1. 无线控制器AC（Access Controller）：在集中式网络架构中，AC对无线局域网中的所有AP进行控制和管理；
2. 接入点AP（Access Point）：为STA提供基于802.11标准的无线接入服务，起到有线网络和无线网络的桥接作用。分为瘦接入点、中心AP、远端单元RU。瘦接入点FIT AP（FIT Access Point）：在集中式网络架构的 瘦接入点（FIT AP ）架构中提供STA的无线接入服务，区别于传统的FAT AP，只提供可靠、高性能的无线连接功能，其他的增强功能统一在AC上集中配置。
3. 射频信号：提供基于802.11标准的WLAN技术的传输介质，是具有远距离传输能力的高频电磁波。本文指的射频信号是2.4G或5G频段的电磁波。
4. 虚拟接入点VAP（Virtual Access Point）: 是AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。
5. 服务集标识符SSID（Service Set Identifier）：表示无线网络的标识，用来区分不同的无线网络。例如，当我们在笔记本电脑上搜索可接入无线网络时，显示出来的网络名称就是SSID。SSID又分为BSSID和ESSID。

     多个AP可以拥有同一个ESSID以对用户提供漫游能力，但是BSSID必须唯一，因为数据链路层的MAC地址是唯一的。

      总结起来，VAP是业务实体，可以由多个AP为用户提供这个业务。一个AP也可以同时提供多个业务。

      每个AP都有一个唯一的BSSID，简单理解为MAC地址，每个AP可以共享一个或多个ESSID，ESSID可以简单理解为VAP的代号，我们所指的SSID一般是ESSID，也就是我们连接WLAN时看到的WLAN名称。

     WLAN网络架构分有线侧和无线侧两部分，有线侧是指AP上行到Internet的网络使用以太网协议。无线侧是指STA到AP之间的网络使用802.11协议。无线侧接入的WLAN网络架构为集中式架构。

集中式架构又分为瘦接入点（FIT AP）架构和敏捷分布Wi-Fi方案架构。

所有无线接入功能由AP和AC共同完成：

（1）AC集中处理所有的安全、控制和管理功能，例如移动管理、身份验证、VLAN划分、射频资源管理和数据包转发等。

（2）FIT AP完成无线射频接入功能，例如无线信号发射与探测响应、数据加密解密、数据传输确认等。

（3）AP和AC之间采用CAPWAP协议进行通讯，AP与AC间可以跨越二层网络或三层网络。

敏捷分布 Wi-Fi方案架构：在该架构下，通过AC集中管理和控制多个中心AP，每个中心AP集中管理和控制多个RU。

所有无线接入功能由RU、中心AP和AC共同完成：

（1）RU作为中心AP的远端射频模块，负责空口802.11报文的收发。

（2）中心AP代理AC分担对RU的集中管理和协同功能，如STA上线、配置下发、RU之

（3）AC集中处理所有的安全、控制和管理功能，例如移动管理、身份验证、VLAN划

分、射频资源管理和数据包转发等。

（4）中心AP与AC间可以是二层网络或三层网络，RU和中心AP之间需要二层可达。

在集中式网络架构中，FIT AP需要完成上线过程，AC才能实现对AP的集中管理和控

制。AP的上线过程包括：

（1）AP 获取IP地址：一般通过DHCP方式，为AP自动分配IP地址；

（2）CAPWAP 隧道建立阶段：AC通过CAPWAP隧道来实现对AP的集中管理和控制。CAPWAP隧道可以实现：AP与AC间的状态维护；AC对AP进行管理和业务配置下发；业务数据经过CAPWAP隧道集中到AC上转发。

   CAPWAP隧道建立，包括数据隧道和控制隧道。数据隧道：AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。控制隧道：通过CAPWAP控制隧道实现AP与AC之间的控制报文的交互。

（3）AP 接入控制阶段：AP发送Join Request请求，AC收到后会判断是否允许该AP接入，并响应Join Response报文。其中，Join Response报文携带了AC上配置的关于AP的版本升级方式及指定的AP版本信息。

