无线交换机（AC）核心技术详解：构建集中式Wi-Fi网络的基石

在现代企业级无线网络中，我们很少看到传统的"无线交换机"这个独立设备。取而代之的，是 "无线控制器" 和 "瘦AP" 组成的集中式管理架构。本文所探讨的"无线交换机"，正是指这个架构中的核心大脑------无线控制器 。它将复杂的无线管理功能集中化，而AP则简化为单纯的射频信号收发单元。本文将深入解析实现这一架构的三大关键技术：CAPWAP隧道 、AP的二三层上线 以及AP的数据转发模式。

一、 CAPWAP隧道：AC与AP之间的安全控制链

CAPWAP是无线控制器与瘦AP之间通信的基石协议。可以将其理解为一条在AC和AP之间建立的"虚拟数据线"。

1.1 什么是CAPWAP？

CAPWAP是一个标准的通信协议，用于AC对多个瘦AP进行集中管理、配置和控制。它定义了两者之间所有的交互方式。

1.2 为什么需要CAPWAP隧道？

集中管理：管理员只需在AC上进行配置（如SSID、安全策略、射频设置），AC通过CAPWAP隧道将配置和软件镜像分发给所有AP，实现了"一点配置，全局生效"。
自动部署：新AP接入网络后，能自动通过CAPWAP隧道发现AC并下载配置，即插即用。
安全通信：隧道可以对控制和管理报文进行加密和认证，防止窃听和非法AP接入。

1.3 CAPWAP隧道的两个通道

CAPWAP隧道内部逻辑上分为两个通道：

控制隧道：用于传输管理报文。包括AC对AP的配置下发、AP的状态上报、心跳检测、移动性管理消息等。此通道通常使用DTLS进行加密，确保管理安全。
数据隧道：用于传输无线用户的数据报文。这个通道的存在与否，取决于AP的转发模式。

二、 AP的二层与三层上线：AP如何找到它的"大脑"

AP在上电后，必须能够跨越复杂的网络拓扑发现并注册到AC，这个过程称为"上线"。根据AC与AP是否在同一个IP子网内，分为二层和三层上线。

1.1 AP的上线流程（通用步骤）

无论二层还是三层，AP的上线通常遵循以下步骤：

获取IP地址：AP通过DHCP获取一个IP地址、子网掩码、网关和DNS。
发现AC：AP通过一种或多种发现机制来定位AC的IP地址。
与AC建立CAPWAP隧道：AP与选定的AC进行版本确认、配置同步等，最终建立稳定的CAPWAP连接。
下载配置与工作：AP从AC下载完整的配置文件和可能的软件版本，然后开始广播SSID，为用户提供无线服务。

1.2 二层上线

场景：AC和AP位于同一个IP子网（同一个VLAN） 内。
发现机制 ：AP会直接在本网段内发送广播或组播的发现请求报文。AC收到后，会以单播形式回复发现响应。这是最简单直接的上线方式。

1.3 三层上线

场景：AC和AP位于不同的IP子网（不同的VLAN） 内。这是更常见的企业部署场景。
发现机制：由于路由器默认不转发广播包，AP需要其他方式来发现AC：
- DHCP Option 43：这是最常用、最可靠的方式。网络管理员在DHCP服务器上配置Option 43字段，其值为AC的IP地址列表。AP在通过DHCP获取IP地址时，会同时拿到AC的地址。
- DNS域名解析 ：AP可以通过解析一个预置的特定域名（如 huawei.ac.com）来获取AC的IP地址。这需要在DNS服务器上提前创建对应的A记录。
- 静态配置：在AP上手动指定AC的IP地址（不适用于大规模部署）。

核心区别：二层上线依赖本地广播，而三层上线需要通过DHCP或DNS等辅助服务来"告知"APAC的位置。

三、 AP的转发模式：数据包的旅程选择

AP的转发模式决定了无线用户的数据流量是如何被处理的，主要分为两种模式：直接转发 和隧道转发。

1.1 隧道转发

工作原理 ：所有无线用户的数据报文（无论去往何处），都会被AP封装在CAPWAP的数据隧道中，发送给AC。然后由AC统一解封装，再进行后续的转发。
数据路径 ：无线用户 -> AP -> CAPWAP数据隧道 -> AC -> 网络核心/互联网
优点：
- 集中控制：所有数据流都经过AC，便于实施统一的安全策略（如防火墙、QoS、入侵检测）。
- 简化网络设计：用户的网关可以设置在AC上，实现了"无线用户无论接入哪个AP，IP地址不变"的无缝漫游。
- 数据加密终点：如果使用加密，终点在AC，减轻了AP的负担。
缺点：
- 带宽瓶颈：所有流量汇聚到AC，对AC的性能和上行链路带宽要求很高。
- 转发路径非最优：对于访问同一交换机下的本地服务器，流量也需要绕行到AC，造成延迟。

1.2 直接转发

工作原理 ：无线用户的数据报文在AP上被直接解封装，然后由AP根据本地转发表直接转发到有线网络，而不再经过AC的CAPWAP数据隧道。只有管理报文仍通过CAPWAP控制隧道与AC通信。
数据路径 ：无线用户 -> AP -> 本地交换机 -> 目标网络/互联网
优点：
- 高性能、低延迟：数据流量就近转发，减轻了AC的负担，避免了不必要的带宽消耗。
- 路径最优：访问本地资源时效率更高。
缺点：
- 控制分散：AC无法对数据报文进行深入的检查和策略应用，安全性控制需要在接入交换机上实施。
- 漫游体验：在跨三层子网漫游时，需要依赖更复杂的移动性管理协议（如Mobile IP）来保持IP地址不变。

1.3 模式选择总结

特性	隧道转发	直接转发
流量路径	必经AC	本地交换，不经过AC
AC负载	高	低
网络延迟	相对较高	低
安全控制	集中，强大	分散，依赖网络设备
适用场景	对安全和集中管理要求高的场景	对性能和本地转发效率要求高的场景

总结

华为的AC+瘦AP架构通过CAPWAP隧道 实现了网络的"大脑"与"手脚"分离，使得无线网络的部署、管理和维护变得前所未有的高效。AP的二三层上线机制 确保了AP在任何网络位置都能灵活地找到AC并接入系统。而隧道转发与直接转发模式则为网络规划者提供了灵活的选择，可以根据对性能、安全性和管理便利性的不同需求，为数据流量规划最合适的旅程路径。理解这三项核心技术，是设计和运维一个现代化、高性能企业级Wi-Fi网络的基础。