WLAN无线局域网、AC无线控制器技术详解
目录
一、WLAN是什么
定义:WLAN就是无线局域网,它是计算机网络与无线通信技术相结合的产物,它利用射频(RF)技术,取代旧式的双绞线构成局域网络,提供传统有线局域网的所有功能。是一种利用电磁波传递信息实现在中短距离范围内通信的技术
主要无线技术:IrDA(红外线)、BlueTooth(蓝牙)、5G、802.11a/b/g/n、ZigBee
无线技术的优点:
1、无线让网络使用更自由,不受限于线缆和端口位置
2、无线让网络建设更经济,通信更便利,有效降低布线成本
3、无线让工作更高效,不受限于时间和地点
WLAN技术标准
| 标准 | 频段 | 定位 |
|---|---|---|
| 802.11b | 2.4G | 初代低速 WiFi |
| 802.11a | 5G | 早期 5G WiFi |
| 802.11g | 2.4G | 兼容 b,54M 主流老 WiFi |
| 802.11n(WiFi4) | 2.4G/5G | 双频,MIMO |
| 802.11ac(WiFi5) | 5G | 纯 5G 高速 |
| 802.11ax(WiFi6) | 2.4G/5G | 新一代 WiFi |
WLAN基本要素:
SSID(Service Set ID): 服务集识别码,无线网络的名称,用户通过 SSID 来识别并选择要连接的无线网络。
STA(Station):任何的无线终端设备,如手机、笔记本电脑
AP(Access Point):一种特殊的STA,无线网络的接入设备,负责提供无线信号覆盖,让 STA 可以接入网络。
AC(Access Controller):无线控制器,用于集中管理多个 AP,实现配置下发、用户认证、漫游管理等功能。
BSS(Basic Service Set):基本服务集,由一个 AP 和其连接的所有 STA 组成的基本无线单元,是无线网络的基本组成部分。
DS(Distribution System):分布式系统,用于连接多个 BSS 的骨干网络(BSS可相同,可不同),负责在不同 AP 之间转发数据,实现用户漫游。
ESS(Extended Service Set):扩展服务集,采用相同的SSID的多个BSS形成的更大规模的虚拟BSS。
WLAN面临的挑战与问题
1、干扰:工作在相同频段的其他设备会对WLAN设备的正常工作产生影响。
2、高密场景:无线终端密集场景下如何保证传输效率,对无线体验至关重要。
3、电磁辐射:无线设备的发射功率应满足安全标准,以减少对人体的伤害。
4、数据安全性:无线网络中,数据在空中传输,因此安全性显得尤为重要。
二、无线控制器自动注册AP
什么是Fit AP自动发现、自动注册、自动固化
目的:让 AP 不用手动配置就能被 AC 集中管理
1、AP 自动发现:AP 刚上电时,自动在网络里找到自己的 “管理者”——AC,并获取它的 IP 地址。
2、AP 自动注册(Auto Join):AP 找到 AC 后,和 AC 建立 CAPWAP 隧道,完成身份验证并加入 AC 管理的过程。
具体流程:AP 向 AC 发送Discovery Request报文;AC 回应Discovery Response,确认自己的身份;AP 发送Join Request,带上自己的序列号、型号等信息;AC 校验 AP 信息,通过后返回Join Response;隧道建立成功,AP 正式注册到 AC 上,进入受控状态。
3、AP 自动固化
AP 注册成功后,自动从 AC 下载配置文件,加载并固化到本地,无需人工配置。

(1)配置交换机
1、创建vlan
vlan 100
# 上联AC
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100
port trunk pvid vlan 100
# 下联AP
interface GigabitEthernet1/0/2
port link-type access
port access vlan 100
(2)配置AC:VLAN及三层接口、Trunk接口、DHCP地址池、无线服务模板、开启射频功能
1. 配置VLAN及三层接口
system-view
vlan 100
interface Vlan-interface100
ip address 192.1.0.1 255.255.0.0
2. 配置级联Trunk接口
interface GigabitEthernet1/0/0
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100
port trunk pvid vlan 100
3. 配置DHCP地址池
dhcp enable
dhcp server ip-pool 1
network 192.1.0.0 16
gateway-list 192.1.0.1
4. 配置无线服务模板
wlan service-template 1
ssid henu-学号
vlan 100
service-template enable
5. 开启自动识别AP与手动固化
wlan auto-ap enable
display wlan ap all //此处可显示固化后的ap列表
6.开启射频功能
wlan ap ap1
radio 2
service-template 1
radio enable
验证结果
1. 查看AP注册与固化状态
display wlan ap all
2、客户端列表
dis wlan client
3、AP和Phone获取IP地址
display dhcp server ip-in-use
三、无线控制器二层注册
