瘦AP三层隧道使用说明

WLAN配置示例2（旁挂组网隧道or直接转发），这种方式比较适合中小型企业，AC旁挂在三层交换机旁边，只是用于来与AP建立CAPWAP隧道，下发业务给AP，如果在隧道方式下的话，那么业务流量也会由CAPWAP隧道进行封装交给AC处理，再由AC来转发，而直接转发的话，则由AP本地交换了，不需要交给AC，这样可以减轻AC的负担，具体使用可以根据需求来决定。

掌握目标1、理解旁挂组网与直接or隧道转发的方式2、AP静态关联AC的方法【补充，之前都是以动态或者option43方式】3、三层交换机配置4、AC的配置5、只允许访客访问特定的流量，通过ACL下放拓扑具体的VLAN信息与IP网段都包括，该实验主要是演示三层组网旁挂+隧道或者直接转发方式的组网情况，并且包括怎么通过AC上面配置ACL来下放到AP上面限制客户端的流量。

1、理解旁挂组网与直接or隧道转发的方式如果在隧道方式下的话，那么业务流量也会由CAPWAP隧道进行封装交给AC处理，再由AC来转发，而直接转发的话，则由AP本地交换了，不需要交给AC，这样可以减轻AC的负担，还可以配需华为的feature，在AC失效后，AP还能继续为客户端提供业务转发。

2、AP静态关联AC的方法【补充，之前都是以动态或者option43方式】在AP上面配置模式为静态，配置自己的IP地址与网关，最后指定AC的地址在哪，重启设备即可。

3、三层交换机配置dhcp enableinterface Vlanif100ip address10.1.100.1255.255.255.0dhcp select interfacedhcp server option43sub-option3ascii10.1.201.100这里配置了option43，指定AC的地址#interface Vlanif101ip address10.1.101.1255.255.255.0 dhcp select interfacedhcp server dns-list8.8.8.8#interface Vlanif102ip address10.1.102.1255.255.255.0 dhcp select interfacedhcp server dns-list8.8.8.8#interface Vlanif200ip address10.1.200.2255.255.255.0 #interface Vlanif800ip address10.1.201.1255.255.255.0 #interface MEth0/0/1#interface GigabitEthernet0/0/1port link-type accessport default vlan100#interface GigabitEthernet0/0/2port link-type accessport default vlan100#interface GigabitEthernet0/0/3port link-type accessport default vlan200#interface GigabitEthernet0/0/4port link-type trunkport trunk allow-pass vlan100to102200800说明：这里演示是以隧道方式组网演示的，所以交换机接AP的接口都为Access接口，如果是直接转发的话，那么必须为hybrid或者trunk，其中PVID必须等于AC的源地址的VLAN，也就是与AP建立CAPWAP隧道的VLAN，为管理VLAN，然后还需要放行业务VLAN，否则PC关联不上，DHCP获取不到地址。

