网络设备安装与调试技术 课件 （秦燊）第11章 组建无线局域网

第11章组建无线局域网编著：

秦燊

无线局域网（WLAN）是指以无线信道作为传输媒介的局域网络。无线局域网WLAN的传输介质包括红外线、无线电波等，红外技术已逐渐被蓝牙技术（IEEE802.15）取代。蓝牙工作在2.4GHz频段，传输速率最高1Mb/s，传输距离最大10米，用于个人操作空间，蓝牙技术与IEEE802.11协议互相补充。无线局域网基于IEEE802.11协议簇工作。IEEE802.11协议簇包括802.11a、802.11b、802.11g、802.11n（Wi-Fi4）、802.11ac（Wi-Fi5）和802.11ax（Wi-Fi6）等多个标准。其中，2019年推出的802.11ax工作频率为2.4GHz或5GHz，宽带速率可达600~9608Mb/s。11.1无线局域网基础

常见的WLAN组网设备如下：

1.无线工作站（STA），指连接到无线网络的计算机或智能终端。如PC、平板电脑、智能手机、无线打印机等。

2.无线接入点（AP），指为无线工作站连接到无线网络提供接入服务的无线网络设备。分为胖AP（FATAP）和瘦AP（FITAP）。胖AP适用于规模较小的环境，每台胖AP需要单独配置，胖AP除了具有基本的射频信号接入功能外，还具有IP地址分配、安全管理等网络管理功能；瘦AP适用于规模较大的环境，仅对外提供射频信号接入功能，各瘦AP无法单独配置，而是集中由一台专门的设备统一配置，减轻大规模环境下管理员的工作负担，提高工作效率。11.1.1常见的WLAN组网设备3.无线接入控制器（AccessController，AC），指用于集中控制管理瘦AP的网络设备。采用瘦AP组网时，由AC承担对AP的管理任务、向瘦AP下发配置，提供IP地址分配、DHCP服务等网络管理功能。网络管理员一般只需关注AC，无需逐一对AP进行配置，减少了工作量，增强了WLAN的扩展性。4.天线，由发送端天线和接收端天线组成。发送端发射的射频信号通过馈线输送到发送端天线，由天线以电磁波的形式辐射出去；接收端天线接收到电磁波后，再通过馈线输送到接收端。两个无线设备相距较远时，可借助天线提升射频信号强度。11.1.2无线局域网安全

如果无线接入点没有开启安全设置功能，那么周边的移动终端都可以查看到它的SSID（服务集标识符）值，无须密码直接接入，造成安全隐患，因此为WLAN开启安全设置是很重要的。WLAN安全设置包括禁用SSID广播、数据加密等。

1.SSID代表了一个无线局域网，只有连接到相同SSID值的终端才能直接通信。禁用SSID广播可以避免无线网络的SSID显示在用户无线网卡发现的SSID列表中，减少受到攻击的概率。另外，由于无线路由器或无线AP都有默认SSID值，为避免攻击者尝试使用默认SSID连接无线网络，启用WLAN时建议修改SSID值。

2.为避免非法用户入侵和窃听，需要开启加密、认证等功能。无线网络的数据加密技术有WEP（有线等效保密）、WPA、WPA2、WPA3等。WEP是802.11系列标准定义的链路层加密协议，协议核心是李斯特加密（RivestCipher4，RC4）算法，算法采用静态共享密钥（PSK），称为静态WEP。由于静态WEP安全性较低，有些厂商结合802.1X技术，推出了动态WEP标准。

3.为克服静态WEP的弱点，Wi-Fi联盟也于2003年推出了WPA（Wi-Fi保护接入）标准，该标准在WEP的基础上提出了TKIP（临时密钥完整性协议）加密方式。TKIP保留了WEP的基本架构，仍使用RC4的流加密机制，但增加了初始向量的长度、不再采用所有用户共用密钥而改用动态密钥机制为每个用户生成独立密钥、采用MIC（信息完整性校验）机制通过完整性校验保护源地址、为每个帧分配序列号防范重放攻击等。

4.随着2004年IEEE推出802.11i标准，Wi-Fi联盟也以此为基准修订WPA，推出了WPA2。WPA2采用802.11i定义的默认加密方式CCMP（计数器模式密码块链信息认证协议），CCMP使用AES（高级加密标准）作为加密算法，该算法弥补了RC4的缺陷，安全性更高。但AES对硬件要求较高，无法通过软件升级旧设备或旧网卡的方式支持CCMP。

5.为了满足兼容性，目前WPA和WPA2都支持802.1X和PSK认证，也都支持TKIP和CCMP加密算法。WPA和WPA2的不同主要表现在协议报文格式上的不同。WPA和WPA2分为个人版和企业版。个人版在AP和STA间采用预共享密钥（PSK）的方式进行认证；企业版采用专门的认证服务器通过802.1X等方式进行认证。

6.2018年1月，Wi-Fi联盟在WPA2的基础上发布了新一代的WPA3，WPA3个人版采用SAE（对等实体同时验证）协议取代了WPA/WPA2的PSK认证方式，可有效抵御离线字典攻击和增加暴力破解的难度。WPA3个人版采用向前保密，使攻击者就算有密码也无法解密截获的数据。WPA3企业版没有从根本上改变原有协议，主要从数据保护、流量保护和管理帧保护等方面进行了提升。11.1.3CAPWAP隧道一、AC与AP间隧道的建立在瘦AP+AC的组网模式中，全网的AP由AC统一管理，AC承担了AP配置、用户接入认证等管理功能，AC与AP之间采用称为CAPWAP的通信协议建立隧道。CAPWAP隧道包括控制通道和数据通道两种，分别使用UDP的5246端口和5247端口。CAPWAP隧道的建立过程如下：1.AP获取地址。通过配置DHCP服务（可在AC或核心交换机等设备上配置），为AP分配IP地址。2.AP发现AC。AP可以通过DHCP服务的Option43字段或通过DNS解析获取AC的IP地址。获取到AC的地址后，AP发送DiscoveryRequest报文尝试关联AC（三层网络通过单播、二层网络通过广播），AC收到请求后返回携带有AC优先级和当前已关联AP数量等信息的DiscoveryResponse给AP，由AP决定与哪个AC建立连接。3.建立DTLS连接。DTLS（DatagramTransportLevelSecurity，数据报安全传输协议）是UDP版本的TLS，用于防数据被窃听、篡改、身份冒充等。AC在DiscoveryResponse中会指示是否采用DTLS加密CAPWAP隧道中的UDP报文。