Fit AP 二层注册的核心是AP 与 AC 同属一个广播域(同 VLAN、同网段),AP 通过二层广播发现 AC,然后建立CAPWAP 隧道完成注册与管控。
核心条件:AC 与 AP 在同一 VLAN、同一 IP 网段
注册原理与流程:
1. AP 上电获取 IP
- AP 通过DHCP获取 IP(与 AC 同网段)
2. 二层广播发现 AC(关键)
- AP 发广播 Discovery 请求,在本网段找 AC。
- 同广播域的 AC 收到后,检查 AP 权限(白名单 / 自动注册),回复Discovery 响应。
3. 建立 CAPWAP 隧道
- AP 与 AC 协商,建立CAPWAP 控制隧道
- 隧道用途:AC 下发配置、AP 上报状态、版本升级。
4. 配置下发与上线
- AP 从 AC 下载配置、版本、WLAN 模板。
- 注册完成,AP 转为Run 状态,开始提供无线服务。
二层 vs 三层注册
| 对比项 | 二层注册 | 三层注册 |
|---|---|---|
| 网络层级 | 同 VLAN / 同网段,无三层路由 | 跨网段 / 跨 VLAN,需三层互通 |
| AC 发现方式 | AP 二层广播 | DHCP Option 43 或 DNS |
| CAPWAP 隧道 | 直接建立 | 路由可达后建立 |
| 适用场景 | 小型网络、AC 与 AP 同楼 | 大型园区、多分支 |
(1)配置二层交换机,创建三个vlan
system-view
vlan 100
vlan 200
vlan 300
# 上联AC
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200 300
port trunk pvid vlan 100
# 下联AP
interface GigabitEthernet1/0/2
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
port trunk pvid vlan 100
# 下联有线终端
interface GigabitEthernet1/0/3
port access vlan 300
(2)配置AC:DHCP(注意三个VLAN的地址池都要配)、VLAN及三层接口、Trunk接口、无线服务模板、开启射频功能
1. 开启DHCP功能
system-view
dhcp enable
2. 配置DHCP地址池
# AP地址池
dhcp server ip-pool 1
network 192.168.201.0 mask 255.255.255.0
gateway-list 192.168.201.1
quit
# 无线用户地址池
dhcp server ip-pool 2
network 192.168.202.0 mask 255.255.255.0
gateway-list 192.168.202.1
quit
# 有线用户地址池
dhcp server ip-pool 3
network 192.168.203.0 mask 255.255.255.0
gateway-list 192.168.203.1
quit
3. 配置VLAN及三层接口
vlan 100
vlan 200
vlan 300
interface Vlan-interface100
ip address 192.168.201.1 255.255.255.0
interface Vlan-interface200
ip address 192.168.202.1 255.255.255.0
interface Vlan-interface300
ip address 192.168.203.1 255.255.255.0
4. 配置上联Trunk接口
interface GigabitEthernet1/0/0
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200 300
port trunk pvid vlan 100
5. 配置无线服务模板
wlan service-template 1
ssid henu-学号
service-template enable
开启自动识别功能
wlan auto-ap enable
6.开启射频功能
wlan ap ap1
radio 1
service-template 1 vlan 200
radio enable
AC在整个网络中的角色是什么?
AC(无线控制器)是整个无线网络的 “大脑”,AP(无线接入点)只是负责发射无线信号的 “天线”。
AP 本身不能独立工作,必须和 AC 建立连接,才能获取配置、上线并发射 Wi-Fi 信号。
所以 AC 的所有配置,本质上都是为了:
- 让 AP 能正常注册、上线
- 让无线用户能正常获取 IP、上网
- 统一管理所有 AP 的无线信号和策略
换言之,AP所有要实现的功能都在AC上配置,AP只负责和 AC 建立连接,才能获取配置、上线并发射 Wi-Fi 信号。
四、无线控制器三层注册
三层注册指 AP 与 AC 不在同一 VLAN / 网段,借助路由可达完成上线注册。
整体流程核心逻辑:
- Fit AP 上电初始化,先获取自身 IP 地址(DHCP);
- AP 通过多种方式(DHCP Option43、DNS、广播转单播)解析出 AC 的 IP;
- AP 主动发起 CAPWAP 控制通道 TCP连接 AC;
- AP 与 AC 完成 CAPWAP 隧道建立、证书 / 密钥校验、版本同步、配置下发;
- AP 完成注册,AC 统一管理射频、SSID、VLAN、信道功率等无线参数,用户业务数据通过 CAPWAP 数据隧道转发。
DHCP Option43的作用是什么?
