罗轶蕾

摘 要：在FIT AP+AC架构下，FIT AP与AC配合组网需要建立CAPWAP隧道。而学生在配置FIT AP+AC组网过程出现AP注册不成功、搜索不到WiFi信号等问题时，往往束手无策，无思路。文章主要通过分析CAPWAP隧道建立的过程，掌握定位、分析、解决问题的思路。

关键词：WLAN；FIT AP；CAPWAP

傳统WLAN网络分析FAT AP和FIT AP两种组网方式，其中FIT AP+AC组网因为适合中大规模组网场景，支持集中可视化管控、对用户实现精细化策略管理、快速部署降低运维成本等因素，越来越受到企业用户和运营商的青睐。相比较于原有的FAT AP，FIT AP仅保留了802.11协议和天线物理层的功能，其余网络接入控制、移动性管理、安全控制等功能集中到接入控制器AC中。在FIT AP+AC架构下，FIT AP为“零配置”设备，不能单独工作，需要与AC配合使用。因此，无线接入点的控制和配置协议（Control and Provisioning of Wireless Access Points，CAPWAP）—用于AC与AP（此处以及下文专指FIT AP）通信的协议规范也应运而生。

CAPWAP协议主要负责AP和AC的链路建立、AC对AP的配置管理、数据报文转发等，只有AP和AC的CAPWAP隧道建立完成之后，AP才能正常工作。

1 CAPWAP隧道建立过程与问题分析

如图1所示，CAPWAP隧道建立过程主要包括DHCP过程、AP发现AC、AP与AC建立控制通道、配置下发AP正常运行4个步骤。通过对建立过程的拆解和分析，分步进行WLAN组网配置，则可以解决常见配置中出现的问题。

1.1 网络规划

很多学生在配置组网过程中，组网还没有具体思路，就开始“背”命令行，这样完全不可取。根据AP+AC组网中AC所处的位置，AP->本地网/外网路径中数据报文转发是否经过AC，数据转发类型分为数据报文本地转发（AC只对AP进行管理，业务数据由本地直接转发）和数据报文集中转发（业务数据报文由AP统一封装后达到AC实现转发，AC作为AP流量的转发中枢）两种方式。但是这两种方式中，AP和AC建立CAPWAP隧道的过程没有差别，因此不单独区分。组网第一步划分两个VLAN，一个是管理VLAN，负责控制报文的转发路径；一个是业务VLAN，负责数据报文的转发路径。如果组网复杂，再额外加入其他路径辅助VLAN，要求学生养成好习惯在组网图中标示出每个VLAN的功能作用以及所管理的范围后，再进行配置。在配置过程中，可以打开info centern，在配置过程中及时通过显示的提示信息发现可能存在的问题，例如IP地址冲突等。

1.2 DHCP过程

根据AP和AC组网方式分为直接连接、通过二层网络连接、跨越三层网络连接3种组网方式，其中，AP直连或通过二层网络连接时的组网配置类似，只是中间多了二层交换机做数据转发，因此都归类到二层网络连接中。

对于二层网络，DHCP服务主要配置在无线控制器AC上，AC无线引擎配置DHCP相关内容，交换引擎只配置接口归属VLAN，二层网络对管理VLAN做透传。AP发送的DHCP discovery报文即可到达AC通过DHCP server获取IP地址。实际配置过程中，在AC上通过display dhcp server ip-in-use all可查看DHCP地址池是否分配了IP，如果没有分配，则在中间的二层交换机查看接口报文数量、mac地址是否学习等信息，查看AP发送或者AC响应的报文是否正常转发。

AP通过3层网络连接时，DHCP服务可以配置在3层交换机上，也可以配置在AC上。当DHCP地址池配置在AC上，需要在3层交换机配置DHCP中继，告知AP如何获取AC的IP地址，将DHCP discovery报文转发到AC上。

当DHCP地址池配置在3层交换机上，AP直接从3层交换机申请到IP地址后，需要知道AC的IP地址才能让AC接收到发现请求报文。此时可通过在DHCP地址池下的option43或者DNS两种方式告知AP如何获取AC的IP地址。其中，option43方式可以配置两个AC的IP地址，用十六进制表示，第一个IP为主AC，如果主AC故障则会切换到备AC。

DNS方式则是在DNS服务器上创建AC对应的域名，在该域名下建立AC解析项，并通过DHCP地址池下的dns-list/domain-name告知DNS服务器地址和域名。AP发送DHCP请求获取IP后，DHCP地址池没有option43属性，则AP继续发送二层广播请求，网络不通则长时间没有响应。AP判断超时后发送DNS解析请求，DNS服务器解析响应告诉AP AC的地址，然后AP继续发送单播请求给AC。

在实际配置过程中，如果没有分配AP的IP地址，则通过查看接口报文数量、路由表的转发、转发路径上接口ping测试等方式进行定位。

1.3 AP发现AC

AP以单播或广播的形式发送发现请求报文关联AC，AC收到报文会返回一个单播响应，其中包含AC优先级或者AC上当前的AP个数等，由AP决定与哪个AC建立会话。这步检查方式则是在AC上ping AP获取的IP地址，能够ping通则证明路由转发正常。如果不通则分段检查路由情况，是否是因为没有配置静态/动态路由或者接口未加入VLAN、AC交换引擎配置存在问题等原因。

1.4 AP和AC建立控制通道并下发配置

AP->AC间网络打通之后，再配置AC无线网络部分内容，包括wlan-ess，wlan service-template，wlan ap的配置。如果需要额外配置漫游、安全认证等接入规则等一定要规划好三者之间的归属关系，再进行配置。安全认证分为在AC上对无线用户实施不同授权（基于SSID/AP/MAC的无线用户授权）和对AP接入客户实现安全控制（端口PSK/MAC地址认证/Protal认证等），相关配置可以在AP和AC直连场景上多进行练习，再加入复杂组网，将基础网络和业务场景进行区分，降低难度。此时，AP发出的广播的发现请求报文会被AC接收并识别，判断该AP是否有接入本机的权限，如果有则回应发现响应。AP和AC的连接则建立成功。这个步骤成功后，可以通过display wlan ap all查看到AP成功注册到AC上，状态由空闲I变成运行R。如果配置检查都正确，AP一直注册不成功，可以拔插AP的网线。因为在配置过程中，AP一般在上电获取IP后就开始发送发现请求，但是由于AC还未配置完成，迟迟没有接到响应的AP会不再发送请求报文。重新上电后AP以为第一次接入网络再一次发送请求，从上电到注册成功大概2～3分钟，需要耐心等待一会。如果仍然接入不成功，则表示配置存在问题。

AC回应请求后，AP从无线控制器下载最新软件版本、通过业务VLAN传送用户数据报文。无线终端搜索配置的ssid名称进行连接，如果连接成功可以在AC上通过display wlan client查看分配的IP地址和归属VLAN，如果连接不成功则表明业务VLAN的配置存在问题，只需要检查业务VLAN的配置即可。

2 结语

通过对FIT AP+AC架构下CAPWAP协议的拆解，每一步的作用、对应的配置、配置目标及检测定位手段，使得学生不再纠结于下一条命令行是什么，而是因为要做哪些步骤才进行这些配置。高瞻远瞩系统性地进行网络规划，而不仅是简单地命令执行录入者，并且在遇到问题时知道如何分析并定位解决问题。