4.AP加入AC。AP发送JoinRequest报文请求加入AC并建立控制通道，AC发送JoinResponse响应。

5.AP版本升级。AP根据JoinResponse携带的版本要求判断自身版本是否符合，若不符合则向AC申请下发新版本。

6.AP配置下发。AP版本达到要求后，向AC发送ConfigurationStatusRequest（配置状态请求）报文，请求报文携带了AP现有的配置，若AC发现AP的配置不符合要求，则发送ConfigurationStatusResponse报文通知AP同步配置。

7.AP配置确认。AP配置完成后，向AC发送ChangeStateEventRequest（配置确认请求）报文，其中包含射频、错误码、配置信息等。AC回复ChangeStateEventResponse（配置确认响应）。

8.AP运行。配置确认后，意味着CAPWAP的控制通道已成功建立，AP进入运行状态，可以开始转发数据了。AP运行后会定期向AC发送EchoRequest（控制通道保活）报文，AC回应EchoResponse（控制通道响应）表示控制通道正常；另外，AP还定期向AC发送Keepalive（数据通道保活）报文，AC回应Keepalive报文表示数据通道正常。

二、CAPWAP数据的传输

CAPWAP隧道承载的数据包括管理报文和业务报文。其中，管理报文必须封装在CAPWAP控制通道中，在AP和AC间传输；业务报文则可选择不经过CAPWAP封装直接由AP转发到上行网络（称为直接转发或本地转发），也可选择先由AP封装到CAPWAP数据通道中传输给AC，再由AC进一步转发（称为隧道转发或集中转发）。

1.以管理报文从AC发往AP为例分析管理报文的传输。管理载荷在AC上会先封装CAPWAP头部，再封装UDP/IP头部，再封装802.3以太网头部，最后封装上管理VLANID头部形成管理报文。封装好后的管理报文途经交换机转发给AP。交换机在与AP相连的端口上一般要将PVID设置为管理VLANID，这样交换机就会先去掉PVID（即管理VLANID），再将管理报文转交给AP。之所以要这样处理，是因为AP一般只将不带VLAN标记的报文识别为管理报文。AP识别出管理报文后，依次去掉报文的802.3头部、UDP/IP头部和CAPWAP头部，再对剩下的管理载荷进行处理。

2.再以业务报文从无线终端发往AP为例，分析业务报文的直接转发模式和隧道转发模式。在直接转发模式下，无线工作站的无线网卡将业务数据封装上无线的802.11头部，通过无线信道发送到AP，AP收到的业务报文后，去除无线的802.11头部，封装上有线以太网的802.3头部，然后直接将其通过上行交换机转发到上行网络，无需经过AC集中处理，适用于中小规模的WLAN；隧道模式下，业务报文在AP上进行CAPWAP封装后经CAPWAP数据通道传到AC，由AC将其解封装后转发到上行网络，有利于数据传输的安全性、有利于AC对数据的集中控制和管理，适用于在现网中新增设备、减少对现网的改动。11.2无线设备的配置

在PacketTracer中搭建如图11-1所示拓扑，完成思科无线设备的配置。11.2.1思科无线设备的配置图11-1思科无线设备配置的拓扑

1.如图11-2所示，为RS1添加“AC-POWER-SUPPLY”模块。

2.如图11-3所示，为AP1添加“ACCESS_POINT_POWER_ADAPTER”模块。图11-2为RS1添加“AC-POWER-SUPPLY”模块图11-3为AP1添加“ACCESS_POINT_POWER_ADAPTER”模块

3.RS1的配置，命令如下：RS1(config)#vlan100RS1(config-vlan)#exitRS1(config)#vlan101RS1(config-vlan)#exitRS1(config)#interfacegigabitEthernet1/0/1RS1(config-if)#switchportmodetrunkRS1(config-if)#switchporttrunknativevlan101RS1(config-if)#exitRS1(config)#interfacegigabitEthernet1/0/2RS1(config-if)#switchportmodeaccessRS1(config-if)#switchportaccessvlan101RS1(config-if)#exitRS1(config)#intgigabitEthernet1/0/3RS1(config-if)#noswitchportRS1(config-if)#ipaddress172.16.1.1255.255.255.0RS1(config-if)#exitRS1(config)#iproutingRS1(config)#interfacevlan100RS1(config-if)#ipaddress192.168.100.1255.255.255.0RS1(config-if)#exitRS1(config)#interfacevlan101RS1(config-if)#ipaddress192.168.101.1255.255.255.0RS1(config-if)#exitRS1(config)#routerospf1RS1(config-router)#network192.168.0.00.0.255.255area0RS1(config-router)#network172.16.1.00.0.0.255area0RS1(config-router)#exitRS1(config)#servicedhcpRS1(config)#ipdhcppoolAPRS1(dhcp-config)#network192.168.101.0255.255.255.0RS1(dhcp-config)#default-router192.168.101.1RS1(dhcp-config)#option43ip192.168.101.2RS1(dhcp-config)#exitRS1(config)#ipdhcppoolSTARS1(dhcp-config)#network192.168.100.0255.255.255.0RS1(dhcp-config)#default-router192.168.100.1RS1(dhcp-config)#exitRS1(config)#ipdhcpexcluded-address192.168.101.1192.168.101.24.R1的配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipaddress172.16.1.2255.255.255.0R1(config-if)#noshutdownR1(config-if)#exitR1(config)#routerospf1R1(config-router)#network172.16.1.00.0.0.255area0

5.如图11-4所示，在AC1的“Config”选项夹的“Management”选项，将AC1的IP地址配置为192.168.101.2，子网掩码配置为255.255.255.0，缺省网关配置为192.168.101.1。图11-4AC1的IP地址配置

6.如图11-5所示，在AC1的“Config”选项夹的“WirelessLANs”选项，将AC的Name设为“guest”，SSID设置为“guest”，业务VLAN设置为VLAN100，认证方式选择“WPA2-PSK”，预共享密钥设置为“12345678”，加密算法选用“AES”，其它选默认值。最后点击“Save”按钮。图11-5AC1的“WirelessLANs”配置7.如图11-6所示，在AC1的“Config”选项夹的“APGroups”选项，可以看到，加入了默认AP组的无线局域网（WirelessLANs）有刚才配置的“guest”，加入了默认AP组的AP有AP1。此处采用默认值。图11-6AC1的“APGroups”配置

