第九章：网络系统建设与运维（高级）—— 无线局域网

目录

[一、WLAN 基础核心概念](#一、WLAN 基础核心概念)

[1. 核心定义与元素](#1. 核心定义与元素)

[2. 主流组网拓扑](#2. 主流组网拓扑)

[3. 胖 AP（FAT AP）vs 瘦 AP（FIT AP）对比](#3. 胖 AP（FAT AP）vs 瘦 AP（FIT AP）对比)

[二、CAPWAP 协议（无线接入点控制和配置协议）](#二、CAPWAP 协议（无线接入点控制和配置协议）)

[1. 核心作用](#1. 核心作用)

[2. 关键特性](#2. 关键特性)

[3. CAPWAP 隧道建立流程（8 个步骤）](#3. CAPWAP 隧道建立流程（8 个步骤）)

[三、AC + 瘦 AP 组网核心配置](#三、AC + 瘦 AP 组网核心配置)

[1. 组网分类与适用场景](#1. 组网分类与适用场景)

[（1）按 AC 与 AP 的网络层级划分](#（1）按 AC 与 AP 的网络层级划分)

[（2）按 AC 在网络中的位置划分](#（2）按 AC 在网络中的位置划分)

（3）按数据流转发模式划分

[2. 组网中的 VLAN 作用](#2. 组网中的 VLAN 作用)

[3. AC + 瘦 AP 基本配置流程（核心步骤）](#3. AC + 瘦 AP 基本配置流程（核心步骤）)

（1）基础网络配置

[（2）AC 系统配置](#（2）AC 系统配置)

[（3）WLAN 业务配置](#（3）WLAN 业务配置)

（4）核心配置命令提炼（华为设备）

[四、WLAN 漫游技术](#四、WLAN 漫游技术)

[1. 漫游核心定义](#1. 漫游核心定义)

[2. 漫游分类](#2. 漫游分类)

[（1）按 AC 归属划分](#（1）按 AC 归属划分)

（2）按子网归属划分

[3. 漫游关键概念](#3. 漫游关键概念)

[4. 漫游过程](#4. 漫游过程)

五、补充知识点（实用拓展）

[1. 胖瘦 AP 选型建议](#1. 胖瘦 AP 选型建议)

[2. CAPWAP 隧道安全机制](#2. CAPWAP 隧道安全机制)

[3. 漫游优化配置](#3. 漫游优化配置)

[4. 常见故障排查](#4. 常见故障排查)

[（1）AP 无法发现 AC](#（1）AP 无法发现 AC)

[（2）AP 上线失败](#（2）AP 上线失败)

[（3）STA 无法接入 WLAN](#（3）STA 无法接入 WLAN)

（4）漫游时业务中断

---

一、WLAN 基础核心概念

1. 核心定义与元素

元素	定义	关键说明
SSID	无线网络标识（服务集标识符）	区分不同无线网络，一个 AP 可支持多 SSID
BSS	基本服务集	由 1 个 AP 和多个 STA 组成的最小服务单元
BSSID	基本服务集标识符	本质是 AP 的 MAC 地址，一个 AP 多 SSID 对应多个 BSSID
ESS	扩展服务集	多个同 SSID 的 BSS 组成，支持 STA 漫游
BSA	基本服务区域	AP 的无线信号覆盖范围，相邻 BSA 建议重叠 15%-25%
STA	无线终端设备	如手机、电脑等，是 WLAN 的接入终端
AP	无线接入点	连接有线与无线网络，分胖 AP（FAT AP）和瘦 AP（FIT AP）

2. 主流组网拓扑

• Ad-Hoc 拓扑：无中心 AP，所有节点对等通信，支持报文转发，适用于临时组网（如小型会议）。
• 基础架构拓扑：以 AP 为中心，STA 通过 AP 接入有线网络，是企业 / 园区的主流组网方式。
• AC + 瘦 AP 拓扑：瘦 AP 负责射频收发、加解密，AC 负责集中管理、配置下发、漫游控制，适用于大型网络。

3. 胖 AP（FAT AP）vs 瘦 AP（FIT AP）对比

特性	胖 AP	瘦 AP
独立工作能力	支持，无需 AC	不支持，依赖 AC 控制
功能集成	集成路由、DHCP、防火墙等	仅保留无线接入核心功能
管理方式	单 AP 配置，无集中管理	AC 集中管理，支持批量配置
组网规模	小型网络（家庭、SOHO）	大型网络（企业、园区）
成本	单 AP 成本高，无 AC 投入	单 AP 成本低，需额外部署 AC
漫游支持	仅支持二层简单漫游	支持 AC 内 / AC 间漫游，业务不中断

二、CAPWAP 协议（无线接入点控制和配置协议）

1. 核心作用

实现 AC 与瘦 AP 的通信，完成 AP 的发现、配置下发、隧道建立与维护，是 AC + 瘦 AP 组网的核心协议。

2. 关键特性

• 基于 UDP 协议，分为两种报文：
  • 控制报文：UDP 端口 5246，传输管理流（配置、状态），支持 DTLS 加密。
  • 数据报文：UDP 端口 5247，传输 STA 业务流，可通过 DTLS 加密。
• 协议框架：融合 LWAPP、SLAPP 等协议优势，支持二层 / 三层组网。