华三无线AP胖瘦转换教程一、胖瘦转换的背景介绍二、准备工作1、一台已经安装好华三无线AP的设备。

2、一台计算机，需要通过该计算机进行AP的胖瘦转换操作。

3、网络连接正常的环境。

三、胖瘦转换的具体步骤1、登录华三无线AP打开计算机上的浏览器，输入华三无线AP的默认管理IP地址（通常为192.168.1.1），并按回车键。

弹出登录页面，输入默认的用户名和密码（通常分别为admin和admin），点击登录按钮。

2、备份AP的配置文件在登录后的华三无线AP管理界面中，找到并点击“备份与升级”选项卡。

在备份与升级界面中，找到“软件备份”一栏，点击“立即备份”按钮。

等待备份完成。

3、配置AP为胖AP模式在备份与升级界面中，找到“操作模式”一栏，选择“胖AP”模式，并点击“确认”按钮。

系统将提示是否确认更改，“是”的时候点击“确定”按钮。

等待系统自动完成胖AP模式的设置。

4、重启AP在华三无线AP管理界面中，找到并点击“系统管理”选项卡。

在系统管理界面中，找到“重启设备”一栏，点击“立即重启”按钮。

5、登录胖AP管理界面6、导入胖AP的配置文件在登录后的华三无线AP管理界面中，找到并点击“备份与升级”选项卡。

在备份与升级界面中，找到“软件升级”一栏，点击“浏览”按钮。

选择之前备份的配置文件（后缀名为.hyz），点击“上传”按钮。

等待配置文件成功导入。

7、重启胖AP在备份与升级界面中，找到“重启设备”一栏，点击“立即重启”按钮。

系统将会再次自动重启，等待一段时间，直到胖AP成功重启。

8、完成胖瘦转换操作四、注意事项1、在进行胖瘦转换操作前，请务必备份好您的无线AP的配置文件，以防出现意外情况。

2、在进行胖瘦转换操作时，请确保网络连接正常，以避免操作中断。

3、在进行胖瘦转换操作时，请确保您拥有华三无线AP的登录权限。

总结：本文介绍了华三无线AP胖瘦转换的详细步骤。

通过胖瘦转换，可以实现集中管理和配置多个无线AP，提升无线网络的管理效率。

瘦AP架构二层切换和三层切换说明文档H3C无线漫游解决方案支持同一AC下AP之间，不同AC下AP之间的无缝快速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。

同一AC下AP之间快速漫游：AP1与AP2分别与AC建立CAPWAP隧道；无线用户与AP1进行关联，接入网络；AP会将用户的报文封装在隧道中送给AC处理；当无线用户从AP1往AP2方向移动时，无线用户向AP2发起认证和重关联请求（此时重关联请求中携带无线用户与AP1协商出的PMK对应的PMKID；AP2透传重认证请求报文到AC上；AC检查发现此无线用户已经在AP1上进行认证，且通过PMKID成功查询得到对应PMK，表明此无线用户为漫游用户；重关联成功后，AC直接通知无线用户使用原有的PMK进行四次握手（4-Way handshake）协商，得到实际数据加密使用的PTK。

无线用户与AP1解除关联，所有用户数据通过AP2进行转发。

整个协商过程中，未和认证服务器进行交互，且用户无需重登录。

H3C的AC内快速漫游的最大延迟时间为50ms。

不同AC下AP之间的快速漫游：不同AC下AP间漫游，采用IACTP技术实现Inter Access Controller Tunneling Protocol (IACTP),提供了无线控制器（AC）间的一种通用的封装和传输机制。

IACTP使用标准TCP客户端/服务器模型。

IACTP引入了漫游域的概念，漫游域是一个AC的集合，它定义了无线用户可进行快速漫游的AC集。

IACTP提供控制通道用于快速漫游时AC间共享/交换信息，同时也提供了数据通道用于对数据报文进行AC间的传输。

Pre-roam sync预先配置的漫游域中包含AC1和AC2。

AC1与AC2建立IACTP隧道；无线用户第一次关联到一个漫游域中的任意一个AC （如AC1，称此AC为家乡Home-AC（HA）），并进行802.1X或MAC认证，和802.11Key协商。

