目录

一、WLAN是什么

二、无线控制器自动注册AP

三、无线控制器二层注册

四、无线控制器三层注册

五、无线控制器本地MAC认证配置

一、WLAN是什么

定义:WLAN就是无线局域网,它是计算机网络与无线通信技术相结合的产物,它利用射频(RF)技术取代旧式的双绞线构成局域网络,提供传统有线局域网的所有功能。是一种利用电磁波传递信息实现在中短距离范围内通信的技术

主要无线技术:IrDA(红外线)、BlueTooth(蓝牙)、5G、802.11a/b/g/n、ZigBee

无线技术的优点:

1、无线让网络使用更自由,不受限于线缆和端口位置

2、无线让网络建设更经济,通信更便利,有效降低布线成本

3、无线让工作更高效,不受限于时间和地点

WLAN技术标准

标准 频段 定位
802.11b 2.4G 初代低速 WiFi
802.11a 5G 早期 5G WiFi
802.11g 2.4G 兼容 b,54M 主流老 WiFi
802.11n(WiFi4) 2.4G/5G 双频,MIMO
802.11ac(WiFi5) 5G 纯 5G 高速
802.11ax(WiFi6) 2.4G/5G 新一代 WiFi

WLAN基本要素:

SSID(Service Set ID): 服务集识别码,无线网络的名称,用户通过 SSID 来识别并选择要连接的无线网络。

STA(Station):任何的无线终端设备,如手机、笔记本电脑

AP(Access Point):一种特殊的STA,无线网络的接入设备,负责提供无线信号覆盖,让 STA 可以接入网络

AC(Access Controller):无线控制器,用于集中管理多个 AP实现配置下发、用户认证、漫游管理等功能。

BSS(Basic Service Set):基本服务集由一个 AP 和其连接的所有 STA 组成的基本无线单元,是无线网络的基本组成部分。

DS(Distribution System):分布式系统,用于连接多个 BSS 的骨干网络(BSS可相同,可不同),负责在不同 AP 之间转发数据,实现用户漫游。

ESS(Extended Service Set):扩展服务集,采用相同的SSID的多个BSS形成的更大规模的虚拟BSS。

WLAN面临的挑战与问题

1、干扰:工作在相同频段的其他设备会对WLAN设备的正常工作产生影响。

2、高密场景:无线终端密集场景下如何保证传输效率,对无线体验至关重要。

3、电磁辐射:无线设备的发射功率应满足安全标准,以减少对人体的伤害。

4、数据安全性:无线网络中,数据在空中传输,因此安全性显得尤为重要。


二、无线控制器自动注册AP

什么是Fit AP自动发现、自动注册、自动固化

目的:让 AP 不用手动配置就能被 AC 集中管理

1、AP 自动发现:AP 刚上电时,自动在网络里找到自己的 “管理者”——AC,并获取它的 IP 地址。

2、AP 自动注册(Auto Join):AP 找到 AC 后,和 AC 建立 CAPWAP 隧道完成身份验证并加入 AC 管理的过程

具体流程:AP 向 AC 发送Discovery Request报文;AC 回应Discovery Response,确认自己的身份;AP 发送Join Request,带上自己的序列号、型号等信息;AC 校验 AP 信息,通过后返回Join Response隧道建立成功,AP 正式注册到 AC 上,进入受控状态

3、AP 自动固化

AP 注册成功后,自动从 AC 下载配置文件,加载并固化到本地,无需人工配置。

(1)配置交换机

1、创建vlan
vlan 100
# 上联AC
interface GigabitEthernet1/0/1
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 100
 port trunk pvid vlan 100
 # 下联AP
interface GigabitEthernet1/0/2
 port link-type access
 port access vlan 100

(2)配置AC:VLAN及三层接口、Trunk接口、DHCP地址池、无线服务模板、开启射频功能

1. 配置VLAN及三层接口
system-view
vlan 100
interface Vlan-interface100
 ip address 192.1.0.1 255.255.0.0
 
2. 配置级联Trunk接口
interface GigabitEthernet1/0/0
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 100
 port trunk pvid vlan 100
 
3. 配置DHCP地址池
dhcp enable
dhcp server ip-pool 1
 network 192.1.0.0 16
 gateway-list 192.1.0.1
 
4. 配置无线服务模板
wlan service-template 1
 ssid henu-学号
 vlan 100
 service-template enable
 
5. 开启自动识别AP与手动固化
wlan auto-ap enable 

display wlan ap all //此处可显示固化后的ap列表

6.开启射频功能 
wlan ap ap1
radio 2
service-template 1
radio enable

验证结果

1. 查看AP注册与固化状态
display wlan ap all

2、客户端列表
dis wlan client

3、AP和Phone获取IP地址
display dhcp server ip-in-use

三、无线控制器二层注册

Fit AP 二层注册的核心是AP 与 AC 同属一个广播域(同 VLAN、同网段),AP 通过二层广播发现 AC,然后建立CAPWAP 隧道完成注册与管控。

核心条件:AC 与 AP 在同一 VLAN、同一 IP 网段

注册原理与流程:

1. AP 上电获取 IP

  • AP 通过DHCP获取 IP(与 AC 同网段)

2. 二层广播发现 AC(关键)

  • AP 发广播 Discovery 请求,在本网段找 AC。
  • 同广播域的 AC 收到后,检查 AP 权限(白名单 / 自动注册),回复Discovery 响应

3. 建立 CAPWAP 隧道

  • AP 与 AC 协商,建立CAPWAP 控制隧道
  • 隧道用途:AC 下发配置、AP 上报状态、版本升级

4. 配置下发与上线

  • AP 从 AC 下载配置、版本、WLAN 模板
  • 注册完成,AP 转为Run 状态,开始提供无线服务。

二层 vs 三层注册

对比项 二层注册 三层注册
网络层级 同 VLAN / 同网段,无三层路由 跨网段 / 跨 VLAN,需三层互通
AC 发现方式 AP 二层广播 DHCP Option 43 或 DNS
CAPWAP 隧道 直接建立 路由可达后建立
适用场景 小型网络、AC 与 AP 同楼 大型园区、多分支

(1)配置二层交换机,创建三个vlan

system-view
vlan 100
vlan 200
vlan 300

# 上联AC
interface GigabitEthernet1/0/1
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 100 200 300
 port trunk pvid vlan 100
 
 # 下联AP
interface GigabitEthernet1/0/2
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 100 200
 port trunk pvid vlan 100
 
# 下联有线终端
interface GigabitEthernet1/0/3
 port access vlan 300

(2)配置AC:DHCP(注意三个VLAN的地址池都要配)、VLAN及三层接口、Trunk接口、无线服务模板、开启射频功能

1. 开启DHCP功能
system-view
dhcp enable

2. 配置DHCP地址池
# AP地址池
dhcp server ip-pool 1
 network 192.168.201.0 mask 255.255.255.0
 gateway-list 192.168.201.1
 quit
# 无线用户地址池
dhcp server ip-pool 2
 network 192.168.202.0 mask 255.255.255.0
 gateway-list 192.168.202.1
 quit
# 有线用户地址池
dhcp server ip-pool 3
 network 192.168.203.0 mask 255.255.255.0
 gateway-list 192.168.203.1
 quit
 
 3. 配置VLAN及三层接口
vlan 100
vlan 200
vlan 300

interface Vlan-interface100
 ip address 192.168.201.1 255.255.255.0

interface Vlan-interface200
 ip address 192.168.202.1 255.255.255.0

interface Vlan-interface300
 ip address 192.168.203.1 255.255.255.0
 
4. 配置上联Trunk接口
interface GigabitEthernet1/0/0
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 100 200 300
 port trunk pvid vlan 100
 
5. 配置无线服务模板
wlan service-template 1
 ssid henu-学号
 service-template enable
 
开启自动识别功能 
wlan auto-ap enable
 
 6.开启射频功能 
wlan ap ap1
  radio 1
  service-template 1 vlan 200
  radio enable

AC在整个网络中的角色是什么?

AC(无线控制器)是整个无线网络的 “大脑”,AP(无线接入点)只是负责发射无线信号的 “天线”。

AP 本身不能独立工作,必须和 AC 建立连接,才能获取配置、上线并发射 Wi-Fi 信号。
所以 AC 的所有配置,本质上都是为了:

  1. 让 AP 能正常注册、上线
  2. 让无线用户能正常获取 IP、上网
  3. 统一管理所有 AP 的无线信号和策略

换言之,AP所有要实现的功能都在AC上配置,AP只负责和 AC 建立连接,才能获取配置、上线并发射 Wi-Fi 信号。


四、无线控制器三层注册

三层注册指 AP 与 AC 不在同一 VLAN / 网段,借助路由可达完成上线注册。

整体流程核心逻辑:

  1. Fit AP 上电初始化,先获取自身 IP 地址(DHCP);
  2. AP 通过多种方式(DHCP Option43、DNS、广播转单播)解析出 AC 的 IP
  3. AP 主动发起 CAPWAP 控制通道 TCP连接 AC;
  4. AP 与 AC 完成 CAPWAP 隧道建立、证书 / 密钥校验、版本同步、配置下发;
  5. AP 完成注册,AC 统一管理射频、SSID、VLAN、信道功率等无线参数,用户业务数据通过 CAPWAP 数据隧道转发。

DHCP Option43的作用是什么?

