1、了解FITAP與AC的建立過程

????? 之前我們已經(jīng)知道了FATAP與FIT是一對雙胞胎一樣的兄弟，FAT哥哥能夠直接獨立使用當(dāng)AP橋接、路由器等，而弟弟FIT則比較薄弱，獨自發(fā)揮不出功效，需要一位師傅（AC）來帶領(lǐng)，那么弟弟FIT如何能夠正常找到一位好師傅（AC）呢，今天我們來了解了解FIT AP上線的過程。

CAPWAP協(xié)議

??? 竟然FITAP需要尋找AC，那么他們之間就有一種協(xié)議來構(gòu)建通信，這個協(xié)議就是CAPWAP，CAPWAP（全稱ControlAnd Provisioning of Wireless Access Points Protocol Specification無線接入點控制和配置協(xié)議）是由IETE定義出來的公有標(biāo)準(zhǔn)，實現(xiàn)以下幾個重要功能

1、包括AC對AP的自動發(fā)現(xiàn)以及狀態(tài)維護(hù)

2、AC對AP進(jìn)行管理、業(yè)務(wù)配置下發(fā)?

3、客戶端的信息通過AP發(fā)送CAPWAP協(xié)議告訴AC，AC進(jìn)行維護(hù)?

4、客戶端的業(yè)務(wù)數(shù)據(jù)也可以通過CAPWAP交給AC進(jìn)行轉(zhuǎn)發(fā)（可選，隧道轉(zhuǎn)發(fā)才需要用到）

CAPWAP的報文結(jié)構(gòu)如下，了解這個對于我們后續(xù)排查上線還是有一定幫助的。

「華為 eNSP 模擬器合集】」，復(fù)制整段內(nèi)容，打開最新版「夸克APP」即可獲取。
鏈接：https://pan.quark.cn/s/5c17bfbc4e00

1、CAPWAP是基于UDP端口的應(yīng)用層協(xié)議。

2、CAPWAP協(xié)議傳輸層運輸兩種類型的負(fù)載：

???????? 數(shù)據(jù)消息，封裝轉(zhuǎn)發(fā)無線幀 。

???????? 控制消息，管理AP和AC之間交換的管理消息，通常AP上線就用到控制消息。

3、CAPWAP數(shù)據(jù)和控制報文基于不同的UDP端口發(fā)送：

??????? 控制報文端口為UDP端口5246。

??????? 數(shù)據(jù)報文端口為UDP端口5247。

4、DTLS加密是可選的，默認(rèn)華為設(shè)備是沒有開啟。

FIT AP與AC建立的過程

1、首先AP需要獲取到一個IP地址，用于跟AC通信（IP地址獲取的方法一個是DHCP下發(fā)，另外一個則是AP手動靜態(tài)設(shè)置），并且獲取到的IP地址與AC之間是可通信的。（當(dāng)然這里還分為AP于AC在同一個VLAN網(wǎng)段，以及不同VLAN網(wǎng)段，我們稱為二層上線與三層上線，這個后續(xù)我會以實際案例講解，這里簡單提一下，大家有個印象）對于DHCP的獲取過程就不在講述了，可以參考博主的公眾號。

2、當(dāng)AP獲取到地址后，AP會啟用CAPWAP發(fā)現(xiàn)機(jī)制，會出現(xiàn)如下幾個場景

????? （1）AP、AC在同一VLAN網(wǎng)段場景：AP發(fā)送Discovery Reqiest廣播報文自動發(fā)現(xiàn)同一網(wǎng)段AC，AC收到后會相應(yīng)一個Discovery ? Response給AP，AP收到后就開始于AC建立CAPWAP隧道。

??? （2）AP、AC夸三層VLAN網(wǎng)段場景：這時候需要DHCP參數(shù)中攜帶option 43參數(shù)告訴AP，AC的地址，AP通過option43中攜帶的地址參數(shù)，直接發(fā)送一個發(fā)送DiscoveryRequest單播報文，AC收到后會相應(yīng)一個DiscoveryResponse給AP，AP收到后就開始于AC建立CAPWAP隧道。

?? （3）AP手動設(shè)置地址場景：則直接跳過發(fā)現(xiàn)機(jī)制，直接向AC發(fā)送Discovery Request單播報文，AC回應(yīng)后，開始建立隧道

