第一部分：关于底层逻辑问题

1、WLAN二层组网与三层组网到底是指哪里是二层哪里是三层，两者有什么区别？

WLAN的二层组网与三层组网指的是AP与AC之间建立的Capwap隧道是二层的还是三层的，以此来区分是二层组网还是三层组网。注意：当进行WLAN三层组网时，AP在建立Capwap隧道时首先是发送的是单播Discover报文，当单播无法建立Capwap隧道后，再发送广播Discover报文建立Capwap隧道。

2、在进行旁挂组网时，配置底层网络时，各接口该如何配置VLAN？

（1）接入交换机上连接AP设备的接口配置trunk，且需要剥离管理VLAN的VLAN Tag；

（2）AC设备与核心交换机互联的接口配置trunk，必须允许通过的VLAN有：互联的VLAN、进行隧道转发的业务VLAN。

3、在进行旁挂组网时，配置底层网络时，路由需要如何配置？

（1）如果业务VLAN网关没有部署在AC上，则AC上必须配置去往业务VLAN的路由；

（2）当进行三层组网时，核心交换机上必须配置去往AC上的Capwap隧道的源地址路由。

4、什么时候需要配置option43选项？

当进行WLAN三层组网，若AC不作为管理VLAN的DHCP服务器时，则管理VLAN的DHCP服务器上需要配置DHCP option43选项指向AC上的Capwap隧道的源地址。

第二部分：WLAN三层组网配置实例

1、拓扑图

 

拓扑介绍

（1）、VLAN及地址的命名关系：VLAN的ID=IP地址的前8位总和（如：VLAN11=11.0.0.0/24）。

（2）、AR1的loopback0口模拟外部网络，AC的loopback0口作为Capwap隧道的源地址。

（3）、AP的业务VLAN以及管理VLAN都部署在SW1上

2、配置步骤

（1）、配置底层网络互通

（2）、在SW1（核心交换机）上配置DHCP地址池与DHCP功能

（3）、AC上配置WLAN功能

3、配置开始

（1）、配置底层网络互通

AR1上：

interface GigabitEthernet0/0/1
 ip address 11.0.0.2 255.255.255.0 
interface LoopBack0
 ip address 1.1.1.1 255.255.255.255 
ip route-static 0.0.0.0 0.0.0.0 11.0.0.1      //回包路由

SW1上：

vlan batch 10 to 11 20 22 30           //创建VLAN

interface GigabitEthernet0/0/1        //配置与AR1互联接口
 port link-type access
 port default vlan 11
interface GigabitEthernet0/0/2       //配置与AC互联接口
 port link-type trunk
 port trunk allow-pass vlan 10 22
interface GigabitEthernet0/0/3      //配置与接入交换机SW2互联接口
 port link-type trunk
 port trunk allow-pass vlan 10 20 30

interface Vlanif10                     //配置业务VLAN10接口地址
 ip address 10.0.0.1 255.255.255.0
 dhcp select global
#
interface Vlanif11                     //配置互联VLAN11接口地址
 ip address 11.0.0.1 255.255.255.0
#
interface Vlanif20                     //配置业务VLAN20接口地址
 ip address 20.0.0.1 255.255.255.0
 dhcp select global
#
interface Vlanif22                     //配置互联VLAN22接口地址
 ip address 22.0.0.1 255.255.255.0
#
interface Vlanif30                     //配置管理VLAN30接口地址
 ip address 30.0.0.1 255.255.255.0
 dhcp select global

ip route-static 1.1.1.1 255.255.255.255 11.0.0.2             //配置去往AR1的loopback0路由
ip route-static 10.10.10.10 255.255.255.255 22.0.0.2         //配置去往AC的loopback0路由

AC上：

vlan batch 10 22        //创建VLAN

interface GigabitEthernet0/0/2           //配置与SW1互联接口
 port link-type trunk
 port trunk allow-pass vlan 10 22

interface Vlanif22                      //配置与SW1互联地址
 ip address 22.0.0.2 255.255.255.0

interface LoopBack0                     //配置loopback0接口地址
 ip address 10.10.10.10 255.255.255.255

ip route-static 10.0.0.0 255.255.255.0 22.0.0.1      //配置去往业务VLAN10的路由（进行隧道转发的网段）
ip route-static 30.0.0.0 255.255.255.0 22.0.0.1      //配置去往AP管理VLAN30的路由