三层隧道协议三层隧道协议（3GPP）是一种用于在移动网络中传输IP数据包的协议。

它是一种基于IP的协议，可以在移动网络中实现终端设备和移动网络之间的安全通信。

三层隧道协议在移动通信领域具有广泛的应用，可以为用户提供更安全、更高效的移动通信体验。

三层隧道协议的工作原理是通过将IP数据包封装在移动网络中的隧道中进行传输。

它可以将用户数据包从移动终端设备传输到移动网络中的目的地，同时保证数据的安全性和完整性。

三层隧道协议可以通过加密、认证等手段来保护用户数据的安全，避免数据在传输过程中被窃取或篡改。

三层隧道协议的主要特点之一是支持多种传输方式。

它可以在不同的移动网络环境下进行传输，包括LTE、WiMAX等。

这使得三层隧道协议可以在不同的移动网络环境下实现数据的安全传输，为用户提供更加便利的移动通信服务。

另外，三层隧道协议还可以实现移动网络中的流量管理。

它可以通过对数据包进行分类、标记等方式来实现对移动网络中的流量进行管理，确保网络资源的合理分配和利用。

这对于移动网络运营商来说非常重要，可以帮助他们更好地管理移动网络中的流量，提高网络的运行效率。

三层隧道协议还可以实现移动网络中的质量 of 服务（QoS）。

它可以根据不同的业务需求对数据包进行优先级的分配，确保重要业务的数据包能够得到优先传输，从而保证用户的通信质量。

这对于移动通信服务商来说非常重要，可以提高用户的满意度，增强用户对移动通信服务的信任。

总的来说，三层隧道协议作为一种用于在移动网络中传输IP数据包的协议，具有广泛的应用前景。

它可以为移动用户提供更加安全、高效的移动通信服务，同时也可以帮助移动网络运营商更好地管理网络资源，提高网络的运行效率。

随着移动通信技术的不断发展，相信三层隧道协议将会在移动通信领域发挥越来越重要的作用。

云AP使用说明书V2.0一准备工作1将有线网卡的网线连接到AP的LAN口中，将外网的网线接入到AP的WAN口中，右键点击【本地连接】-【属性】2：双击【Internet协议版本4】，选择【使用下面IP地址】，将IP地址修改为和AP同一网段的IP地址，如169.254.254.5，子网掩码使用默认255.255.255.0，然后点击确定按钮。

3：打开电脑浏览器【建议使用谷歌浏览器】，在地址栏输入169.254.254.254后，回车。

4：进入设备的Web登陆界面，输入默认用户名admin密码admin登录5.进入云AP的设置界面，输入云端接入账号和控制器地址，云端接入账号即为经销商所给的云平台账号，控制器地址即为，外网必须是畅通的，然后点击【保存生效】二登录云平台管理AP云平台地址为，商家会分配给客户一个账号，为【普通账号】或【子账号】。

客户购买产品后，可以联系经销商索要云平台账号。

1.使用商家提供的账号和密码登录云平台，2.登录后点击无线管理-AP管理，可以看到云AP已经在线。

3.WLAN管理，点击新增按钮新增一个ssid（需与微信门店ssid一致）给云AP开启WIFI覆盖三广告和认证功能配置1.微信认证：在营销管理→微信认证配置填上相关信息（相关信息在微信公众平台→微信连Wi-Fi→设备管理→查看详情→查看设备改造信息。

）云平台微信配置页面该页面来自微信公众号注意事项：a.首先需要一个微信公众号，并且已经添加微信连Wi-Fi功能插件。

b.该微信公众号需在门店管理开启至少一个门店。

c. 云端微信配置信息应与微信公众号页面d.给AP设置的ssid必须与微信配置ssid一致2.在设备管理→设备分组下新增分组添加分组2.在营销管理→广告配置目录添加广告，并在认证设置中开启微信认证。

（设置完成后有红色提示需确认立即生效配置）基本设置模板图片设置开启微信认证5.在营销管理→投放策略下对分组下发广告。

（有红字提示需确认立即生效配置）下发广告配置3.广告预览，在手机客户端下预览效果图。

版权所有:杭州华三通信技术有限公司瘦AP注册不上故障排查一、开始 FitAP 、AC 是通过三层IP 网络构建CAPWAP 隧道来完成注册。

所以定位故障的思路是：先确保AP 、AC 在IP 层能正常通信，再检查版本、配置、License 等信息。

1、查看AP 当前注册状态 命令：display wlan ap all例如：State为“I”表示AP未上线；“R/M”、“R/B”表示已上线，分别为主、备隧道。

2、AP上电启动如果AP无法注册上线，首先需要检查AP是否成功上电启动。

分两种场景：（1）现场定位：在现场定位时，可以直接通过观察AP电源指示灯，或者观察接入交换机端口指示灯状态来确定AP是否正常启动。

（2）远程定位：在远程定位时，可以通过观察和AP同二层网的设备能否学习到APMAC地址来辅助判断，如果接入交换机未能学习到APMAC地址，可能是AP未启动，或者连接AP网线存在故障。