8.如图11-7所示，AP1的缺省网关已经通过DHCP自动获取到了，是192.168.101.1。图11-7查看AP1的缺省网关已经通过DHCP自动获取9.如图11-8所示，AP1加入的AC地址通过DHCP的option43自动获取到了，是192.168.101.2。10.如图11-9所示，AP1的IP地址和子网掩码已经通过DHCP自动获取到了，分别为192.168.101.3和255.255.255.0。图11-8查看AP1获取到的AC地址图11-9查看AP1获取到的IP地址和子网掩码11.如图11-10所示，在无线工作站STA1的“Config”选项夹的“Settings”选项，缺省网关已经通过DHCP自动获取到了，是192.168.100.1。图11-10查看在STA1的缺省网关已经通过DHCP自动获取12.如图11-11所示，打开STA1的“Desktop”选项夹的“PCWireless”配置项。图11-11打开STA1的“PCWireless”配置项13.如图11-12所示，在弹框中选择“Connect”选项夹，选中值为“guest”的SSID，点击“Connect”按钮。图11-12连接值为“guest”的SSID14.如图11-13所示，在弹框中输入预共享密钥“12345678”，点击“Connect”按钮进行连接。

图11-13输入预共享密钥进行连接15.如图11-14所示，成功连接后，点击STA1的“Config”选项夹的“Wireless0”选项，可以看到无线网络的相关信息，本工作站通过DHCP获取到的IP地址为192.168.100.2。16.在两台工作站上ping路由器R1的地址172.16.1.2，可以看到，都能ping通。图11-14查看STA1的“Wireless0”选项谢谢欣赏第11章组建无线局域网编著：

秦燊无线局域网（WLAN）是指以无线信道作为传输媒介的局域网络。无线局域网WLAN的传输介质包括红外线、无线电波等，红外技术已逐渐被蓝牙技术（IEEE802.15）取代。蓝牙工作在2.4GHz频段，传输速率最高1Mb/s，传输距离最大10米，用于个人操作空间，蓝牙技术与IEEE802.11协议互相补充。无线局域网基于IEEE802.11协议簇工作。IEEE802.11协议簇包括802.11a、802.11b、802.11g、802.11n（Wi-Fi4）、802.11ac（Wi-Fi5）和802.11ax（Wi-Fi6）等多个标准。其中，2019年推出的802.11ax工作频率为2.4GHz或5GHz，宽带速率可达600~9608Mb/s。11.1无线局域网基础

常见的WLAN组网设备如下：

1.无线工作站（STA），指连接到无线网络的计算机或智能终端。如PC、平板电脑、智能手机、无线打印机等。

2.无线接入点（AP），指为无线工作站连接到无线网络提供接入服务的无线网络设备。分为胖AP（FATAP）和瘦AP（FITAP）。胖AP适用于规模较小的环境，每台胖AP需要单独配置，胖AP除了具有基本的射频信号接入功能外，还具有IP地址分配、安全管理等网络管理功能；瘦AP适用于规模较大的环境，仅对外提供射频信号接入功能，各瘦AP无法单独配置，而是集中由一台专门的设备统一配置，减轻大规模环境下管理员的工作负担，提高工作效率。11.1.1常见的WLAN组网设备3.无线接入控制器（AccessController，AC），指用于集中控制管理瘦AP的网络设备。采用瘦AP组网时，由AC承担对AP的管理任务、向瘦AP下发配置，提供IP地址分配、DHCP服务等网络管理功能。网络管理员一般只需关注AC，无需逐一对AP进行配置，减少了工作量，增强了WLAN的扩展性。4.天线，由发送端天线和接收端天线组成。发送端发射的射频信号通过馈线输送到发送端天线，由天线以电磁波的形式辐射出去；接收端天线接收到电磁波后，再通过馈线输送到接收端。两个无线设备相距较远时，可借助天线提升射频信号强度。11.1.2无线局域网安全

如果无线接入点没有开启安全设置功能，那么周边的移动终端都可以查看到它的SSID（服务集标识符）值，无须密码直接接入，造成安全隐患，因此为WLAN开启安全设置是很重要的。WLAN安全设置包括禁用SSID广播、数据加密等。

1.SSID代表了一个无线局域网，只有连接到相同SSID值的终端才能直接通信。禁用SSID广播可以避免无线网络的SSID显示在用户无线网卡发现的SSID列表中，减少受到攻击的概率。另外，由于无线路由器或无线AP都有默认SSID值，为避免攻击者尝试使用默认SSID连接无线网络，启用WLAN时建议修改SSID值。

2.为避免非法用户入侵和窃听，需要开启加密、认证等功能。无线网络的数据加密技术有WEP（有线等效保密）、WPA、WPA2、WPA3等。WEP是802.11系列标准定义的链路层加密协议，协议核心是李斯特加密（RivestCipher4，RC4）算法，算法采用静态共享密钥（PSK），称为静态WEP。由于静态WEP安全性较低，有些厂商结合802.1X技术，推出了动态WEP标准。

3.为克服静态WEP的弱点，Wi-Fi联盟也于2003年推出了WPA（Wi-Fi保护接入）标准，该标准在WEP的基础上提出了TKIP（临时密钥完整性协议）加密方式。TKIP保留了WEP的基本架构，仍使用RC4的流加密机制，但增加了初始向量的长度、不再采用所有用户共用密钥而改用动态密钥机制为每个用户生成独立密钥、采用MIC（信息完整性校验）机制通过完整性校验保护源地址、为每个帧分配序列号防范重放攻击等。

4.随着2004年IEEE推出802.11i标准，Wi-Fi联盟也以此为基准修订WPA，推出了WPA2。WPA2采用802.11i定义的默认加密方式CCMP（计数器模式密码块链信息认证协议），CCMP使用AES（高级加密标准）作为加密算法，该算法弥补了RC4的缺陷，安全性更高。但AES对硬件要求较高，无法通过软件升级旧设备或旧网卡的方式支持CCMP。

5.为了满足兼容性，目前WPA和WPA2都支持802.1X和PSK认证，也都支持TKIP和CCMP加密算法。WPA和WPA2的不同主要表现在协议报文格式上的不同。WPA和WPA2分为个人版和企业版。个人版在AP和STA间采用预共享密钥（PSK）的方式进行认证；企业版采用专门的认证服务器通过802.1X等方式进行认证。

