基于CAPWAP協(xié)議的FITAP+AC組網(wǎng)定位方法

羅軼蕾

摘 要：在FIT AP+AC架構(gòu)下，F(xiàn)IT AP與AC配合組網(wǎng)需要建立CAPWAP隧道。而學(xué)生在配置FIT AP+AC組網(wǎng)過程出現(xiàn)AP注冊(cè)不成功、搜索不到WiFi信號(hào)等問題時(shí)，往往束手無(wú)策，無(wú)思路。文章主要通過分析CAPWAP隧道建立的過程，掌握定位、分析、解決問題的思路。

關(guān)鍵詞：WLAN；FIT AP；CAPWAP

傳統(tǒng)WLAN網(wǎng)絡(luò)分析FAT AP和FIT AP兩種組網(wǎng)方式，其中FIT AP+AC組網(wǎng)因?yàn)檫m合中大規(guī)模組網(wǎng)場(chǎng)景，支持集中可視化管控、對(duì)用戶實(shí)現(xiàn)精細(xì)化策略管理、快速部署降低運(yùn)維成本等因素，越來越受到企業(yè)用戶和運(yùn)營(yíng)商的青睞。相比較于原有的FAT AP，F(xiàn)IT AP僅保留了802.11協(xié)議和天線物理層的功能，其余網(wǎng)絡(luò)接入控制、移動(dòng)性管理、安全控制等功能集中到接入控制器AC中。在FIT AP+AC架構(gòu)下，F(xiàn)IT AP為“零配置”設(shè)備，不能單獨(dú)工作，需要與AC配合使用。因此，無(wú)線接入點(diǎn)的控制和配置協(xié)議（Control and Provisioning of Wireless Access Points，CAPWAP）—用于AC與AP（此處以及下文專指FIT AP）通信的協(xié)議規(guī)范也應(yīng)運(yùn)而生。

CAPWAP協(xié)議主要負(fù)責(zé)AP和AC的鏈路建立、AC對(duì)AP的配置管理、數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)等，只有AP和AC的CAPWAP隧道建立完成之后，AP才能正常工作。

1 CAPWAP隧道建立過程與問題分析

如圖1所示，CAPWAP隧道建立過程主要包括DHCP過程、AP發(fā)現(xiàn)AC、AP與AC建立控制通道、配置下發(fā)AP正常運(yùn)行4個(gè)步驟。通過對(duì)建立過程的拆解和分析，分步進(jìn)行WLAN組網(wǎng)配置，則可以解決常見配置中出現(xiàn)的問題。

1.1 網(wǎng)絡(luò)規(guī)劃

很多學(xué)生在配置組網(wǎng)過程中，組網(wǎng)還沒有具體思路，就開始“背”命令行，這樣完全不可取。根據(jù)AP+AC組網(wǎng)中AC所處的位置，AP->本地網(wǎng)/外網(wǎng)路徑中數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)是否經(jīng)過AC，數(shù)據(jù)轉(zhuǎn)發(fā)類型分為數(shù)據(jù)報(bào)文本地轉(zhuǎn)發(fā)（AC只對(duì)AP進(jìn)行管理，業(yè)務(wù)數(shù)據(jù)由本地直接轉(zhuǎn)發(fā)）和數(shù)據(jù)報(bào)文集中轉(zhuǎn)發(fā)（業(yè)務(wù)數(shù)據(jù)報(bào)文由AP統(tǒng)一封裝后達(dá)到AC實(shí)現(xiàn)轉(zhuǎn)發(fā)，AC作為AP流量的轉(zhuǎn)發(fā)中樞）兩種方式。但是這兩種方式中，AP和AC建立CAPWAP隧道的過程沒有差別，因此不單獨(dú)區(qū)分。組網(wǎng)第一步劃分兩個(gè)VLAN，一個(gè)是管理VLAN，負(fù)責(zé)控制報(bào)文的轉(zhuǎn)發(fā)路徑；一個(gè)是業(yè)務(wù)VLAN，負(fù)責(zé)數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)路徑。如果組網(wǎng)復(fù)雜，再額外加入其他路徑輔助VLAN，要求學(xué)生養(yǎng)成好習(xí)慣在組網(wǎng)圖中標(biāo)示出每個(gè)VLAN的功能作用以及所管理的范圍后，再進(jìn)行配置。在配置過程中，可以打開info centern，在配置過程中及時(shí)通過顯示的提示信息發(fā)現(xiàn)可能存在的問題，例如IP地址沖突等。