3. CAPWAP 隧道建立流程（8 个步骤）

1. DHCP 过程：AP 通过 DHCP 获取 IP 地址、网关、AC 地址（通过 option 43 字段，二层组网可省略）。
2. Discovery 过程：AP 发送 Discovery Request（单播 / 广播），AC 回应 Discovery Response，AP 选择最优 AC。
3. DTLS 握手（可选）：协商加密算法和密钥，保障隧道安全。
4. Join 过程：AP 与 AC 建立控制通道，AC 检查 AP 版本（版本不匹配则触发 Image Data 过程）。
5. Image Data 过程（可选）：AP 版本升级，升级后重启并重复前 4 步。
6. Configure 过程：AP 上报当前配置，AC 校验并下发配置。
7. Data Check 过程：AP 发送 Change State Event Request，AC 回应，隧道正式建立。
8. 隧道维护：AP 定期发送 Keepalive（数据流隧道）和 Echo Request（管理流隧道），维持连接。

三、AC + 瘦 AP 组网核心配置

1. 组网分类与适用场景

（1）按 AC 与 AP 的网络层级划分

组网类型	核心特征	适用场景
二层组网	AC 与 AP 在同一广播域，AP 通过广播发现 AC	小型网络（如办公楼、车间）
三层组网	AC 与 AP 跨路由，需 DHCP option 43 指定 AC 地址	大型网络（如园区、多楼栋）

（2）按 AC 在网络中的位置划分

组网类型	核心特征	优缺点
直连式组网	AC 串联在 AP 与核心网络之间，STA 数据流必经 AC	优点：架构清晰；缺点：AC 压力大，改变原有拓扑
旁挂式组网	AC 旁挂在汇聚 / 核心交换机，不改变原有拓扑	优点：部署灵活，不影响现有网络；缺点：隧道转发时 AC 压力较大

（3）按数据流转发模式划分

转发模式	数据路径	优缺点
直接转发	STA→AP→交换机→核心网络（不经过 AC）	优点：AC 压力小、转发效率高；缺点：安全性低，需透传业务 VLAN
隧道转发	STA→AP→CAPWAP 隧道→AC→核心网络	优点：安全性高、集中管理；缺点：AC 压力大、转发效率略低

2. 组网中的 VLAN 作用

• 管理 VLAN：传输 AC 与 AP 的控制流（DHCP、CAPWAP 控制报文），二层组网需同 VLAN，三层组网可跨 VLAN（需路由互通）。
• 业务 VLAN：传输 STA 的业务数据流，直接转发模式下 AP 为报文打 VLAN 标签，隧道转发模式下 VLAN 标签封装在 CAPWAP 隧道内。

3. AC + 瘦 AP 基本配置流程（核心步骤）

（1）基础网络配置

1. 配置 VLAN：划分管理 VLAN（如 VLAN 100）和业务 VLAN（如 VLAN 101）。
2. 配置 Trunk 链路：AP 与交换机、AC 与交换机的链路设为 Trunk，允许管理 / 业务 VLAN 通行。
3. 配置 DHCP：AC 或 DHCP 服务器为 AP（管理 VLAN）和 STA（业务 VLAN）分配 IP 地址。

（2）AC 系统配置

1. 创建 AP 组：将配置相同的 AP 归入同一组（如 ap-group1），简化批量管理。
2. 配置域管理模板：设置国家码（如中国 cn），影响射频信道和功率合规性。
3. 配置 CAPWAP 源接口：指定 AC 用于与 AP 通信的接口（如 VLANIF 100）。
4. AP 上线：离线导入 AP 的 MAC 地址，AP 加电后自动发现 AC 并上线（状态显示 "nor" 为正常）。

（3）WLAN 业务配置

1. 创建安全模板：配置认证方式（如 WPA-WPA2+PSK+AES）和密码。
2. 创建 SSID 模板：设置无线网络名称（SSID）。
3. 创建 VAP 模板：绑定安全模板和 SSID 模板，指定转发模式和业务 VLAN。
4. 引用 VAP 模板：在 AP 组中引用 VAP 模板，AP 的射频（2.4G/5G）启用业务。

（4）核心配置命令提炼（华为设备）

bash

运行

# 1. VLAN与Trunk配置（交换机）
vlan batch 100 101
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100 101
 port trunk pvid vlan 100  # AP接入端口默认VLAN为管理VLAN

# 2. DHCP配置（AC）
dhcp enable
interface Vlanif100  # 管理VLAN
 dhcp select interface
interface Vlanif101  # 业务VLAN
 dhcp select interface
 dhcp server dns-list 10.10.10.10

# 3. AP组与域管理模板
wlan
 regulatory-domain-profile name default
  country-code cn
 ap-group name ap-group1
  regulatory-domain-profile default