6.2018年1月，Wi-Fi联盟在WPA2的基础上发布了新一代的WPA3，WPA3个人版采用SAE（对等实体同时验证）协议取代了WPA/WPA2的PSK认证方式，可有效抵御离线字典攻击和增加暴力破解的难度。WPA3个人版采用向前保密，使攻击者就算有密码也无法解密截获的数据。WPA3企业版没有从根本上改变原有协议，主要从数据保护、流量保护和管理帧保护等方面进行了提升。11.1.3CAPWAP隧道一、AC与AP间隧道的建立在瘦AP+AC的组网模式中，全网的AP由AC统一管理，AC承担了AP配置、用户接入认证等管理功能，AC与AP之间采用称为CAPWAP的通信协议建立隧道。CAPWAP隧道包括控制通道和数据通道两种，分别使用UDP的5246端口和5247端口。CAPWAP隧道的建立过程如下：1.AP获取地址。通过配置DHCP服务（可在AC或核心交换机等设备上配置），为AP分配IP地址。2.AP发现AC。AP可以通过DHCP服务的Option43字段或通过DNS解析获取AC的IP地址。获取到AC的地址后，AP发送DiscoveryRequest报文尝试关联AC（三层网络通过单播、二层网络通过广播），AC收到请求后返回携带有AC优先级和当前已关联AP数量等信息的DiscoveryResponse给AP，由AP决定与哪个AC建立连接。3.建立DTLS连接。DTLS（DatagramTransportLevelSecurity，数据报安全传输协议）是UDP版本的TLS，用于防数据被窃听、篡改、身份冒充等。AC在DiscoveryResponse中会指示是否采用DTLS加密CAPWAP隧道中的UDP报文。

4.AP加入AC。AP发送JoinRequest报文请求加入AC并建立控制通道，AC发送JoinResponse响应。

5.AP版本升级。AP根据JoinResponse携带的版本要求判断自身版本是否符合，若不符合则向AC申请下发新版本。

6.AP配置下发。AP版本达到要求后，向AC发送ConfigurationStatusRequest（配置状态请求）报文，请求报文携带了AP现有的配置，若AC发现AP的配置不符合要求，则发送ConfigurationStatusResponse报文通知AP同步配置。

7.AP配置确认。AP配置完成后，向AC发送ChangeStateEventRequest（配置确认请求）报文，其中包含射频、错误码、配置信息等。AC回复ChangeStateEventResponse（配置确认响应）。

8.AP运行。配置确认后，意味着CAPWAP的控制通道已成功建立，AP进入运行状态，可以开始转发数据了。AP运行后会定期向AC发送EchoRequest（控制通道保活）报文，AC回应EchoResponse（控制通道响应）表示控制通道正常；另外，AP还定期向AC发送Keepalive（数据通道保活）报文，AC回应Keepalive报文表示数据通道正常。

二、CAPWAP数据的传输

CAPWAP隧道承载的数据包括管理报文和业务报文。其中，管理报文必须封装在CAPWAP控制通道中，在AP和AC间传输；业务报文则可选择不经过CAPWAP封装直接由AP转发到上行网络（称为直接转发或本地转发），也可选择先由AP封装到CAPWAP数据通道中传输给AC，再由AC进一步转发（称为隧道转发或集中转发）。

1.以管理报文从AC发往AP为例分析管理报文的传输。管理载荷在AC上会先封装CAPWAP头部，再封装UDP/IP头部，再封装802.3以太网头部，最后封装上管理VLANID头部形成管理报文。封装好后的管理报文途经交换机转发给AP。交换机在与AP相连的端口上一般要将PVID设置为管理VLANID，这样交换机就会先去掉PVID（即管理VLANID），再将管理报文转交给AP。之所以要这样处理，是因为AP一般只将不带VLAN标记的报文识别为管理报文。AP识别出管理报文后，依次去掉报文的802.3头部、UDP/IP头部和CAPWAP头部，再对剩下的管理载荷进行处理。

2.再以业务报文从无线终端发往AP为例，分析业务报文的直接转发模式和隧道转发模式。在直接转发模式下，无线工作站的无线网卡将业务数据封装上无线的802.11头部，通过无线信道发送到AP，AP收到的业务报文后，去除无线的802.11头部，封装上有线以太网的802.3头部，然后直接将其通过上行交换机转发到上行网络，无需经过AC集中处理，适用于中小规模的WLAN；隧道模式下，业务报文在AP上进行CAPWAP封装后经CAPWAP数据通道传到AC，由AC将其解封装后转发到上行网络，有利于数据传输的安全性、有利于AC对数据的集中控制和管理，适用于在现网中新增设备、减少对现网的改动。11.2.2华为无线设备的配置

如图11-15所示，搭建拓扑，完成华为无线设备的配置。其中，AC采用设备AC6005，AP采用设备AP6050。规划VLAN100为业务VLAN、VLAN101为管理VLAN。

图11-15华为无线设备配置的拓扑11.2无线设备的配置

1.将AC与AP链接的端口配置为trunk类型、端口PVID为管理VLAN101。命令如下：[AC6005]vlanbatch100101//创建VLAN100和101[AC6005]interfaceGigabitEthernet0/0/1[AC6005-GigabitEthernet0/0/1]portlink-typetrunk[AC6005-GigabitEthernet0/0/1]porttrunkallow-passvlanall[AC6005-GigabitEthernet0/0/1]quit[AC6005]interfaceGigabitEthernet0/0/2[AC6005-GigabitEthernet0/0/2]portlink-typetrunk//设置端口配置为trunk类型[AC6005-GigabitEthernet0/0/2]porttrunkpvidvlan101//修改PVID为管理VLAN101[AC6005-GigabitEthernet0/0/2]porttrunkallow-passvlanall

2.配置VLANIF接口DHCP功能，PC的地址通过VLAN100使用全局地址池自动获取；AP的地址通过管理VLAN101使用接口地址池自动获取。命令如下:[AC6005]ippoolpoolAC//创建全局地址池poolAC[AC6005-ip-pool-poolAC]network192.168.100.0mask24[AC6005-ip-pool-poolAC]gateway-list192.168.100.1[AC6005-ip-pool-poolAC]dns-list192.168.100.1[AC6005-ip-pool-poolAC]excluded-ip-address192.168.100.2[AC6005-ip-pool-poolAC]quit[AC6005]dhcpenable[AC6005]interfaceVlanif100[AC6005-Vlanif100]ipaddress192.168.100.2255.255.255.0[AC6005-Vlanif100]dhcpselectglobal//配置PC通过全局地址池获取IP地址[AC6005-Vlanif100]quit[AC6005]interfaceVlanif101[AC6005-Vlanif101]ipaddress192.168.101.124[AC6005-Vlanif101]dhcpselectinterface//配置AP通过接口地址池自动获取IP地址

3.创建AP组,命令如下：[AC6005]capwapsourceinterfaceVlanif101//配置AC管理AP的源接口[AC6005]wlan[AC6005-wlan-view]ap-groupnameap01//创建AP组ap01[AC6005-wlan-ap-group-ap01]quit[AC6005-wlan-view]regulatory-domain-profilenameregDomainProf//创建监管域模板[AC6005-wlan-regulate-domain-regDomainProf]country-codeCN[AC6005-wlan-regulate-domain-regDomainProf]quit[AC6005-wlan-view]ap-groupnameap01//进入AP组ap01[AC6005-wlan-ap-group-ap01]regulatory-domain-profileregDomainProf//绑定监管域模板Warning:Modifyingthecountrycodewillclearchannel,powerandantennagainconfigurationsoftheradioandresettheAP.Continue?[Y/N]:y//选择Y[AC6005-wlan-ap-group-ap01]quit[AC6005-wlan-view]quit