SW2上：

vlan batch 10 20 30        //创建VLAN

interface GigabitEthernet0/0/1                 //连接AP的接口
 port link-type trunk
 port trunk pvid vlan 30                      //剥离管理VLAN的VLAN TAG
 port trunk allow-pass vlan 10 20 30
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk pvid vlan 30
 port trunk allow-pass vlan 10 20 30
#
interface GigabitEthernet0/0/3             //与SW1互联的接口
 port link-type trunk
 port trunk allow-pass vlan 10 20 30

（2）、在SW1（核心交换机）上配置DHCP地址池与DHCP功能

在SW1上：

ip pool vlan10                                     //业务VLAN10地址池
 gateway-list 10.0.0.1
 network 10.0.0.0 mask 255.255.255.0
#
ip pool vlan20                                     //业务VLAN20地址池
 gateway-list 20.0.0.1
 network 20.0.0.0 mask 255.255.255.0
#
ip pool vlan30                                     //管理VLAN30地址池
 gateway-list 30.0.0.1
 network 30.0.0.0 mask 255.255.255.0
 option 43 sub-option 2 ip-address 10.10.10.10    //配置option 43 指向AC

（3）、AC上配置WLAN功能

regulatory-domain-profile name cmbc          //配置域管理模板cmbc
country-code CN                              //国家码为中国

ap-group name cmbc                           //创建AP组cmbc
  regulatory-domain-profile cmbc             //绑定域管理模板cmbc

ap auth-mode no-auth                         //设置ap上线方式为不认证

capwap source interface loopback0           //指定建立capwap隧道的源地址为loopback0

此时可以执行：display ap all，查看AP的上线情况：
[AC1]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
fault: fault           [2]
nor  : normal          [2]
--------------------------------------------------------------------------------
-------------------
ID   MAC            Name           Group IP         Type            State STA Up
time
--------------------------------------------------------------------------------
-------------------
0    00e0-fcfd-53d0 00e0-fcfd-53d0 cmbc  -          AP4030TN        fault 0   -
1    00e0-fc4c-42e0 00e0-fc4c-42e0 cmbc  -          AP4030TN        fault 0   -
2    00e0-fc42-7cb0 00e0-fc42-7cb0 def  30.0.0.252 AP4050DN-E      nor   1   1H
:19M:31S
3    00e0-fc6e-0200 00e0-fc6e-0200 def  30.0.0.251 AP4030TN        nor   1   1H
:13M:9S
--------------------------------------------------------------------------------
-------------------
Total: 4

此时AR3、AR4为正常上线的AP，AP0、AP1为之前测试的AP，已删除设备，不用管。可以看到
AP组为缺省，且已从SW1上自动获取到了IP地址。

 ssid-profile name cmbc            //配置SSID模板
  ssid cmbc
 ssid-profile name guest
  ssid guest

 security-profile name cmbc       //配置安全认证模板
  security wpa-wpa2 psk pass-phrase cmbc1234 aes
 security-profile name guest
  security open                  //不认证

vap-profile name cmbc            //配置VAP模板cmbc
  forward-mode tunnel            //数据转发模式为隧道模式
  service-vlan vlan-id 10        //指定业务VLAN
  ssid-profile cmbc              //SSID模板
  security-profile cmbc          //安全模板

 vap-profile name guest          //配置VAP模板guest
  forward-mode direct-forward    //直接转发
  service-vlan vlan-id 20
  ssid-profile guest
  security-profile guest

ap-group name cmbc_guest                    //进入AP组
vap-profile cmbc wlan 1 radio all           //绑定VAP模板并指定射频
vap-profile guest wlan 2 radio all          //绑定VAP模板并指定射频

(4)验证

验证命令1：dis vap ssid cmbc                 //验证VAP 的射频是否正常发布

验证命令2：display station ssid cmbc      //查看无线终端连接状态

在移动终端上连接测试

 

注意：虽然设定了隧道转发模式，但是进行路径跟踪是不会显示报文到达AC，通过抓包可以看见报文经过了AC设备中转。