命令：display mac-address 例如：在接入交换机上查看MAC表，如果有学习到AP的MAC地址，可以确定AP已启动。

另外，如果AP是POE供电方式，则根据POE交换机的供电情况也能确定AP是否上电启动。

命令：display poe interface例如：查看POE交换机端口供电，正常情况AP功耗会超过5W，否则AP可能未正常启动。

如果最终定位到AP未启动，则需要检查本地供电电源或者POE交换机、网线等。

必版权所有:杭州华三通信技术有限公司要时可以尝试替换网线、POE交换机或者AP来确认故障点。

3、AP获取管理地址AP启动后需要获取管理IP地址，可以通过查看DHCPServer状态，确定服务器有没有给AP分出去地址。

命令：display dhcp server ip-in-use pool ap_014、检查DHCP Relay/Server状态查看AP的管理DHCP地址池配置是否正确，地址池是否够用，是否有地址冲突等等。

一、瘦AP的原理瘦AP的出现是随着建网，组网方式的不断出现而应运而生的。

无线控制器＋FIT AP 控制架构（瘦AP）对设备的功能进行了重新划分，其中无线控制器负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FIT AP 负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。

H3C公司在支持这种新的网络架构时将一些新的智能功能集成进FIT AP 和无线控制器中，以便于给用户呈现统一的网络管理接口：1、FIT AP的配置保存在无线控制器中，FIT AP启动时会自动从无线控制器下载合适的设备配置信息2、FIT AP需要能够自动获取IP地址，同时FIT AP需要能够自动发现可接入的无线控制器，并对无线控制器和FIT AP之间的网络拓扑不敏感3、无线控制器支持FIT AP的配置代理和查询代理，能够将用户对FIT AP的配置顺利传达到指定的FIT AP设备，同时可以实时察看FIT AP的状态和统计信息4、无线控制器保存FIT AP的最新软件，并负责FIT AP软件的自动更新二、组网方式在集中式WLAN管理模式中，H3C的FIT AP和无线控制器之间可以支持三种网络拓扑结构：1.直连模式：:FIT AP和无线控制器直接互联，中间不经过其他设备节点.2.二层网络连接模式：FIT AP和无线控制器同属于一个二层广播域，FIT AP和AC之间通过二层交换机互联.3.三层网络连接模式：FIT AP和无线控制器属于不同的IP网段.FIT AP和AC之间的通信需要通过路由器或者三层交换机三层转发来完成.图1无线控制器和FIT AP之间的网络拓扑获取IP地址FIT AP在和网络通信前必须能够获取自身的IP地址，为了减少维护人员的配置，FIT AP必须能够支持自动获取IP地址，目前业界标准的做法是采用DHCP client功能.AP启动以后会在其上行接口上通过DHCP client模块发起获取IP地址的过程.通过DHCP的协议交互FIT AP可以从DHCP server获取到以下信息：自身使用的IP地址、DNS server的IP地址、网关IP地址、域名、可接入的无线控制器的IP地址列表（此信息通过DHCP option43提供）等.发现相同二层网络内的无线控制器（含直连模式）FIT AP一旦获取到IP地址，就会通过广播方式发起无线控制器发现请求.和AP 同属于相同二层广播域的无线控制器会根据预先配置的可接入AP列表和当前的负载情况决定是否响应AP的发现请求.通过用户的预先配置和无线控制器自身的判断可以使FIT AP均衡的接入到不同的无线控制器。

cnPilot 瘦AP快速设置教程
1、cnPilot AP的默认登录IP是192.168.0.1；默认登录用户名和密码为
“admin”;
（注意：如果AP接入了开启了DHCP服务的路由，则优先获取路由器下发的IP 地址，此时需登录路由器查看AP的IP地址进行登录）
2、登录后出现在Dashboard（仪表盘）菜单，可查看基本工作信息
3、点击到Configure——System菜单，配置Country-Code（国家代码）为
China，完成后拉到页面最下面点击save保存；
4、接着点击Configure——WLAN菜单，执行Add WLAN添加无线WIFI
名称
出现下图所示，WLAN ID默认为1，点击OK；
接着在basic子菜单里，进行以下填写：SSID选项里输入WIFI名称；Security选项里选择WPA2 Pre-shared Keys，并在Passphrase选项填入8位数WIFI密码；Radios选项里选择要启用的WIFI频段（默认如下图所示，2.4G和5G同时开启WIFI广播）。

如果双频启用了SSID且想让支持5G的客户端优先连入5G wifi，则下拉菜单至Advanced部分，在Band Steering选项里选择Normal模式即可；
最后拉到页面最下面点击save保存；
至此，简单的AP操作配置完成！。