4.将AP绑定到AP组中,命令如下：[AC6005]wlan[AC6005-wlan-view]apauth-modemac-auth//配置认证模式为mac认证，这是缺省值[AC6005-wlan-view]ap-id0ap-mac00E0-FC82-1E90//指定接受管理的AP的MAC

如图11-16所示，AP1的MAC地址是00E0-FC82-1E90。[AC6005-wlan-ap-0]ap-namearea_1[AC6005-wlan-ap-0]ap-groupap01//将该AP绑定到AP组ap01中Warning:ThisoperationmaycauseAPreset.Ifthecountrycodechanges,itwillclearchannel,powerandantennagainconfigurationsoftheradio,Whethertocontinue?[Y/N]:y[AC6005-wlan-ap-0]return图11-16查看AP1的MAC地址

5.将AP上电，执行命令displayapall，如果查看到AP的“State”字段为“nor”，表示AP正常上线。命令如下：<AC6005>displayapall-----------------------------------------------------------------------------------------------------------------------IDMACNameGroupIPTypeStateSTAUptime-----------------------------------------------------------------------------------------------------------------------000e0-fc82-1e90area_1ap01192.168.101.200AP6050DNnor02M:14S-----------------------------------------------------------------------------------------------------------------------Total:1

6.配置WLAN的业务参数,方法如下：

（1）创建SSID模板，命令如下：[AC6005]wlan[AC6005-wlan-view]ssid-profilenamessidProf//创建SSID模板ssidProf[AC6005-wlan-ssid-prof-ssidProf]ssidhuawei//配置SSID名称为“huawei”

（2）配置安全模板(可选)，命令如下：[AC6005-wlan-view]security-profilenamesecProf//创建安全模板secProf[AC6005-wlan-sec-prof-secProf]securitywpa2pskpass-phrasehuawei@123aes//认证类型采用wpa2，密码设为huawei@123，加密算法采用aes

（3）创建VAP模板，配置业务数据转发模式、业务VLAN，并引用SSID模板和安全模板，命令如下：[AC6005-wlan-view]vap-profilenamevapProf//创建VAP模板[AC6005-wlan-vap-prof-vapProf]forward-modetunnel//转发模式设置为隧道模式[AC6005-wlan-vap-prof-vapProf]service-vlanvlan-id100//业务VLAN绑定到VLAN100[AC6005-wlan-vap-prof-vapProf]ssid-profilessidProf//绑定ssid模板[AC6005-wlan-vap-prof-vapProf]security-profilesecProf//绑定安全模板[AC6005-wlan-vap-prof-vapProf]quit

（4）配置AP组引用VAP模板，AP上射频0使用VAP模板的配置，因为实验中只有一个AP，所以使用射频0，命令如下：[AC6005-wlan-view]ap-groupnameap01[AC6005-wlan-ap-group-ap01]vap-profilevapProfwlan1radio0[AC6005-wlan-ap-group-ap01]return

（5）WLAN业务配置会自动下发给AP，配置完成后，通过执行命令displayvapssidhuawei查看如下信息，当“Status”项显示为“ON”时，表示AP对应的射频上的VAP已创建成功，命令如下：<AC6005>displayvapssidhuaweiWID:WLANIDAPIDAPnameRfIDWIDBSSIDStatusAuthtypeSTASSID

0area_10100E0-FC82-1E90ONWPA2-PSK0huawei

7.如图11-17所示，在STA1上进行连接测试，双击值为“huawei”的SSID，输入密码“huawei@123”进行连接。图11-17在STA1上进行连接测试

8.连接成功后的效果图如图11-18所示。图11-18无线连接成功的效果图谢谢欣赏第11章组建无线局域网编著：

秦燊无线局域网（WLAN）是指以无线信道作为传输媒介的局域网络。无线局域网WLAN的传输介质包括红外线、无线电波等，红外技术已逐渐被蓝牙技术（IEEE802.15）取代。蓝牙工作在2.4GHz频段，传输速率最高1Mb/s，传输距离最大10米，用于个人操作空间，蓝牙技术与IEEE802.11协议互相补充。无线局域网基于IEEE802.11协议簇工作。IEEE802.11协议簇包括802.11a、802.11b、802.11g、802.11n（Wi-Fi4）、802.11ac（Wi-Fi5）和802.11ax（Wi-Fi6）等多个标准。其中，2019年推出的802.11ax工作频率为2.4GHz或5GHz，宽带速率可达600~9608Mb/s。11.1无线局域网基础

常见的WLAN组网设备如下：

1.无线工作站（STA），指连接到无线网络的计算机或智能终端。如PC、平板电脑、智能手机、无线打印机等。

2.无线接入点（AP），指为无线工作站连接到无线网络提供接入服务的无线网络设备。分为胖AP（FATAP）和瘦AP（FITAP）。胖AP适用于规模较小的环境，每台胖AP需要单独配置，胖AP除了具有基本的射频信号接入功能外，还具有IP地址分配、安全管理等网络管理功能；瘦AP适用于规模较大的环境，仅对外提供射频信号接入功能，各瘦AP无法单独配置，而是集中由一台专门的设备统一配置，减轻大规模环境下管理员的工作负担，提高工作效率。11.1.1常见的WLAN组网设备3.无线接入控制器（AccessController，AC），指用于集中控制管理瘦AP的网络设备。采用瘦AP组网时，由AC承担对AP的管理任务、向瘦AP下发配置，提供IP地址分配、DHCP服务等网络管理功能。网络管理员一般只需关注AC，无需逐一对AP进行配置，减少了工作量，增强了WLAN的扩展性。4.天线，由发送端天线和接收端天线组成。发送端发射的射频信号通过馈线输送到发送端天线，由天线以电磁波的形式辐射出去；接收端天线接收到电磁波后，再通过馈线输送到接收端。两个无线设备相距较远时，可借助天线提升射频信号强度。11.1.2无线局域网安全

如果无线接入点没有开启安全设置功能，那么周边的移动终端都可以查看到它的SSID（服务集标识符）值，无须密码直接接入，造成安全隐患，因此为WLAN开启安全设置是很重要的。WLAN安全设置包括禁用SSID广播、数据加密等。

1.SSID代表了一个无线局域网，只有连接到相同SSID值的终端才能直接通信。禁用SSID广播可以避免无线网络的SSID显示在用户无线网卡发现的SSID列表中，减少受到攻击的概率。另外，由于无线路由器或无线AP都有默认SSID值，为避免攻击者尝试使用默认SSID连接无线网络，启用WLAN时建议修改SSID值。

