，用来桥接GNS3中的C6504-E核心（或称汇聚）交换机。Cloud2添加1个UDP接口，添加1个环回接口（绑定环回网卡2），并将2个接口做双向通道端口映射，用来桥接GNS3中的C2960接入交换机。

GNS3中CISCO设备配置如下。

图4 ENSP的拓扑

R1配置：

R2配置：

R3配置：

R1和R3进行连通性测试，正常。

ENSP中AC配置如下。

AC配置：

配置说明：由于AP采用默认的直接转发方式，业务VLAN不经CAPWAP隧道封装，而是本地转发，在AP与AC通信所经过的每台CISCO交换机的相应接口上，均必须设置为TRUNK。

进行上述配置后，分别在AP上联接口ge0/0/0和AC接口ge0/0/1进行Wireshark抓包，观察CAPWAP隧道建立是否正常，进行到哪个阶段。发现第一阶段的DHCP过程中，AP发送DHCP Discover广播包，而始终无法收到DHCP Offer报文。

分析：AP通过Cloud2桥接在R2的f0/1接口，而该接口设置为TRUNK模式，默认的Natrive VLAN是VLAN 1，与 作 为 DHCP Server的R1上VLAN 100间因为VLAN tag的原因无法进行L2广播，因此DHCP Server根本无法收到DHCP Discover广播包，也就无法做出响应。

在R2的f0/1接口设置Native VLAN 100，对 VLAN 100不打tag标记，即在R2上添加如下配置：

interface fast Ethernet 0/1

switchport trunk native vlan 100

图5 wireshark抓包分析

exit

此时Wireshark显示DHCP过程正常，且WAPCAP过程已启动。但到控制通道维护的Run阶段，AC响应Echo Response后，出现了不应有的组播包，隧道发生故障，可能是VLAN tag原因，导致无法正确解包。在AC上用“display ap all”命令查看AP状态，发现AP状态会经历idle、cfg、cfgfa、fault，WAPCAP隧道建立失败。将vap-profile改为隧道转发模式时故障依旧，因为此时CAPWAP管理隧道尚未完全建立，无法建立数据隧道来下发射频、业务VLAN等配置。Wireshark抓包如图5所示。

经过对各设备接口TRUNK配置的不断调整，最终发现只有在将R1的f0/0口、AC的g0/0/1口、R2的f0/1口同时对VLAN 100不打tag标记时，CAPWAP才完全正常，此时AP处于normal状态，AP能够发射2.4G射频信号，STA可以连接SSID，通过DHCP获取业务VLAN 101的地址，并与R1、R3等设备通信。即在R1上需添加命令：

interface fast Ethernet 0/0

switchport trunk native vlan 100

exit

在AC上添加命令：

interface Gigabit Ethernet 0/0/1

port trunk pvid vlan 100

exit