（4） AP 的版本升级阶段：AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致，则AP开始更新软件版本。

（5） CAPWAP 隧道维持阶段：AP与AC之间交互Keepalive(UDP端口号为5247)报文来检测数据隧道的连通状态。AP与AC交互Echo(UDP端口号为5246)报文来检测控制隧道的连通状态。

CAPWAP隧道建立完成后，用户就可以接入无线网络。STA接入过程分为三个阶段：

扫描阶段、链路认证阶段和关联阶段。

扫描阶段：STA可以通过主动扫描和被动扫描获取到周围的无线网络信息。

链路认证阶段：为了保证无线链路的安全，接入过程中AP需要完成对STA的认证。

关联阶段：终端关联过程实质上是链路服务协商的过程。完成链路认证后，STA会继续发起链路服务协商，具体的协商通过Association报文实现。STA收到Association Response后，判断是否需要进行用户的接入认证：如果不需要，STA可以访问无线网络；如果需要，STA继续发起用户接入认证请求，用户接入认证成功后，STA才可以访问无线网络。

WLAN网络中的数据包括控制报文（管理报文）和数据报文。控制报文是通过CAPWAP的控制隧道转发的，用户的数据报文分为隧道转发（又称为“集中转发”）方式、直接转发（又称为“本地转发”）方式和Soft-GRE转发方式。

隧道转发方式是指用户的数据报文到达AP后，需要经过CAPWAP数据隧道封装后发送给AC，然后由AC再转发到上层网络：

直接转发方式是指用户的数据报文到达AP后，不经过CAPWAP的隧道封装而直接转发到上层网络，如 图7-22。

直接转发方式下的集中认证

    如果采用直接转发方式，业务数据不经过AC转发。当无线用户接入网络需要进行用户接入认证（例如，802.1X认证等）且接入控制点部署在AC上时，用户的认证报文就无法通过AC集中管理，这就给管理员对用户的统一控制造成了不便。AC在直接转发方式下默认支持集中认证功能，可以实现用户的认证报文通过CAPWAP隧道到达AC转发，数据报文不需要经过AC转发，如 图7-23。

Soft-GRE转发方式主要应用以下场景：运营商在现有的组网中部署WLAN网络，无线安全策略是open方式，希望无线用户的认证和计费都能在原有的BRAS设备上进行，由BRAS设备进行Portal认证或MAC认证等，实现有线和无线用户的认证计费统一管理。这种场景下，通常AC旁挂组网，只负责管理AP和配置无线业务，无线用户的数据报文到达AP后，经过Soft-GRE隧道封装后发送给BRAS设备，然后由BRAS设备再转发到上层网络。

     在AC+FIT AP网络架构中直接转发方式的场景中，STA通过WLAN接入Internet时，AP和AC之间需要先建立CAPWAP隧道，作为AP和AC之间的控制报文的转发通道。当CAPWAP链路故障时，AP无法与外界进行数据通信，AP上原有用户被迫下线，新用户也无法再接入，影响用户体验。

      使能CAPWAP断链业务保持功能，在CAPWAP链路中断后，AP能够继续提供数据业务，保证直接转发方式下STA的数据业务不中断，减小断链对用户造成的损失，提高了用户业务的可靠性。CAPWAP断链前和CAPWAP断链后STA的数据业务报文都是经过Switch转发到Internet，不需要经过AC，CAPWAP隧道中断对STA的数据业务并无影响。

使能CAPWAP断链后AP允许新用户接入功能后，在CAPWAP链路中断后，AP能够继续允许新用户上线，继续访问CAPWAP未中断前的所有网络资源。当CAPWAP链路恢复后，AP将所有离线接入的STA强制下线，让STA重新与该AP进行关联，并通过日志上报离线接入的STA信息。但对于Portal和MAC认证的用户，CAPWAP链路恢复后，AP将强制所有Portal和MAC认证的用户下线，并通过日志上报离线接入的Portal和MAC认证的用户信息。使能CAPWAP断链后AP允许新用户接入功能后，STA完成接入过程中的认证、关联以及后期的密钥协商阶段都是发生在AP与STA之间。