2.为避免非法用户入侵和窃听，需要开启加密、认证等功能。无线网络的数据加密技术有WEP（有线等效保密）、WPA、WPA2、WPA3等。WEP是802.11系列标准定义的链路层加密协议，协议核心是李斯特加密（RivestCipher4，RC4）算法，算法采用静态共享密钥（PSK），称为静态WEP。由于静态WEP安全性较低，有些厂商结合802.1X技术，推出了动态WEP标准。

3.为克服静态WEP的弱点，Wi-Fi联盟也于2003年推出了WPA（Wi-Fi保护接入）标准，该标准在WEP的基础上提出了TKIP（临时密钥完整性协议）加密方式。TKIP保留了WEP的基本架构，仍使用RC4的流加密机制，但增加了初始向量的长度、不再采用所有用户共用密钥而改用动态密钥机制为每个用户生成独立密钥、采用MIC（信息完整性校验）机制通过完整性校验保护源地址、为每个帧分配序列号防范重放攻击等。

4.随着2004年IEEE推出802.11i标准，Wi-Fi联盟也以此为基准修订WPA，推出了WPA2。WPA2采用802.11i定义的默认加密方式CCMP（计数器模式密码块链信息认证协议），CCMP使用AES（高级加密标准）作为加密算法，该算法弥补了RC4的缺陷，安全性更高。但AES对硬件要求较高，无法通过软件升级旧设备或旧网卡的方式支持CCMP。

5.为了满足兼容性，目前WPA和WPA2都支持802.1X和PSK认证，也都支持TKIP和CCMP加密算法。WPA和WPA2的不同主要表现在协议报文格式上的不同。WPA和WPA2分为个人版和企业版。个人版在AP和STA间采用预共享密钥（PSK）的方式进行认证；企业版采用专门的认证服务器通过802.1X等方式进行认证。

6.2018年1月，Wi-Fi联盟在WPA2的基础上发布了新一代的WPA3，WPA3个人版采用SAE（对等实体同时验证）协议取代了WPA/WPA2的PSK认证方式，可有效抵御离线字典攻击和增加暴力破解的难度。WPA3个人版采用向前保密，使攻击者就算有密码也无法解密截获的数据。WPA3企业版没有从根本上改变原有协议，主要从数据保护、流量保护和管理帧保护等方面进行了提升。11.1.3CAPWAP隧道一、AC与AP间隧道的建立在瘦AP+AC的组网模式中，全网的AP由AC统一管理，AC承担了AP配置、用户接入认证等管理功能，AC与AP之间采用称为CAPWAP的通信协议建立隧道。CAPWAP隧道包括控制通道和数据通道两种，分别使用UDP的5246端口和5247端口。CAPWAP隧道的建立过程如下：1.AP获取地址。通过配置DHCP服务（可在AC或核心交换机等设备上配置），为AP分配IP地址。2.AP发现AC。AP可以通过DHCP服务的Option43字段或通过DNS解析获取AC的IP地址。获取到AC的地址后，AP发送DiscoveryRequest报文尝试关联AC（三层网络通过单播、二层网络通过广播），AC收到请求后返回携带有AC优先级和当前已关联AP数量等信息的DiscoveryResponse给AP，由AP决定与哪个AC建立连接。3.建立DTLS连接。DTLS（DatagramTransportLevelSecurity，数据报安全传输协议）是UDP版本的TLS，用于防数据被窃听、篡改、身份冒充等。AC在DiscoveryResponse中会指示是否采用DTLS加密CAPWAP隧道中的UDP报文。

4.AP加入AC。AP发送JoinRequest报文请求加入AC并建立控制通道，AC发送JoinResponse响应。

5.AP版本升级。AP根据JoinResponse携带的版本要求判断自身版本是否符合，若不符合则向AC申请下发新版本。

6.AP配置下发。AP版本达到要求后，向AC发送ConfigurationStatusRequest（配置状态请求）报文，请求报文携带了AP现有的配置，若AC发现AP的配置不符合要求，则发送ConfigurationStatusResponse报文通知AP同步配置。

7.AP配置确认。AP配置完成后，向AC发送ChangeStateEventRequest（配置确认请求）报文，其中包含射频、错误码、配置信息等。AC回复ChangeStateEventResponse（配置确认响应）。

8.AP运行。配置确认后，意味着CAPWAP的控制通道已成功建立，AP进入运行状态，可以开始转发数据了。AP运行后会定期向AC发送EchoRequest（控制通道保活）报文，AC回应EchoResponse（控制通道响应）表示控制通道正常；另外，AP还定期向AC发送Keepalive（数据通道保活）报文，AC回应Keepalive报文表示数据通道正常。

二、CAPWAP数据的传输

CAPWAP隧道承载的数据包括管理报文和业务报文。其中，管理报文必须封装在CAPWAP控制通道中，在AP和AC间传输；业务报文则可选择不经过CAPWAP封装直接由AP转发到上行网络（称为直接转发或本地转发），也可选择先由AP封装到CAPWAP数据通道中传输给AC，再由AC进一步转发（称为隧道转发或集中转发）。

1.以管理报文从AC发往AP为例分析管理报文的传输。管理载荷在AC上会先封装CAPWAP头部，再封装UDP/IP头部，再封装802.3以太网头部，最后封装上管理VLANID头部形成管理报文。封装好后的管理报文途经交换机转发给AP。交换机在与AP相连的端口上一般要将PVID设置为管理VLANID，这样交换机就会先去掉PVID（即管理VLANID），再将管理报文转交给AP。之所以要这样处理，是因为AP一般只将不带VLAN标记的报文识别为管理报文。AP识别出管理报文后，依次去掉报文的802.3头部、UDP/IP头部和CAPWAP头部，再对剩下的管理载荷进行处理。

2.再以业务报文从无线终端发往AP为例，分析业务报文的直接转发模式和隧道转发模式。在直接转发模式下，无线工作站的无线网卡将业务数据封装上无线的802.11头部，通过无线信道发送到AP，AP收到的业务报文后，去除无线的802.11头部，封装上有线以太网的802.3头部，然后直接将其通过上行交换机转发到上行网络，无需经过AC集中处理，适用于中小规模的WLAN；隧道模式下，业务报文在AP上进行CAPWAP封装后经CAPWAP数据通道传到AC，由AC将其解封装后转发到上行网络，有利于数据传输的安全性、有利于AC对数据的集中控制和管理，适用于在现网中新增设备、减少对现网的改动。11.2.3华三无线设备的配置