1.2 DHCP過程

根據(jù)AP和AC組網(wǎng)方式分為直接連接、通過二層網(wǎng)絡(luò)連接、跨越三層網(wǎng)絡(luò)連接3種組網(wǎng)方式，其中，AP直連或通過二層網(wǎng)絡(luò)連接時(shí)的組網(wǎng)配置類似，只是中間多了二層交換機(jī)做數(shù)據(jù)轉(zhuǎn)發(fā)，因此都?xì)w類到二層網(wǎng)絡(luò)連接中。

對(duì)于二層網(wǎng)絡(luò)，DHCP服務(wù)主要配置在無(wú)線控制器AC上，AC無(wú)線引擎配置DHCP相關(guān)內(nèi)容，交換引擎只配置接口歸屬VLAN，二層網(wǎng)絡(luò)對(duì)管理VLAN做透?jìng)鳌P發(fā)送的DHCP discovery報(bào)文即可到達(dá)AC通過DHCP server獲取IP地址。實(shí)際配置過程中，在AC上通過display dhcp server ip-in-use all可查看DHCP地址池是否分配了IP，如果沒有分配，則在中間的二層交換機(jī)查看接口報(bào)文數(shù)量、mac地址是否學(xué)習(xí)等信息，查看AP發(fā)送或者AC響應(yīng)的報(bào)文是否正常轉(zhuǎn)發(fā)。

AP通過3層網(wǎng)絡(luò)連接時(shí)，DHCP服務(wù)可以配置在3層交換機(jī)上，也可以配置在AC上。當(dāng)DHCP地址池配置在AC上，需要在3層交換機(jī)配置DHCP中繼，告知AP如何獲取AC的IP地址，將DHCP discovery報(bào)文轉(zhuǎn)發(fā)到AC上。

當(dāng)DHCP地址池配置在3層交換機(jī)上，AP直接從3層交換機(jī)申請(qǐng)到IP地址后，需要知道AC的IP地址才能讓AC接收到發(fā)現(xiàn)請(qǐng)求報(bào)文。此時(shí)可通過在DHCP地址池下的option43或者DNS兩種方式告知AP如何獲取AC的IP地址。其中，option43方式可以配置兩個(gè)AC的IP地址，用十六進(jìn)制表示，第一個(gè)IP為主AC，如果主AC故障則會(huì)切換到備AC。

DNS方式則是在DNS服務(wù)器上創(chuàng)建AC對(duì)應(yīng)的域名，在該域名下建立AC解析項(xiàng)，并通過DHCP地址池下的dns-list/domain-name告知DNS服務(wù)器地址和域名。AP發(fā)送DHCP請(qǐng)求獲取IP后，DHCP地址池沒有option43屬性，則AP繼續(xù)發(fā)送二層廣播請(qǐng)求，網(wǎng)絡(luò)不通則長(zhǎng)時(shí)間沒有響應(yīng)。AP判斷超時(shí)后發(fā)送DNS解析請(qǐng)求，DNS服務(wù)器解析響應(yīng)告訴AP AC的地址，然后AP繼續(xù)發(fā)送單播請(qǐng)求給AC。

在實(shí)際配置過程中，如果沒有分配AP的IP地址，則通過查看接口報(bào)文數(shù)量、路由表的轉(zhuǎn)發(fā)、轉(zhuǎn)發(fā)路徑上接口ping測(cè)試等方式進(jìn)行定位。