解决三层注册痛点

二层注册 AP 可靠全网广播 CAPWAP 发现报文找 AC,但广播无法跨越三层网关(路由器 / 三层 VLANIF),跨网段 AP 收不到 AC 回复,无法上线。
DHCP 服务器下发 IP 地址时,通过 Option 43 携带AC 的 IP 地址,AP 拿到 AC 单播 IP 后,直接点对点发起 CAPWAP 隧道连接,实现跨三层上线,是大型园区无线三层部署必备技术。

简言之:三层 AP 跨网段时,DHCP 借 Option43 把 AC 的 IP 地址推给 AP,让 AP 不用广播、单播主动找到 AC 完成注册上线

dhcp server ip-pool ap-vlan
 option 43 hex 80070000C0A86401

(1)配置三层交换机

1. 配置VLAN及三层接口
system-view
vlan 100
vlan 200
vlan 300
vlan 400

interface Vlan-interface100
 ip address 192.168.10.83 255.255.255.0

interface Vlan-interface200
 ip address 192.168.20.1 255.255.255.0

interface Vlan-interface300
 ip address 192.168.30.1 255.255.255.0

interface Vlan-interface400
 ip address 192.168.40.1 255.255.255.0
 
 2. 配置上联AC接口
interface GigabitEthernet1/0/1
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 100 200
 
 3. 配置下联有线终端接口
interface GigabitEthernet1/0/2
 port access vlan 300

4. 配置下联AP接口
interface GigabitEthernet1/0/3
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 200 400
 port trunk pvid vlan 400
 
 5. 配置DHCP及Option43
dhcp enable

# 无线用户地址池
dhcp server ip-pool 2
 network 192.168.20.0 mask 255.255.255.0
 gateway-list 192.168.20.1
 quit

# 有线用户地址池
dhcp server ip-pool 3
 network 192.168.30.0 mask 255.255.255.0
 gateway-list 192.168.30.1
 quit

# AP地址池(含Option43)
dhcp server ip-pool 4
 network 192.168.40.0 mask 255.255.255.0
 gateway-list 192.168.40.1
 option 43 hex 8007000001c0a80a01
 quit

(2)配置AC

1. 配置VLAN及三层接口
system-view
vlan 100
vlan 200

interface Vlan-interface100
 ip address 192.168.10.1 255.255.255.0
 
2. 配置上联Trunk接口
interface GigabitEthernet1/0/0
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 100 200
 
3. 配置静态路由(指向AP网段)
ip route-static 192.168.40.0 255.255.255.0 192.168.10.83

4. 配置无线服务模板
wlan service-template 1
 ssid henu-学号
 service-template enable

5.自动识别、手动固化
wlan auto-ap enable 

6.开启射频功能 
wlan ap ap1
  radio 1
  service-template 1 vlan 200
  radio enable

五、无线控制器本地MAC认证配置

本地MAC认证:AC本地维护用户MAC地址白名单,客户端接入时以MAC为用户名/密码完成认证,只有白名单内设备可接入无线网络,提升接入安全性。

应用场景:

场景 1:企业固定办公设备专属内网 WiFi

企业台式机、办公笔记本、打印机、工控终端数量固定,不希望员工私自用个人手机连内网 WiFi 窃取内网数据。
把所有办公设备 MAC 录入 AC 本地白名单,仅固定设备能接入内网 SSID;个人手机、外来访客即使搜到 WiFi 也无法连接,内网安全性大幅提升。

场景 2:小型门店、商铺专属自用 WiFi

小店老板自用收银机、收银平板、监控连 WiFi,不想让周边路人蹭网。
仅把自家设备 MAC 加入本地白名单,无密码 WiFi 也不会被蹭网

(1)配置交换机

system-view
vlan 100
vlan 200

 # 上联AC
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
port trunk pvid vlan 100

# 下联AP
interface GigabitEthernet1/0/2
 port link-type access
 port access vlan 100

(2)配置AC

1. VLAN及三层接口配置
system-view
vlan 100
vlan 200

interface Vlan-interface100
 ip address 112.12.1.25 255.255.0.0

interface Vlan-interface200
 ip address 112.13.1.25 255.255.0.0
 
 2. 级联Trunk接口
interface GigabitEthernet1/0/0
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 100 200
 port trunk pvid vlan 100
 
 3. 开启DHCP并配置地址池
dhcp enable

dhcp server ip-pool vlan100
 network 112.12.0.0 mask 255.255.0.0
 gateway-list 112.12.1.25

dhcp server ip-pool vlan200
 network 112.13.0.0 mask 255.255.0.0
 gateway-list 112.13.1.25
 
4. 配置本地认证域
domain local-mac
 authentication lan-access local
 authorization-attribute idle-cut 15 1024
 
5.创建本地MAC用户(填写客户端实际MAC)
local-user [00e004021235] class network //下划线处替换成你的字符串
 password  simple  [00e004021235] //下划线处替换成你的字符串
 service-type lan-access
 
6. 无线服务模板(绑定MAC认证)
wlan service-template 1
 ssid henu-学号
 vlan 200
 client-security authentication-mode mac
 mac-authentication domain local-mac
 service-template enable
 
7.自动识别、手动固化
wlan auto-ap enable 

8.开启射频功能 
wlan ap ap1
  radio 1
  service-template 1 vlan 200
  radio enable

Logo

DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。

更多推荐