在HCL中搭建如图11-19所示的拓扑，完成华三无线设备的配置。

图11-19华三无线设备配置的拓扑11.2无线设备的配置1.AC的vlan、dhcp配置，命令如下：[AC1]vlan100[AC1-vlan100]quit[AC1]vlan101[AC1-vlan101]quit[AC1]interfaceVlan-interface100[AC1-Vlan-interface100]ipaddress192.168.100.124[AC1-Vlan-interface100]quit[AC1]interfaceVlan-interface101[AC1-Vlan-interface101]ipaddress192.168.101.124[AC1-Vlan-interface101]quit[AC1]interfaceGigabitEthernet1/0/0[AC1-GigabitEthernet1/0/0]portlink-typetrunk[AC1-GigabitEthernet1/0/0]porttrunkpermitvlan100101[AC1-GigabitEthernet1/0/0]quit[AC1]dhcpserverip-poolvlan100[AC1-dhcp-pool-vlan100]network192.168.100.024[AC1-dhcp-pool-vlan100]gateway-list192.168.100.1[AC1-dhcp-pool-vlan100]quit[AC1]dhcpserverip-poolvlan101[AC1-dhcp-pool-vlan101]network192.168.101.024[AC1-dhcp-pool-vlan101]gateway-list192.168.101.1[AC1-dhcp-pool-vlan101]forbidden-ip192.168.101.1[AC1-dhcp-pool-vlan101]quit[AC1]dhcpenable2.交换机SW1的vlan配置，命令如下：[SW1]vlan100[SW1-vlan100]quit[SW1]vlan101[SW1-vlan101]quit[SW1]interfaceGigabitEthernet1/0/1[SW1-GigabitEthernet1/0/1]portlink-typetrunk[SW1-GigabitEthernet1/0/1]porttrunkpermitvlan100101[SW1-GigabitEthernet1/0/1]undoporttrunkpermitvlan1[SW1-GigabitEthernet1/0/1]quit[SW1]interfaceGigabitEthernet1/0/2[SW1-GigabitEthernet1/0/2]portlink-typetrunk[SW1-GigabitEthernet1/0/2]porttrunkpermitvlan100101[SW1-GigabitEthernet1/0/2]undoporttrunkpermitvlan1[SW1-GigabitEthernet1/0/2]porttrunkpvidvlan1013..在AC1上开启自动AP，命令如下：[AC1]wlanauto-apenable//开启自动AP使用自动AP的功能是为了在无线网络中部署的AP数量较多时，使用自动AP功能可以减少管理员的配置工作量，并可以简化配置，避免多次配置AP序列号，同时降低了配置出错的概率。开启自动AP一段时间后，在AC上出现以下提示：%Aug1615:33:21:7522023AC1APMGR/6/APMGR_AP_ONLINE:-MDC=1;AP5ccc-d5d7-0300cameonline.StatechangedtoRun.%Aug1615:33:21:7532023AC1CWS/6/CWS_AP_UP:-MDC=1;MasterCAPWAPtunneltoAP5ccc-d5d7-0300wentup.4.在AC1查询AP信息，显示所有AP的信息，这里的主要目的是看自动上线的AP的名称及其他参数信息，命令如下：[AC1]displaywlanapallTotalnumberofAPs:1TotalnumberofconnectedAPs:1TotalnumberofconnectedmanualAPs:0TotalnumberofconnectedautoAPs:1TotalnumberofconnectedcommonAPs:1TotalnumberofconnectedWTUs:0TotalnumberofinsideAPs:0MaximumsupportedAPs:60000RemainingAPs:59999TotalAPlicenses:60000LocalAPlicenses:60000ServerAPlicenses:0RemaininglocalAPlicenses:59999SyncAPlicenses:0

可以看到，AP名称被命名为5ccc-d5d7-0300。

5.在AC上修改AP名称，命令如下：[AC1]wlanauto-appersistentall//将自动AP固化为持久的可配置AP，否则无法修改AP名称[AC1]wlanrename-ap5ccc-d5d7-0300ap1//修改AP名称，将"5ccc-d5d7-0300"重命名为"ap1"

6.在AC上对AP进行配置，命令如下：[AC1]wlanservice-template1//创建无线服务模板[AC1-wlan-st-1]ssidguest//在无线服务模板视图下配置SSID,即无线网络名称（WiFi名称）[AC1-wlan-st-1]service-templateenable//开启无线服务模板[AC1-wlan-st-1]quit[AC1]wlanap-groupgroup1//创建Wlan组[AC1-wlan-ap-group-group1]apap1//将名称为"ap1"的ap加入到本组中[AC1-wlan-ap-group-group1]ap-modelWA6320-HCL//创建并进入AP组下的AP型号视图[AC1-wlan-ap-group-group1-ap-model-WA6320-HCL]radio1//进入Radio视图[AC1-wlan-ap-group-group1-ap-model-WA6320-HCL-radio-1]service-template1vlan100

//无线服务模板绑定Radio时绑定的VLANID，此处VLAN就是用户dhcp获取的网关vlanid[AC1-wlan-ap-group-group1-ap-model-WA6320-HCL-radio-1]radioenable//开启射频功能,即WiFi可被搜索7.如图11-20所示，右击Phone1，在弹出的菜单中选择“配置”。图11-20打开Phone1的配置界面8.如图11-21所示，在“打开WIFI？”栏中选择“是”，点开“连接状态”列的开关钮，点击“IPv4配置”栏“DHCP”选项的“启用”按钮。图11-21对Phone1进行WIFI连接配置9.如图11-22所示，终端成功联网。图11-22终端成功联网谢谢欣赏第11章组建无线局域网编著：

秦燊

无线局域网（WLAN）是指以无线信道作为传输媒介的局域网络。无线局域网WLAN的传输介质包括红外线、无线电波等，红外技术已逐渐被蓝牙技术（IEEE802.15）取代。蓝牙工作在2.4GHz频段，传输速率最高1Mb/s，传输距离最大10米，用于个人操作空间，蓝牙技术与IEEE802.11协议互相补充。无线局域网基于IEEE802.11协议簇工作。IEEE802.11协议簇包括802.11a、802.11b、802.11g、802.11n（Wi-Fi4）、802.11ac（Wi-Fi5）和802.11ax（Wi-Fi6）等多个标准。其中，2019年推出的802.11ax工作频率为2.4GHz或5GHz，宽带速率可达600~9608Mb/s。11.1无线局域网基础