解决三层注册痛点
二层注册 AP 可靠全网广播 CAPWAP 发现报文找 AC,但广播无法跨越三层网关(路由器 / 三层 VLANIF),跨网段 AP 收不到 AC 回复,无法上线。
DHCP 服务器下发 IP 地址时,通过 Option 43 携带AC 的 IP 地址,AP 拿到 AC 单播 IP 后,直接点对点发起 CAPWAP 隧道连接,实现跨三层上线,是大型园区无线三层部署必备技术。
简言之:三层 AP 跨网段时,DHCP 借 Option43 把 AC 的 IP 地址推给 AP,让 AP 不用广播、单播主动找到 AC 完成注册上线。
dhcp server ip-pool ap-vlan
option 43 hex 80070000C0A86401
(1)配置三层交换机
1. 配置VLAN及三层接口
system-view
vlan 100
vlan 200
vlan 300
vlan 400
interface Vlan-interface100
ip address 192.168.10.83 255.255.255.0
interface Vlan-interface200
ip address 192.168.20.1 255.255.255.0
interface Vlan-interface300
ip address 192.168.30.1 255.255.255.0
interface Vlan-interface400
ip address 192.168.40.1 255.255.255.0
2. 配置上联AC接口
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
3. 配置下联有线终端接口
interface GigabitEthernet1/0/2
port access vlan 300
4. 配置下联AP接口
interface GigabitEthernet1/0/3
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 200 400
port trunk pvid vlan 400
5. 配置DHCP及Option43
dhcp enable
# 无线用户地址池
dhcp server ip-pool 2
network 192.168.20.0 mask 255.255.255.0
gateway-list 192.168.20.1
quit
# 有线用户地址池
dhcp server ip-pool 3
network 192.168.30.0 mask 255.255.255.0
gateway-list 192.168.30.1
quit
# AP地址池(含Option43)
dhcp server ip-pool 4
network 192.168.40.0 mask 255.255.255.0
gateway-list 192.168.40.1
option 43 hex 8007000001c0a80a01
quit
(2)配置AC
1. 配置VLAN及三层接口
system-view
vlan 100
vlan 200
interface Vlan-interface100
ip address 192.168.10.1 255.255.255.0
2. 配置上联Trunk接口
interface GigabitEthernet1/0/0
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
3. 配置静态路由(指向AP网段)
ip route-static 192.168.40.0 255.255.255.0 192.168.10.83
4. 配置无线服务模板
wlan service-template 1
ssid henu-学号
service-template enable
5.自动识别、手动固化
wlan auto-ap enable
6.开启射频功能
wlan ap ap1
radio 1
service-template 1 vlan 200
radio enable
五、无线控制器本地MAC认证配置
本地MAC认证:AC本地维护用户MAC地址白名单,客户端接入时以MAC为用户名/密码完成认证,只有白名单内设备可接入无线网络,提升接入安全性。
应用场景:
场景 1:企业固定办公设备专属内网 WiFi
企业台式机、办公笔记本、打印机、工控终端数量固定,不希望员工私自用个人手机连内网 WiFi 窃取内网数据。
把所有办公设备 MAC 录入 AC 本地白名单,仅固定设备能接入内网 SSID;个人手机、外来访客即使搜到 WiFi 也无法连接,内网安全性大幅提升。
场景 2:小型门店、商铺专属自用 WiFi
小店老板自用收银机、收银平板、监控连 WiFi,不想让周边路人蹭网。
仅把自家设备 MAC 加入本地白名单,无密码 WiFi 也不会被蹭网
(1)配置交换机
system-view
vlan 100
vlan 200
# 上联AC
interface GigabitEthernet1/0/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
port trunk pvid vlan 100
# 下联AP
interface GigabitEthernet1/0/2
port link-type access
port access vlan 100
(2)配置AC
1. VLAN及三层接口配置
system-view
vlan 100
vlan 200
interface Vlan-interface100
ip address 112.12.1.25 255.255.0.0
interface Vlan-interface200
ip address 112.13.1.25 255.255.0.0
2. 级联Trunk接口
interface GigabitEthernet1/0/0
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
port trunk pvid vlan 100
3. 开启DHCP并配置地址池
dhcp enable
dhcp server ip-pool vlan100
network 112.12.0.0 mask 255.255.0.0
gateway-list 112.12.1.25
dhcp server ip-pool vlan200
network 112.13.0.0 mask 255.255.0.0
gateway-list 112.13.1.25
4. 配置本地认证域
domain local-mac
authentication lan-access local
authorization-attribute idle-cut 15 1024
5.创建本地MAC用户(填写客户端实际MAC)
local-user [00e004021235] class network //下划线处替换成你的字符串
password simple [00e004021235] //下划线处替换成你的字符串
service-type lan-access
6. 无线服务模板(绑定MAC认证)
wlan service-template 1
ssid henu-学号
vlan 200
client-security authentication-mode mac
mac-authentication domain local-mac
service-template enable
7.自动识别、手动固化
wlan auto-ap enable
8.开启射频功能
wlan ap ap1
radio 1
service-template 1 vlan 200
radio enable
DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。
更多推荐
所有评论(0)