羅軼蕾

摘 要：在FIT AP+AC架構(gòu)下，F(xiàn)IT AP與AC配合組網(wǎng)需要建立CAPWAP隧道。而學(xué)生在配置FIT AP+AC組網(wǎng)過程出現(xiàn)AP注冊不成功、搜索不到WiFi信號等問題時，往往束手無策，無思路。文章主要通過分析CAPWAP隧道建立的過程，掌握定位、分析、解決問題的思路。

關(guān)鍵詞：WLAN；FIT AP；CAPWAP

傳統(tǒng)WLAN網(wǎng)絡(luò)分析FAT AP和FIT AP兩種組網(wǎng)方式，其中FIT AP+AC組網(wǎng)因為適合中大規(guī)模組網(wǎng)場景，支持集中可視化管控、對用戶實現(xiàn)精細(xì)化策略管理、快速部署降低運維成本等因素，越來越受到企業(yè)用戶和運營商的青睞。相比較于原有的FAT AP，F(xiàn)IT AP僅保留了802.11協(xié)議和天線物理層的功能，其余網(wǎng)絡(luò)接入控制、移動性管理、安全控制等功能集中到接入控制器AC中。在FIT AP+AC架構(gòu)下，F(xiàn)IT AP為“零配置”設(shè)備，不能單獨工作，需要與AC配合使用。因此，無線接入點的控制和配置協(xié)議（Control and Provisioning of Wireless Access Points，CAPWAP）—用于AC與AP（此處以及下文專指FIT AP）通信的協(xié)議規(guī)范也應(yīng)運而生。

CAPWAP協(xié)議主要負(fù)責(zé)AP和AC的鏈路建立、AC對AP的配置管理、數(shù)據(jù)報文轉(zhuǎn)發(fā)等，只有AP和AC的CAPWAP隧道建立完成之后，AP才能正常工作。

1 CAPWAP隧道建立過程與問題分析

如圖1所示，CAPWAP隧道建立過程主要包括DHCP過程、AP發(fā)現(xiàn)AC、AP與AC建立控制通道、配置下發(fā)AP正常運行4個步驟。通過對建立過程的拆解和分析，分步進(jìn)行WLAN組網(wǎng)配置，則可以解決常見配置中出現(xiàn)的問題。

1.1 網(wǎng)絡(luò)規(guī)劃

很多學(xué)生在配置組網(wǎng)過程中，組網(wǎng)還沒有具體思路，就開始“背”命令行，這樣完全不可取。根據(jù)AP+AC組網(wǎng)中AC所處的位置，AP->本地網(wǎng)/外網(wǎng)路徑中數(shù)據(jù)報文轉(zhuǎn)發(fā)是否經(jīng)過AC，數(shù)據(jù)轉(zhuǎn)發(fā)類型分為數(shù)據(jù)報文本地轉(zhuǎn)發(fā)（AC只對AP進(jìn)行管理，業(yè)務(wù)數(shù)據(jù)由本地直接轉(zhuǎn)發(fā)）和數(shù)據(jù)報文集中轉(zhuǎn)發(fā)（業(yè)務(wù)數(shù)據(jù)報文由AP統(tǒng)一封裝后達(dá)到AC實現(xiàn)轉(zhuǎn)發(fā)，AC作為AP流量的轉(zhuǎn)發(fā)中樞）兩種方式。但是這兩種方式中，AP和AC建立CAPWAP隧道的過程沒有差別，因此不單獨區(qū)分。組網(wǎng)第一步劃分兩個VLAN，一個是管理VLAN，負(fù)責(zé)控制報文的轉(zhuǎn)發(fā)路徑；一個是業(yè)務(wù)VLAN，負(fù)責(zé)數(shù)據(jù)報文的轉(zhuǎn)發(fā)路徑。如果組網(wǎng)復(fù)雜，再額外加入其他路徑輔助VLAN，要求學(xué)生養(yǎng)成好習(xí)慣在組網(wǎng)圖中標(biāo)示出每個VLAN的功能作用以及所管理的范圍后，再進(jìn)行配置。在配置過程中，可以打開info centern，在配置過程中及時通過顯示的提示信息發(fā)現(xiàn)可能存在的問題，例如IP地址沖突等。

1.2 DHCP過程

根據(jù)AP和AC組網(wǎng)方式分為直接連接、通過二層網(wǎng)絡(luò)連接、跨越三層網(wǎng)絡(luò)連接3種組網(wǎng)方式，其中，AP直連或通過二層網(wǎng)絡(luò)連接時的組網(wǎng)配置類似，只是中間多了二層交換機(jī)做數(shù)據(jù)轉(zhuǎn)發(fā)，因此都?xì)w類到二層網(wǎng)絡(luò)連接中。

對于二層網(wǎng)絡(luò)，DHCP服務(wù)主要配置在無線控制器AC上，AC無線引擎配置DHCP相關(guān)內(nèi)容，交換引擎只配置接口歸屬VLAN，二層網(wǎng)絡(luò)對管理VLAN做透傳。AP發(fā)送的DHCP discovery報文即可到達(dá)AC通過DHCP server獲取IP地址。實際配置過程中，在AC上通過display dhcp server ip-in-use all可查看DHCP地址池是否分配了IP，如果沒有分配，則在中間的二層交換機(jī)查看接口報文數(shù)量、mac地址是否學(xué)習(xí)等信息，查看AP發(fā)送或者AC響應(yīng)的報文是否正常轉(zhuǎn)發(fā)。