Wall-ap 胖模式配置指导如下一、组网需求通过基础配置，无线用户能够收到无线信号并且获取到IP地址注：适用于AP110-W。

二、组网拓扑无线用户地址及网关均在汇聚交换机；无线用户vlan：130；地址池：172.16.1.0/24；注：配置实例里AP上配置的VLAN 10只有本地有效，因此可以随意定义。

三、配置要点1、Telnet到AP2、登陆设备特权模式3、将AP模式切换为胖AP4、配置enable密码5、保存配置（推荐）6、更改PC连接端口并重新Telnet7、新建vlan8、FA0/1以太网物理接口封装vlan9、定义SSID10、创建射频卡子接口11、SSID和射频卡进行关联12、开启广播功能（推荐）13、配置AP的管理IP地址及默认路由14、配置汇聚交换机及接入交换机四、配置步骤接口编号：注：默认AP110-W为瘦AP，如果要当胖AP使用需要进行胖瘦切换。

瘦AP默认IP为192.168.1.1，默认密码为ruijie。

1、Telnet到AP1）打开电源，PC需要连接到AP的FA0/1(背面板的以太端口)连接方式：PC---POE供电---(FA0/1)AP2）PC IP地址设置为192.168.1.23）Telnet 到APtelnet 192.168.1.1User Access VerificationPassword:ruijie2、登陆设备特权模式Ruijie>enablePassword:apdebugRuijie#3、将AP模式切换为胖APRuijie#ap-mode fatapmode will change to FAT.注：切换为胖AP之后，FA0/1、FA0/2转化为三层接口，FA0/1 IP地址：192.168.1.1/24，FA0/2 IP地址：192.168.2.1/244、配置enable密码Ruijie(config)#enable password ruijie注：在第3步完成后不能退出特权模式，不然需要重新再进行一次胖瘦切换，用户模式也可以进行胖瘦切换。

CAPWAP（瘦AP）技术概（学习资料）CAPWAP（瘦AP）技术概述大型无线网络的挑战–管理、监测及控制大量AP所产生的挑战–对大量AP的配置及升级–无线局域网的空口传输不稳定，易受干扰，因而需要对多个AP 之间的无Page2线干扰、信道转换、功率调整等进行集中控制，从而避免干扰，防止入侵，稳定整体性能–无线局域网的安全要求规模化的组网运营下必须采用瘦AP的架构–集中化完成配置更改、监控和管理，增强对用户和业务的控制–在各种组网模式下完成对AP的统一管理，去除了胖AP到BAS 缺省路由的限制。

网络组网设计可以更为灵活。

–整体降低了网络故障率FAT AP 方案FIT AP 方案技术模式传统主流新生方式，增强管理安全性传统加密、认证方式，普通安全性增加射频环境监控，基于用户位置安全策略，高安全性Page 3网络管理对每AP 下发配置文件AC 上分组批量配置，AP 本身零配置WLAN 组网规模适合小规模组网拓扑无关性，适合大规模组网增值业务能力实现简单数据接入可扩展更多丰富业务LWAPP：Airspace（被Cisco收购）、Nexthop Technologies 提出，Split MAC方式，使用UDP隧道，UDP12222和UDP12223传输数据报文和控制报文。

SLAPP：Aruba、Trapeze提出，支持桥接和隧道两种本地MAC 模式，支持WTP端加解密和AC端加解密2种分离MAC机制，支持直连、2层和3层3种连接方式。

数据信道使用GRE技术，控制信道则使用安全的DTLS技术。

Page4CTP(CAPWAP Tunneling Protocol)：Chantry Networks（被Siemens收购）、Propagate Networks（改名叫AutoCell Laboratories了），，利用扩展的SNMP对WTP进行配置和管理，虽然实现了AP与WTP互相认证及一套基于AES-CCM的加密规则，但是并不完善。

