上次说过了Mesh组网,但其自身存在缺点,导致其不适用于大型企业和校园网。于是我们来聊一聊另一种组网方案:AC+AP
原理
AC部署模式
直连部署
AP,AC,上层网络都被串联起来,所有设备必须通过AC到达上层网络
旁路部署
此部署模式对AC设备性能要求较高,但架构清晰组网简单
AC在旁挂在上层网络中,要到达上层网络可不通过AC
此部署模式组网灵活,可以配置AC和AP间只进行管理流量的往来,大大减轻AC的工作量
组网方式
二层组网
AP与AC之间的网络为直连或者二层网络
二层组网AP数量少,组网比较简单不适用大型组网
三层组网
AP与AC之间的网络为三层网络
三层组网AP数量多,组网一般比较复杂
AP上线
AP获取IP地址
一般用动态获取(DHCP)一般来说用AC作为AP的DHCP服务器或者另起一台DHCP服务器,或者使用核心交换机来做DHCP服务器
静态配置(先打上ap-address mode static 然后打ap-address static ip-add x.x.x.x(ip) x.x.x.x(mask) x.x.x.x(gateway))
发现AC
AP静态绑定AC(ap-address static ac-list x.x.x.x)
动态可使用DHCP(通过op43通告ACIP),DNS(DHCP,op15获取域名后DNS出IP)和广播方式
建立CAPWAP隧道
AP与AC关联,完成CAPWAP隧道的建立
CAPWAP分为数据隧道和控制隧道
数据隧道转发业务流量,而控制隧道进行管理报文的交互,且隧道中流量可采用DTSL加密,加强了其安全性
AP接入控制
AP发现AC后,AP发送Join request,AC收到后回复Join respond
华为AC提供了三种AP认证模式:SN序列号认证,MAC认证和不认证
AC导入AP也有三种模式:离线导入,自动发现,手工确认未认证列表中的AP
离线导入:在AC上提前预制AP的SN和MAC,当感知对应AP上线则正常上线
自动发现:AP在AP白名单中,则当AP与AC连接时,AP将被AC自动发现并正常上线
手工确认未认证列表中的AP:如下图,未认证列表中的AP需要手动确认后才能正常上线
AP版本升级(可选)
通过AC回复的Join respond报文判断是否需要更新,如果不一致AP发送Image Data Request请求版本
升级方式:AC模式(从AC上下载),FTP模式(从FTP服务器上下载),SFTP模式(从SFTP服务器上下载,更安全)
CAPWAP隧道维持
数据隧道维持:
AP与AC之间交互Keepalive报文来检测数据隧道的连通状态。
控制隧道维持:
AP与AC交互Echo报文来检测控制隧道的连通状态
AC预配置
配置AP模块