AP上线和一些其他内容

1、AP默认是不带有IP地址的，此时AP通过有两种方式获取到IP地址

第一种：手工配置

第二种：DHCP

在现有的环境中，一般使用的是DHCP的方式进行IP地址的获取，其原因不言而喻，相比起DHCP烦杂的手工配置IP肯定是不会被广泛采纳的。当DHCP可以使用同广播域内搭建DHCP服务器，也可以做DHCP中继，使用DHCP中继的时候要注意要保证DHCP服务器要有去往AP的路由，否则DHCP单播回包将无法正确传送。

当AP获取到IP地址之后，如果在DHCP中它有接收到含有option43的TLV，也就是被告知AC的IP地址，那么它就会通过单播的形式去与AC进行联系，尝试进行联系的报文为Discovery requst报文，若没有获取到AC的IP地址，那么它就会通过广播的方式尝试与AC进行通信。与AC通信成功后它们会建立capwap隧道，capwap隧道的有两个主要的作用，第一个是用于数据传输，第二个是用户AP的管理，管理隧道的端口是5246，数据业务的端口是5247，在建立了capwap隧道后，AP与AC之间的相关管理报文会通过capwap隧道进行传送，这个时候AP会发送join request报文，请求能够加入到AC的管理当中，AC对AP的加入请求总共有三种方式去验证，第一种，不认证，即所有的AP发送该报文后，AC都默认将其视为被管理的一份子，我在做实验的时候，经常使用的就是不认证，因为如果你配置了其他方式的认证，那么还要输入AP的mac地址，将会很麻烦，所以我是先让AP上线。第二种就是MAC地址认证，就是再AC中预先将AP的mac地址输入并将其视为认证的凭据，第三种是SN认证，SN码是AP上面都有的一种chanp编号，认证的方式和MAC认证差不多。第三种是在线授权，在线授权就是AP发送join request报文后，会在AC的后台生成待授权列表，这需要我们人工手动的进行授权。当然我们也可以设置白名单这样AP上线后就不需要什么认证了，也可以设置黑名单，这样AP将会被拒之门外。AP加入了AC后有一个可选的阶段就是版本升级，在AC回送的join response报文中会携带着AC的版本信息，这时如果AP配置了自动升级的功能，那么当他发现版本信息不一致后就会发送dataimage request报文请求新的版本文件，版本文件可以从AC上下载，也可以从FTP服务器下载，可以选择的下载方式有FTP，SFTP。版本升级完成后会自动重启，然后再次经历IP地址获取，join请求，到这里后，AP就正式上线了，同时为了维持以及确认隧道对端的存活与否，还要定时的发送报文信息进行确认：

数据隧道：keepalive报文

控制隧道：echo报文

然后就是AP的配置下发，AP上线后会自动发送config status request报文，让AC检查自己现在的配置是否完整，若不完整AC将会发送config status response报文，里面包含着AC上预先配置好的对AP的配置。于是AP接收该报文后就相当于配置完成并成功上线服务。

对于用户侧，他们如果要使用AP也要经过一番工作，首先无线设备需要检测到无线设备发出的无线信号，主要的报文时probe quest报文和beacon帧，有的时候AP会隐藏自己的SSID，所以我们需要发送带有SSID的probe quest报文，去主动的请求加入到这个网络，但是有的时候SSID是开放的，所以这个时候无线信号也可以发送不带任何SSID的probe报文，这个时候AP会主动的响应probe response报文。该报文携带着网络的相关信息，无线设备在接收该报文后就会在无线设备上显示该网络的存在，同时AP在设置下也可以定期的发送beacon帧，里同样携带者网络的相关信息，这样的话就可以使得无线设备更早地发现网络的存在。

在网络发现后用户当它想去尝试连接该网络的时候，然后就到了链路认证，链路认证就是认证主要作用就是验证你是否允许连接到该网络，从链路连接的角度去对你进行验证。

当链路认证成功后，会发送associate协商报文，主要协商的就是网络中的一些参数。

如果协商完成后就会到接入认证，接入认证是用户在使用网络之前的认证，对于WEP来说，有链路认证和后面的接入认证，但是对于WPA/WPA2没有链路认证，对于WPA/WPA2来说，它们有PSK，802.1X的认证方式。CCMP和TKIP的数据加密算法。当接入认证也完成后就到了DHCP的阶段，也就是客户端的地址获取阶段。DHCP后面可能还有用户认证，也就是单独设置一台服务器做用户身份的认证，这个就是图书馆里面的无线用户认证。

总结

网络扫描

链路认证

关联

接入认证

DHCP

用户认证