Mikrotik瘦AP快速设置教程
准备：
下载winbox登录工具，下载地址为https:///download，打开之后点击下载所示位置下载即可；
将AP按下图标注所示连接好，保持电脑跟网桥再同一个二层子网；
登录：
将电脑有线连接至设备（某些型号如wAP系列有线接口默认存储防火墙无法扫描登录，需通过无线连接登录并清空配置即可）；打开winbox软件，按下图顺序扫描并选择登录设备；
配置：
登录设备后，默认提示框中选OK；
如下图所示，按序号依次点击修改，序号2位置选择向导模式为WISP AP；序号3位置分别选择无线协议为802.11、命名5G的wifi名称、频段选5GHz-A/N/AC（不支持AC协议则选择5GHz-A/N，2G设备则选择2GHz-
B/G/N）、信道宽度选择20/40/80 Ceee（设备不支持80M频宽则选择20/40 Ce）；序号4位置勾选WPA2和aes com并输入8位数的wifi密码；序号6位置选择Automatic则自动获取管理IP，也可选择Static指定静态管理IP；然后序号8位置填入路由器的登录密码然后点击OK即可；
由于双频路由器向导瘦AP模式只能配置5G频段WIFI，故需手动开启2G WIFI，按下图所示序号操作，2位置双击wlan1网卡，4位置SSID（WIFI名称）可自行修改，其余按下图示例填写选择即可。

华为AP5010 配置胖AP三层路由模式使用vlan1 接口模式access
新建虚拟接口vlan2为用户使用；并开启dhcp
保持默认射频
新建服务器集，填写ssid；流量模版是控制流量的，即是限速，保持默认，安全模版是设置无线密码的，建议使用wpa2 psk ccmp pass-parchase;bss接口为用户上网空气接口，选择用户vlan2；
添加acl；新建acl；
新建外网访问，nat；使用easy ip；绑定acl；
添加ap到上层设备的路由
测试ap是否能ping通网关
瘦AP操作：
除以上信息配置完成以后，请分别在上层设备（如三层交换机、防火墙等）做回指路由便可正常使用。

（多是在网络管理，静态路由中添加）。

瘦AP三层隧道使用说明一、隧道组网AP和AC跨三层组网，STA在AC上分配地址（DHCP方式）注意：隧道报文只存在AC与AP之间，并且只有STA的报文才会封装成隧道报文，AP和管理平台之间的capwap报文没有封装成隧道。

二、处理流程1）无线用户关联AP，AP把用户关联信息上报管理平台2）管理平台把STA信息下发给接入平台，接入平台建立起该STA的隧道信息3）STA的报文由AP封装成隧道报文发送到接入平台的5248端口4）AC接入平台解封装隧道，对原STA的报文进行转发5）外界发送给STA的报文到达AC接入平台，接入平台判断需要封装隧道时，封装成隧道报文发送给AP6）AP把隧道报文解封装，发送给STALiuzhijian!@#221.131.176.156三、隧道配置管理平台配置1. 登录web管理界面，打开页面【基本配置】【隧道配置】，进行如下配置模式开关：开开启隧道模式关闭关闭隧道模式注意：目前隧道配置命令只在AP加入时下发给AP，中途修改隧道配置不会发消息给在线的AP接入平台IP：AP发送的隧道报文的目的IP，接入平台接口的任意一个地址均可，只要能与AP互通端口： AP发送的隧道报文的目的端口，固定为5248模式选择：固定为UDP隧道模式：选择1-MACBridge2. 配置文件登录AC管理平台，修改access.conf文件# vi /icac/conf/access.conf1 10.1.1.4 4603格式：编号 IP地址端口，各字段以空格分隔，描述：编号为数字1，2.. ,IP地址为接入平台的地址，端口固定为4603。

说明：一个编号表示一条记录，如果一个管理平台连接多个接入平台，需配置多条，多条之间没有顺序要求修改后需重启accomm才能生效修改forward.conf文件# vi /icac/conf/forward.conf10.1.1.4 4603 127.0.0.1 4603格式：IP地址端口 IP地址端口，各字段以空格分隔，描述：配置为接入平台的IP地址，端口固定为4603说明：只有一条记录，目前最多只支持2个接入平台，只有一个接入平台时，另一个IP地址可配置127.0.0.1 ，修改后需重启accomm才能生效接入平台配置接入平台跟隧道相关的命令有以下几条：system mode模式：Config模式语法：[no] system mode fat-ap | fit-ap描述：必选命令。