?? （4）AP在發(fā)送廣播報文尋找AC的過程會連續(xù)發(fā)送2次，如果2次沒有AC響應(yīng)，這認(rèn)為沒有AC存在，自動重啟。

3、DTLS握手協(xié)議（可選），AP與AC在建立過程中，如果AC配置了DTLS加密傳輸U(kuò)DP報文，那么后續(xù)報文則在加密過程中建立，默認(rèn)情況下AC是沒有開啟，平時項目中也用的少，作為一個了解。

4、Join階段：AC跟AP開始建立控制通道，交互過程中，AP會發(fā)送給AC join request AC回應(yīng)的Join response報文中會攜帶AC當(dāng)前的版本號，以及AP升級版本，握手報文間隔/超時時間，控制報文優(yōu)先級等信息。AC會檢查AP的當(dāng)前版本，如果AP的版本無法與AC要求的相匹配時，AP和AC會進(jìn)入ImageData狀態(tài)做固件升級，以此來更新AP的版本，如果AP的版本符合要求，則進(jìn)入configuration狀態(tài)。

5、image date（可選）：AP根據(jù)協(xié)商參數(shù)判斷當(dāng)前版本是否是最新版本，如果不是最新版本，則AP將在CAPWAP隧道上開始更新軟件版本。AP在軟件版本更新完成后重新啟動，重復(fù)進(jìn)行AC發(fā)現(xiàn)、建立CAPWAP隧道、加入過程。

6、Configuration：進(jìn)入Configuration狀態(tài)后，AP會發(fā)送一個configuration status request報文到AC，該信息中包含了現(xiàn)有AP的配置，AC收到后發(fā)現(xiàn)AP與現(xiàn)在AC的配置要求不符合，會通過回復(fù)configuration status response通知AP來同步。AP同步的時候，會發(fā)送configuationupdate request來請求信的配置，AC則回應(yīng)confguation update response來下發(fā)配置個AP，讓AP進(jìn)行同步。

7、Data Check：Configuration階段完成后，AP發(fā)送change state eventrequest信息，其中包含了radio，code、配置信息等，當(dāng)AC接收到change state event request后，開始回應(yīng)changestate event response 。如果出現(xiàn)radio或者配置不同步的話，則會在response里面告知AP配置不同步，這時候AP會發(fā)送configuationupdate request來請求信的配置，AC則回應(yīng)confguation update response來下發(fā)配置個AP，讓AP進(jìn)行同步。同步一致的話，表示已經(jīng)完成DateCheck 管理隧道建立的過程，開始進(jìn)入run狀態(tài)。

8、Run（最終正常工作狀態(tài)）：AP發(fā)送keepalive到AC，AC收到keepalive后表示數(shù)據(jù)隧道建立，AC回應(yīng)keepalive，AP進(jìn)入“normal”狀態(tài)，開始正常工作。同時AP發(fā)送echorequest報文給AC，宣布建立好CAPWAP管理隧道并啟動echo發(fā)送定時器和隧道檢測超時定時器以檢測管理隧道時候異常。

（對于AP上線有個很好的了解，對于我們部署無線網(wǎng)絡(luò)那是事半功倍的，無線的第一大難點在于上線，至于后續(xù)業(yè)務(wù)50%的中小企業(yè)需求就是配置一個SSID、一個密碼、需要漫游就完事了，博主這不管是從協(xié)助客戶部署跟解決無線故障、以及私活部署大部分的都是卡在上線這塊，其次就是高級認(rèn)證、以及優(yōu)化干擾這。）

??

進(jìn)入正式配置之前，我們先了解下AC的設(shè)備以及如何初始化

1、console登陸方法

作為經(jīng)常要維護(hù)、調(diào)試各類設(shè)備的朋友，那console線是必不可少的（博主建議大家選這樣一體的，兼容性很好，別用轉(zhuǎn)接的）

（博主用一體的一根三年多了 還沒壞過，攜帶方便，如果不知道如何選擇的朋友，可以公眾號回復(fù)console線，博主推薦一個TB鏈接，一個JD鏈接，都性價比高的）