1.3 AP發(fā)現(xiàn)AC

AP以單播或廣播的形式發(fā)送發(fā)現(xiàn)請(qǐng)求報(bào)文關(guān)聯(lián)AC，AC收到報(bào)文會(huì)返回一個(gè)單播響應(yīng)，其中包含AC優(yōu)先級(jí)或者AC上當(dāng)前的AP個(gè)數(shù)等，由AP決定與哪個(gè)AC建立會(huì)話。這步檢查方式則是在AC上ping AP獲取的IP地址，能夠ping通則證明路由轉(zhuǎn)發(fā)正常。如果不通則分段檢查路由情況，是否是因?yàn)闆]有配置靜態(tài)/動(dòng)態(tài)路由或者接口未加入VLAN、AC交換引擎配置存在問題等原因。

1.4 AP和AC建立控制通道并下發(fā)配置

AP->AC間網(wǎng)絡(luò)打通之后，再配置AC無(wú)線網(wǎng)絡(luò)部分內(nèi)容，包括wlan-ess，wlan service-template，wlan ap的配置。如果需要額外配置漫游、安全認(rèn)證等接入規(guī)則等一定要規(guī)劃好三者之間的歸屬關(guān)系，再進(jìn)行配置。安全認(rèn)證分為在AC上對(duì)無(wú)線用戶實(shí)施不同授權(quán)（基于SSID/AP/MAC的無(wú)線用戶授權(quán)）和對(duì)AP接入客戶實(shí)現(xiàn)安全控制（端口PSK/MAC地址認(rèn)證/Protal認(rèn)證等），相關(guān)配置可以在AP和AC直連場(chǎng)景上多進(jìn)行練習(xí)，再加入復(fù)雜組網(wǎng)，將基礎(chǔ)網(wǎng)絡(luò)和業(yè)務(wù)場(chǎng)景進(jìn)行區(qū)分，降低難度。此時(shí)，AP發(fā)出的廣播的發(fā)現(xiàn)請(qǐng)求報(bào)文會(huì)被AC接收并識(shí)別，判斷該AP是否有接入本機(jī)的權(quán)限，如果有則回應(yīng)發(fā)現(xiàn)響應(yīng)。AP和AC的連接則建立成功。這個(gè)步驟成功后，可以通過display wlan ap all查看到AP成功注冊(cè)到AC上，狀態(tài)由空閑I變成運(yùn)行R。如果配置檢查都正確，AP一直注冊(cè)不成功，可以拔插AP的網(wǎng)線。因?yàn)樵谂渲眠^程中，AP一般在上電獲取IP后就開始發(fā)送發(fā)現(xiàn)請(qǐng)求，但是由于AC還未配置完成，遲遲沒有接到響應(yīng)的AP會(huì)不再發(fā)送請(qǐng)求報(bào)文。重新上電后AP以為第一次接入網(wǎng)絡(luò)再一次發(fā)送請(qǐng)求，從上電到注冊(cè)成功大概2～3分鐘，需要耐心等待一會(huì)。如果仍然接入不成功，則表示配置存在問題。

AC回應(yīng)請(qǐng)求后，AP從無(wú)線控制器下載最新軟件版本、通過業(yè)務(wù)VLAN傳送用戶數(shù)據(jù)報(bào)文。無(wú)線終端搜索配置的ssid名稱進(jìn)行連接，如果連接成功可以在AC上通過display wlan client查看分配的IP地址和歸屬VLAN，如果連接不成功則表明業(yè)務(wù)VLAN的配置存在問題，只需要檢查業(yè)務(wù)VLAN的配置即可。

2 結(jié)語(yǔ)

通過對(duì)FIT AP+AC架構(gòu)下CAPWAP協(xié)議的拆解，每一步的作用、對(duì)應(yīng)的配置、配置目標(biāo)及檢測(cè)定位手段，使得學(xué)生不再糾結(jié)于下一條命令行是什么，而是因?yàn)橐瞿男┎襟E才進(jìn)行這些配置。高瞻遠(yuǎn)矚系統(tǒng)性地進(jìn)行網(wǎng)絡(luò)規(guī)劃，而不僅是簡(jiǎn)單地命令執(zhí)行錄入者，并且在遇到問題時(shí)知道如何分析并定位解決問題。