上一篇已经把整个网络的网络初始化已经完毕，从接入交换机的VLAN划分以及接口类型配置，到核心交换机的初始化，VLANIF创建跟DHCP与路由，出口路由器的路由 NAT等，这些初始化的目的主要是为了让整个网络能够通信起来，比如AP能获取到地址与AC建立CAPWAP隧道，当WLAN业务部署起来后，无线客户端关联后获取到地址能够正常访问其他内网或者外网。这次主要介绍WLAN业务相关，以及如何在两个AP之间进行漫游，包括二层漫游的注意事项。

4、Client关联，并且查看命令
6、漫游测试 （漫游过后会丢包？）
7、解析为什么会造成这样的情况以及解决方案
8、模拟器支持的漫游效果以及拓扑
9、在二层漫游时候应该注意的问题

说明：该拓扑内有2个办公区域，部署了无线业务，提供给办公人员使用，但是由于两个区域之间距离相对较远，一个AP的信号覆盖不了2个区域，所以必须每个办公区域1个AP，又希望办公人员从区域1到区域2办公的时候，不需要执行操作就能继续的享受无线提供的业务。AP设备连接在POE的接入交换机上面（二层交换机），接入交换机只提供VLAN的划分以及与核心交换机对接，核心交换机提供DHCP服务以及业务VLAN的网关，并提供高速转发，路由器作为出口设备，主要提供给下面客户端上网业务，在上面执行NAT服务，使得下面无线客户端能够访问外网。而AC主要是用来管理AP以及下发业务给AP，让AP正常工作。
说明：流量模板里面可以定义流量限速等，而安全模板则是定义安全策略，默认为Open，需求是WPA2 PSK+CCMP，所以这里修改了。

可以看到模拟器已经发出模拟的信号了，圆圈表示一个AP提供的信号覆盖范围。

可以看到客户端收到了一个无线信号，当然这个由于目前Client在AP 1的无线覆盖范围内，并没有在AP2，所以看不到AP2发送出来的。

可以关联上去后，获取地址到最后的链接成功。

可以通过该命令查看用户关联，默认它记录的是MAC地址跟IP地址对应

也可以通过该命令查看AP 0上面关联了哪些客户端

可以看到获取到了业务VLAN 101的地址。

可以看到访问外网没有任何问题，而且出口设备上面也有NAT转换。

6、漫游测试 （漫游过后会丢包？）

现在客户端已经早AP-1关联上去了

访问公网没有问题，然后一直开着测试

在最新版的模拟器中支持一个移动功能，它可以慢慢移动到自己指定的位置，让漫游可以切换，这样比人为手工来慢慢拖要方便很多。可以看到客户端从最开始AP-1发出的信号，慢慢移动，到可以收到AP-2的信号，然后漫游切换，直到只能看到AP-2发出的信号。

7、解析为什么会造成这样的情况以及解决方案

可以看到无线客户端从AP-1漫游到AP-2后突然不能通信了，那么造成这样的问题是什么呢？

我们可以看到核心交换机上面有这样的提示，说出现了MAC地址翻动，为什么会出现这个提示呢？ 我们来看下拓扑

无线客户端原本在AP-1上面，它通过AS-1交换机连接核心交换机，那么核心交换机学习到该无线客户端的MAC地址则是从G0/0/2后口学习到，那么对应的ARP信息也会是IP MAC然后+接口绑定在ARP表项中，当无线客户端从AP-1漫游到AP-2后，由于在持续发包，这时候数据包会从AS-2接入交换机发送给核心交换，但这时候核心交换机就发现原本MAC地址表里面的MAC地址是从G0/0/2学到，但是这时候又从G0/0/3收到了该源MAC对应的数据帧，所以交换机以为有相同的MAC地址出现在网络中，提示MAC地址flapping，不过华为交换机默认对MAC地址flapping是不采取措施的，只是告警而已，那么真正影响漫游后不通的是ARP。

但是我们在看核心交换上面的MAC地址其实已经更新到了，MAC地址从G0/0/3后口学到，那为什么ARP不会更新呢，这里我主要解决ARP更新问题，它能主动更新的话，那么则表示它能回应数据包的请求。