# 4. AP上线
capwap source interface Vlanif100
wlan
 ap auth-mode mac-auth
 ap-id 0 ap-mac ac85-3d92-3340  # 导入AP MAC地址
 ap-name area_1
 ap-group ap-group1

# 5. 业务配置
wlan
 security-profile name wlan-net
  security wpa-wpa2 psk pass-phrase a1234567 aes  # 安全模板
 ssid-profile name wlan-net
  ssid wlan-net  # SSID模板
 vap-profile name wlan-net
  forward-mode direct-forward  # 直接转发模式
  service-vlan vlan-id 101  # 业务VLAN
  security-profile wlan-net
  ssid-profile wlan-net
 ap-group name ap-group1
  vap-profile wlan-net wlan 1 radio 0  # 射频0引用VAP模板
  vap-profile wlan-net wlan 1 radio 1  # 射频1引用VAP模板

四、WLAN 漫游技术

1. 漫游核心定义

STA 在不同 AP 的 BSA 之间移动时，保持 SSID 不变、IP 地址不变、业务不中断的行为，是 AC + 瘦 AP 组网的核心优势。

2. 漫游分类

（1）按 AC 归属划分

• AC 内漫游：STA 漫游前后关联的 AP 由同一 AC 管理，无需额外配置，默认支持。
• AC 间漫游：STA 漫游前后关联的 AP 由不同 AC 管理，需配置漫游组和 AC 间隧道（CAPWAP），同步 STA 认证信息。

（2）按子网归属划分

• 二层漫游：漫游前后 STA 处于同一子网（业务 VLAN 相同）。
• 三层漫游：漫游前后 STA 处于不同子网（业务 VLAN 不同或同 VLAN 不同子网），需 AC 间同步 IP 地址信息。

3. 漫游关键概念

• HAC（Home AC）：STA 首次接入的 AC，存储 STA 的认证和授权信息。
• FAC（Foreign AC）：STA 漫游后接入的 AC，通过漫游组同步 STA 信息。
• HAP（Home AP）：STA 首次接入的 AP。
• FAP（Foreign AP）：STA 漫游后接入的 AP。
• 漫游组：AC 间漫游的前提，同一组内 AC 通过 CAPWAP 隧道同步数据。

4. 漫游过程

1. 切换检测：STA 监听周围 AP 的 Beacon 帧，发送 Probe 请求，评估信号质量。
2. 切换触发：当前 AP 信号强度低于阈值或业务丢包率超标，触发漫游。
3. 切换操作：STA 与新 AP 建立关联，保持原 IP 和会话，解除与旧 AP 的关联（业务不中断）。

五、补充知识点（实用拓展）

1. 胖瘦 AP 选型建议

• 家庭 / SOHO 场景：选胖 AP（集成路由、DHCP，部署简单）。
• 企业 / 园区场景：选 AC + 瘦 AP（集中管理、支持漫游、便于扩容）。
• 分支机构场景：小规格 AC + 少量瘦 AP（平衡管理效率和成本）。

2. CAPWAP 隧道安全机制

• 控制报文默认支持 DTLS 加密，通过协商密钥防止配置信息泄露。
• 数据报文可启用 DTLS 加密，避免中间网络解析用户数据。
• 配置建议：AC 端启用 CAPWAP DTLS 认证，AP 仅允许信任 AC 的连接。

3. 漫游优化配置

• 信道规划：相邻 AP 使用非重叠信道（2.4G：1、6、11；5G：149、153 等），减少干扰。
• 功率调整：避免 AP 功率过大导致覆盖重叠过多，引发切换频繁。
• 漫游阈值：在 AC 上配置合理的 RSSI 切换阈值（如 - 75dBm），避免过早 / 过晚切换。
• 快速漫游：启用 802.11r/k/v 协议，减少漫游认证时间（从数百毫秒降至几十毫秒）。

4. 常见故障排查

（1）AP 无法发现 AC

• 检查管理 VLAN 路由是否互通，Trunk 链路是否允许管理 VLAN 通行。
• 三层组网需确认 DHCP option 43 配置正确（AC 的 IP 地址）。
• 检查 AC 的 CAPWAP 源接口是否配置正确。

（2）AP 上线失败

• 确认 AP 的 MAC 地址已正确导入 AC（MAC 认证模式）。
• 检查 AP 版本是否与 AC 兼容，必要时触发 Image Data 升级。
• 排查物理链路（网线、端口状态）和供电（POE 交换机是否正常供电）。

（3）STA 无法接入 WLAN

• 检查 SSID 是否广播（部分场景可能隐藏 SSID）。
• 确认安全模板的认证方式和密码正确（如 WPA2 密码长度≥8 位）。
• 排查业务 VLAN 的 DHCP 是否正常分配 IP 地址。

（4）漫游时业务中断

• 确认 ESS 内所有 AP 的 SSID、安全配置一致。
• 检查相邻 AP 的 BSA 重叠是否足够（15%-25%）。
• AC 间漫游需确认漫游组配置和 AC 间隧道正常。