常见的WLAN组网设备如下：

1.无线工作站（STA），指连接到无线网络的计算机或智能终端。如PC、平板电脑、智能手机、无线打印机等。

2.无线接入点（AP），指为无线工作站连接到无线网络提供接入服务的无线网络设备。分为胖AP（FATAP）和瘦AP（FITAP）。胖AP适用于规模较小的环境，每台胖AP需要单独配置，胖AP除了具有基本的射频信号接入功能外，还具有IP地址分配、安全管理等网络管理功能；瘦AP适用于规模较大的环境，仅对外提供射频信号接入功能，各瘦AP无法单独配置，而是集中由一台专门的设备统一配置，减轻大规模环境下管理员的工作负担，提高工作效率。11.1.1常见的WLAN组网设备3.无线接入控制器（AccessController，AC），指用于集中控制管理瘦AP的网络设备。采用瘦AP组网时，由AC承担对AP的管理任务、向瘦AP下发配置，提供IP地址分配、DHCP服务等网络管理功能。网络管理员一般只需关注AC，无需逐一对AP进行配置，减少了工作量，增强了WLAN的扩展性。4.天线，由发送端天线和接收端天线组成。发送端发射的射频信号通过馈线输送到发送端天线，由天线以电磁波的形式辐射出去；接收端天线接收到电磁波后，再通过馈线输送到接收端。两个无线设备相距较远时，可借助天线提升射频信号强度。11.1.2无线局域网安全

如果无线接入点没有开启安全设置功能，那么周边的移动终端都可以查看到它的SSID（服务集标识符）值，无须密码直接接入，造成安全隐患，因此为WLAN开启安全设置是很重要的。WLAN安全设置包括禁用SSID广播、数据加密等。

1.SSID代表了一个无线局域网，只有连接到相同SSID值的终端才能直接通信。禁用SSID广播可以避免无线网络的SSID显示在用户无线网卡发现的SSID列表中，减少受到攻击的概率。另外，由于无线路由器或无线AP都有默认SSID值，为避免攻击者尝试使用默认SSID连接无线网络，启用WLAN时建议修改SSID值。

2.为避免非法用户入侵和窃听，需要开启加密、认证等功能。无线网络的数据加密技术有WEP（有线等效保密）、WPA、WPA2、WPA3等。WEP是802.11系列标准定义的链路层加密协议，协议核心是李斯特加密（RivestCipher4，RC4）算法，算法采用静态共享密钥（PSK），称为静态WEP。由于静态WEP安全性较低，有些厂商结合802.1X技术，推出了动态WEP标准。

3.为克服静态WEP的弱点，Wi-Fi联盟也于2003年推出了WPA（Wi-Fi保护接入）标准，该标准在WEP的基础上提出了TKIP（临时密钥完整性协议）加密方式。TKIP保留了WEP的基本架构，仍使用RC4的流加密机制，但增加了初始向量的长度、不再采用所有用户共用密钥而改用动态密钥机制为每个用户生成独立密钥、采用MIC（信息完整性校验）机制通过完整性校验保护源地址、为每个帧分配序列号防范重放攻击等。

4.随着2004年IEEE推出802.11i标准，Wi-Fi联盟也以此为基准修订WPA，推出了WPA2。WPA2采用802.11i定义的默认加密方式CCMP（计数器模式密码块链信息认证协议），CCMP使用AES（高级加密标准）作为加密算法，该算法弥补了RC4的缺陷，安全性更高。但AES对硬件要求较高，无法通过软件升级旧设备或旧网卡的方式支持CCMP。

5.为了满足兼容性，目前WPA和WPA2都支持802.1X和PSK认证，也都支持TKIP和CCMP加密算法。WPA和WPA2的不同主要表现在协议报文格式上的不同。WPA和WPA2分为个人版和企业版。个人版在AP和STA间采用预共享密钥（PSK）的方式进行认证；企业版采用专门的认证服务器通过802.1X等方式进行认证。

6.2018年1月，Wi-Fi联盟在WPA2的基础上发布了新一代的WPA3，WPA3个人版采用SAE（对等实体同时验证）协议取代了WPA/WPA2的PSK认证方式，可有效抵御离线字典攻击和增加暴力破解的难度。WPA3个人版采用向前保密，使攻击者就算有密码也无法解密截获的数据。WPA3企业版没有从根本上改变原有协议，主要从数据保护、流量保护和管理帧保护等方面进行了提升。11.1.3CAPWAP隧道一、AC与AP间隧道的建立在瘦AP+AC的组网模式中，全网的AP由AC统一管理，AC承担了AP配置、用户接入认证等管理功能，AC与AP之间采用称为CAPWAP的通信协议建立隧道。CAPWAP隧道包括控制通道和数据通道两种，分别使用UDP的5246端口和5247端口。CAPWAP隧道的建立过程如下：1.AP获取地址。通过配置DHCP服务（可在AC或核心交换机等设备上配置），为AP分配IP地址。2.AP发现AC。AP可以通过DHCP服务的Option43字段或通过DNS解析获取AC的IP地址。获取到AC的地址后，AP发送DiscoveryRequest报文尝试关联AC（三层网络通过单播、二层网络通过广播），AC收到请求后返回携带有AC优先级和当前已关联AP数量等信息的DiscoveryResponse给AP，由AP决定与哪个AC建立连接。3.建立DTLS连接。DTLS（DatagramTransportLevelSecurity，数据报安全传输协议）是UDP版本的TLS，用于防数据被窃听、篡改、身份冒充等。AC在DiscoveryResponse中会指示是否采用DTLS加密CAPWAP隧道中的UDP报文。

4.AP加入AC。AP发送JoinRequest报文请求加入AC并建立控制通道，AC发送JoinResponse响应。

5.AP版本升级。AP根据JoinResponse携带的版本要求判断自身版本是否符合，若不符合则向AC申请下发新版本。

6.AP配置下发。AP版本达到要求后，向AC发送ConfigurationStatusRequest（配置状态请求）报文，请求报文携带了AP现有的配置，若AC发现AP的配置不符合要求，则发送ConfigurationStatusResponse报文通知AP同步配置。

7.AP配置确认。AP配置完成后，向AC发送ChangeStateEventRequest（配置确认请求）报文，其中包含射频、错误码、配置信息等。AC回复ChangeStateEventResponse（配置确认响应）。

8.AP运行。配置确认后，意味着CAPWAP的控制通道已成功建立，AP进入运行状态，可以开始转发数据了。AP运行后会定期向AC发送EchoRequest（控制通道保活）报文，AC回应EchoResponse（控制通道响应）表示控制通道正常；另外，AP还定期向AC发送Keepalive（数据通道保活）报文，AC回应Keepalive报文表示数据通道正常。

二、CAPWAP数据的传输

CAPWAP隧道承载的数据包括管理报文和业务报文。其中，管理报文必须封装在CAPWAP控制通道中，在AP和AC间传输；业务报文则可选择不经过CAPWAP封装直接由A