連接終端程序可以是 SecureCRT、XSHELL6、超級終端、putty，這里以SecureCRT為例

串行里面，端口號就電腦設(shè)備管理顯示的COM3，波特率位9600，其余默認(rèn)，注意流控這塊都不選擇。

PS：全新設(shè)備第一次console登陸AC是要求設(shè)置密碼的（必須要求字母數(shù)字符號中的兩種出現(xiàn)，區(qū)分大小寫），而并不是要求你輸入密碼，這里別搞混了（FAT AP第一次進(jìn)入也是）

2、SSH/WEB登陸

接任意一個電口，把電腦網(wǎng)卡設(shè)置成169.254.1.2，華為AC出廠地址為169.254.1.1，可以直接SSH 169.254.1.1 或者瀏覽器直接輸入https://169.254.1.1

默認(rèn)賬號為admin，密碼位admin@huawei.com，瀏覽器第一次登陸進(jìn)去強(qiáng)制要求改密碼，SSH則不需要

博主經(jīng)驗分享：有console線的情況線可以直接用console來開局設(shè)備，如果沒有console，那么用SSH或者WEB的時候，可以把其中一個口當(dāng)管理口，并且修改默認(rèn)地址169.254.1.1為其他，可以是169.254.1.2~254任意一個 或者其他網(wǎng)段，為什么建議修改呢，因為華為AP默認(rèn)出廠地址也是169.254.1.1，很有可能把設(shè)備都接上去了，當(dāng)訪問169.254.1.1的時候會出現(xiàn)訪問不了WEB，或者輸入了密碼沒反應(yīng)。

博主經(jīng)驗分享：這里AP與AC的建立過程了解完畢，看著建立狀態(tài)特別多，那么我們在工作中部署AP上線需要注意的幾個地方，這里提一下，對于AP上線很有幫助哦。拿到客戶的需求后，我們要了解客戶組網(wǎng)環(huán)境來判斷AP跟AC上線需要采取什么方式，這里博主以案例形式舉例幾個工作中常見的場景。

?（1）AC與AP都在同一VLAN網(wǎng)段的場景（這里省去外網(wǎng)以及有線部分，我們這里主要講解無線上線這塊）

?當(dāng)AP與AC在同一個VLAN網(wǎng)段環(huán)境下屬于最簡單的環(huán)境了，只需要交換機(jī)接AP以及AC的接口配置劃分到一個VLAN內(nèi)即可，然后AC配置一個固定IP（必須是固定，這個地址用于CAPWAP通信），然后開啟DHCP給AP分配地址（DHCP可以是三層交換機(jī)、路由器、AC上面。）這里我們以中間拓?fù)鋪砼e例。PS：關(guān)于常見的數(shù)通路由交換技術(shù)需要有一定了解，無線部分不會在詳細(xì)講解這一塊。

1、5700交換機(jī)的配置

vlan 100

#

interfaceGigabitEthernet0/0/1

?port link-type trunk

?port trunk allow-pass vlan 100

#

interfaceGigabitEthernet0/0/2

?port link-type trunk

?port trunk allow-pass vlan 100

2、3700交換機(jī)的配置

vlan 100

interface Ethernet0/0/1

?port link-type trunk

?port trunk allow-pass vlan 100

#

interface Ethernet0/0/2

?port link-type access

?port default vlan 100

#

interface Ethernet0/0/3

?port link-type access

?port default vlan 100

3、AC的配置

（1）VLAN、DHCP以及地址配置，該地址用于CAPWAP隧道建立使用。

vlan batch 100

#

interfaceGigabitEthernet0/0/1

?port link-type trunk

?port trunk allow-pass vlan 100

#

dhcp enable

#

interface Vlanif100

?ip address 192.168.100.1 255.255.255.0

?dhcp select interface

（2）指定CAPWAP使用哪個地址，這樣后續(xù)AP與AC建立CAPWAP隧道就使用接口地址，這里位192.168.100.1

capwap source? interface?Vlanif? 100

可以看到現(xiàn)在沒有任何一臺AP上線。

Ap已經(jīng)是獲取到了地址并且跟AC也能通信，但是沒有上線。

我們抓包可以看到 兩臺AP都發(fā)送了 CAPWAP的discovery request來尋找AC，AC跟AP在一個網(wǎng)段內(nèi)，按之前的報文交互流程AC應(yīng)該收到了，而且會回應(yīng)一個Discovery Response給AP，但從抓包來看并沒有，這就涉及到我們常見上線的第一個難題了，AP地址也獲取到了，跟AC通信也正常，但是不上線。