AP通過3層網(wǎng)絡(luò)連接時，DHCP服務(wù)可以配置在3層交換機(jī)上，也可以配置在AC上。當(dāng)DHCP地址池配置在AC上，需要在3層交換機(jī)配置DHCP中繼，告知AP如何獲取AC的IP地址，將DHCP discovery報文轉(zhuǎn)發(fā)到AC上。

當(dāng)DHCP地址池配置在3層交換機(jī)上，AP直接從3層交換機(jī)申請到IP地址后，需要知道AC的IP地址才能讓AC接收到發(fā)現(xiàn)請求報文。此時可通過在DHCP地址池下的option43或者DNS兩種方式告知AP如何獲取AC的IP地址。其中，option43方式可以配置兩個AC的IP地址，用十六進(jìn)制表示，第一個IP為主AC，如果主AC故障則會切換到備AC。

DNS方式則是在DNS服務(wù)器上創(chuàng)建AC對應(yīng)的域名，在該域名下建立AC解析項，并通過DHCP地址池下的dns-list/domain-name告知DNS服務(wù)器地址和域名。AP發(fā)送DHCP請求獲取IP后，DHCP地址池沒有option43屬性，則AP繼續(xù)發(fā)送二層廣播請求，網(wǎng)絡(luò)不通則長時間沒有響應(yīng)。AP判斷超時后發(fā)送DNS解析請求，DNS服務(wù)器解析響應(yīng)告訴AP AC的地址，然后AP繼續(xù)發(fā)送單播請求給AC。

在實際配置過程中，如果沒有分配AP的IP地址，則通過查看接口報文數(shù)量、路由表的轉(zhuǎn)發(fā)、轉(zhuǎn)發(fā)路徑上接口ping測試等方式進(jìn)行定位。

1.3 AP發(fā)現(xiàn)AC

AP以單播或廣播的形式發(fā)送發(fā)現(xiàn)請求報文關(guān)聯(lián)AC，AC收到報文會返回一個單播響應(yīng)，其中包含AC優(yōu)先級或者AC上當(dāng)前的AP個數(shù)等，由AP決定與哪個AC建立會話。這步檢查方式則是在AC上ping AP獲取的IP地址，能夠ping通則證明路由轉(zhuǎn)發(fā)正常。如果不通則分段檢查路由情況，是否是因為沒有配置靜態(tài)/動態(tài)路由或者接口未加入VLAN、AC交換引擎配置存在問題等原因。

1.4 AP和AC建立控制通道并下發(fā)配置

AP->AC間網(wǎng)絡(luò)打通之后，再配置AC無線網(wǎng)絡(luò)部分內(nèi)容，包括wlan-ess，wlan service-template，wlan ap的配置。如果需要額外配置漫游、安全認(rèn)證等接入規(guī)則等一定要規(guī)劃好三者之間的歸屬關(guān)系，再進(jìn)行配置。安全認(rèn)證分為在AC上對無線用戶實施不同授權(quán)（基于SSID/AP/MAC的無線用戶授權(quán)）和對AP接入客戶實現(xiàn)安全控制（端口PSK/MAC地址認(rèn)證/Protal認(rèn)證等），相關(guān)配置可以在AP和AC直連場景上多進(jìn)行練習(xí)，再加入復(fù)雜組網(wǎng)，將基礎(chǔ)網(wǎng)絡(luò)和業(yè)務(wù)場景進(jìn)行區(qū)分，降低難度。此時，AP發(fā)出的廣播的發(fā)現(xiàn)請求報文會被AC接收并識別，判斷該AP是否有接入本機(jī)的權(quán)限，如果有則回應(yīng)發(fā)現(xiàn)響應(yīng)。AP和AC的連接則建立成功。這個步驟成功后，可以通過display wlan ap all查看到AP成功注冊到AC上，狀態(tài)由空閑I變成運行R。如果配置檢查都正確，AP一直注冊不成功，可以拔插AP的網(wǎng)線。因為在配置過程中，AP一般在上電獲取IP后就開始發(fā)送發(fā)現(xiàn)請求，但是由于AC還未配置完成，遲遲沒有接到響應(yīng)的AP會不再發(fā)送請求報文。重新上電后AP以為第一次接入網(wǎng)絡(luò)再一次發(fā)送請求，從上電到注冊成功大概2～3分鐘，需要耐心等待一會。如果仍然接入不成功，則表示配置存在問題。

AC回應(yīng)請求后，AP從無線控制器下載最新軟件版本、通過業(yè)務(wù)VLAN傳送用戶數(shù)據(jù)報文。無線終端搜索配置的ssid名稱進(jìn)行連接，如果連接成功可以在AC上通過display wlan client查看分配的IP地址和歸屬VLAN，如果連接不成功則表明業(yè)務(wù)VLAN的配置存在問題，只需要檢查業(yè)務(wù)VLAN的配置即可。

2 結(jié)語

通過對FIT AP+AC架構(gòu)下CAPWAP協(xié)議的拆解，每一步的作用、對應(yīng)的配置、配置目標(biāo)及檢測定位手段，使得學(xué)生不再糾結(jié)于下一條命令行是什么，而是因為要做哪些步驟才進(jìn)行這些配置。高瞻遠(yuǎn)矚系統(tǒng)性地進(jìn)行網(wǎng)絡(luò)規(guī)劃，而不僅是簡單地命令執(zhí)行錄入者，并且在遇到問題時知道如何分析并定位解決問題。