这里说下ARP的机制，在什么时候会刷新ARP表项，它只有收到这个表项对应的条目的请求、或者回应（包括免费ARP），无论从哪个接口收到，它都会更新定义的接口或者表项，这时候它才会刷新ARP表项。

我们可以看到目前无线客户端上面还是有对应的ARP映射关系的，所以跟本不会发送ARP的询问，这样也不会刷新。

可以用ARP-D来清理下

这时候就通了，这时候通是因为无线客户端没有对应的网关的ARP信息，所以要发送请求给网关，这时候网关收到ARP后，由于跟已经存在的ARP里面的条目一样，这时候会刷新ARP表项。

这时候就变成了101了。

当然在实际环境中，我们肯定不能要求客户漫游的时候还执行下这个操作，这样肯定是不太现实或者说失去了漫游的意义了。

这个命令的意思是当MAC地址表项里面的接口更新后，会刷新ARP表项，之前已经看到了，MAC地址只要漫游后，MAC地址表就更新过来了，这样就带动ARP的更新

2、在服务集下开启一个命令

这个命令的意思是，当无线客户端从一个AP漫游到了另外一个AP的时候，新的AP会发送一个免费ARP的消息，来刷新网关的ARP表项，这样避免漫游时候仅少量的丢包

在实际工作中推荐使用第二个功能，第一个比较容易造成设备动荡，所以不太建议使用。

注意：该功能在模拟器上面敲了没有效果，不会发送免费ARP来实现刷新ARP表项，所以这里我只能给出解决办法，演示不了。但是这种架构在实际工作中又很常见，所以讲解下如果遇到这样的问题的解决方案，为什么会产生这样的问题。

可以通过该命令来查看漫游的痕迹，可以看到之前是在AP ID 0下面，后面漫游后就在AP ID 1下面了。

8、模拟器支持的漫游效果以及拓扑

如果想在模拟器上面体验出效果的话，可以这样设计，只要是ARP的接口不需要刷新那么漫游肯定一直在通信的，怎么才能不刷新呢，那肯定都在一个接入交换机上面，所以这里把拓扑改变一下即可。

需要更改下配置，在接入交换机的3号接口下面添加一下管理与业务VLAN

这时候整个拓扑就变成了2台AP接入在一个交换机上面，这时候核心交换机学习到无线客户端的无论是MAC地址还是ARP表项都是从G0/0/2学习到，这时候就没有任何问题了。

可以看到无线客户端迁移到AP2的时候，只丢了一个包，然后又继续通了。这个因为ARP表项不需要刷新，所以核心交换机能够继续为其提供服务。 所以大家在用模拟器做无线设计的时候要考虑到这个问题 否则的话 漫游的好似好容易出现

9、在二层漫游时候应该注意的问题

（1）必须在同一AC下，在版本V2000R5后支持不同AC之间
（2）WALN-ESS的接口策略必须相同
（3）安全模板的认证方式必须一致，包括密钥
（4）服务集模板中的SSID和数据转发模式必须一致
（5）定义一个服务集即可，都调用在需要漫游的AP上面
（6）建议修改Channel为不干扰，而且重叠区域为10%~15%
（7）业务与管理VLAN都需要放行，否则漫游通过后VLAN不变，导致VLAN通过不了
（8）直接转发模式下，用户漫游后，与AP相连的接入设备的ARP表项未及时老化，会造成用户业务短暂中断，建议用户在AC的服务集视图下使能DHCP Snooping功能，AP会及时发送免费ARP报文给接入设备刷新ARP表项，保证漫游过程中用户业务不中断。

总结：华为的无线还是比较好理解的，加上有模拟器可以做实验，更加的可以感受到，但是也有很多问题存在，有的功能是模拟器不支持，有时候因为一个features不支持，导致一些效果看不了，大家有兴趣也可以自己分析下为什么造成不正常的，就跟之前提到的拓扑里面的，就因为ARP的问题，所以漫游后，业务通信不了。

本文首发于公众号：网络之路博客