在這里就要了解下華為對于AP默認(rèn)是開啟了認(rèn)證的，可以通過display ap global configuration 看到默認(rèn)是采用的mac-auth，也就是說只有AC里面添加了AP的MAC地址信息，才能在AC的列表里面看到，否則則出現(xiàn)在未認(rèn)證列表里面。

display ?ap unauthorized record通過該命令可以看到有兩臺未認(rèn)證的設(shè)備存在，我們來深入看下discovery request的包里面包含什么。

在包里面我們可以發(fā)現(xiàn)AP攜帶了產(chǎn)商、型號、序列號以及自身MAC地址，當(dāng)AC收到后，它會查看自己WLAN配置里面是否有該AP的信息存在，如果沒有則不會讓其出現(xiàn)在AP列表里面，放入未認(rèn)證列表。

解決辦法：

（1）把認(rèn)證方式改成不認(rèn)證

?????? [AC6005]wlan??

?????? [AC6005-wlan-view]apauth-mode no-auth

（2）手動確認(rèn)

???????? [AC6005-wlan-view]ap-confirm（后面可以跟MAC、SN、ALL），display? ap unauthorizedrecord查看未授權(quán)AP信息

???????? 然后復(fù)制MAC，SN，而ALL的意思是則全部確認(rèn)為授權(quán)信息

（3）手動把AP信息輸入進(jìn)去

?????? [AC6005-wlan-view]ap-id?1?ap-mac 00e0-fc2e-56f0

?????? [AC6005-wlan-ap-0]ap-name1F-1A

那么在平時工作中怎么去使用呢，博主的經(jīng)驗就是如果施工方好說話，把每個地點裝的AP的MAC/SN信息都記錄成表格形式了，那么我會采用手動信息輸入方式上線，手動輸入上線的好處在于，第一個可以排序，第二個可以在輸入的過程中命名。

默認(rèn)情況下AP的命名是以MAC地址來命名的，采用手動輸入方式的話，可以直接命名，后續(xù)AP上線就直接以名字顯示，當(dāng)后續(xù)出現(xiàn)故障，很快就能定位到是哪臺AP，在什么位置。

博主也是非常建議大家采用這種方式，雖然前期麻煩點，但是后期維護(hù)真心省不少事，特別是樓層多的場景，沒記錄信息的時候找一個AP可能得花費不少體力、精力。那么另外博主常用到的就是不認(rèn)證了，規(guī)模不大的場景我都會選擇不認(rèn)證，AP少，好找，前期省不少事情。至于手動確認(rèn)的方式博主沒用過，暫時想不到什么場景用的少。（后續(xù)試驗環(huán)境都一律采用不認(rèn)證方式）

[AC6005-wlan-view]ap auth-mode no-auth （缺省模式是ap auth-mode mac-auth）

這時候在看AP就已經(jīng)都上來了，這還只是涉及到了我們一種上線方式，二層上線，篇幅有限，在后續(xù)我們還會講解到AP與AC建立CAPWAP過程中的抓包，分析每個包里面的內(nèi)容，以及AP在AC中的狀態(tài)顯示，還有三層上線、AP靜態(tài)地址配置等。

WEB操作單獨說明（有的朋友喜歡WEB操作，命令行太復(fù)雜了，這里單獨加上）

1、登陸WEB，默認(rèn)地址169.254.1.1，電腦設(shè)置成169.254.1.2即可。默認(rèn)賬號admin 密碼 admin@huawei.com這里說一個模擬器也是支持WEB的，可以直接橋接到本地即可（用云功能）

2、創(chuàng)建VLAN與VLANIF

3、開啟DHCP

4、接口配置成trunk

這里記得點擊那個加號???????

5、配置CAPWAP source接口

指定VLAN 100為capwap 原地址，認(rèn)證方式可以采取MAC認(rèn)證、SN認(rèn)證、不認(rèn)證，如果是MAC認(rèn)證、或者SN認(rèn)證可以直接這里添加AP即可

6、未認(rèn)證的設(shè)備在AP配置里面可以看到

準(zhǔn)備工作：（1）能以模擬器模擬的實驗都會用模擬器來演示，所以大家模擬器提前安裝好 （2）不能模擬器的博主會以真機(jī)方式講解，博主目前AC設(shè)備沒有，有一臺AR加AP。