网络中的每个AP都是自主的,Cisco将此称为自主模式AP。


即使两个无线客户端之间的数据流也不能直接传输,而必须首先通过AP,然后前往另一个客户端。


自主AP的功能:

1、实时进程:RF发送/接收、MAC管理、加密         ##这些功能在离客户端最近的AP硬件中完成

2、管理进程:RF管理、关联和漫游管理、客户端认证、安全管理、QoS   ##在一个远离AP的中央平台中完成


LAP只执行第一和第二层的功能,帧在这两层进入或离开RF域,LAP完全依赖于WLC来执行其他WLAN功能,如用户认证、安全策略管理以及RF信道和输出功率的选择。这种分工被称为Split-MAC架构。


LAP如何绑定到WLC成为正常运行的完整接入点呢?必须在这两种设备之间建立一条隧道,用于传输与IEEE 802.11相关的消息和客户端数据。

LAP和WLC使用无线接入点控制和配置协议(CAPWAP协议)作为隧道化协议。它由两个隧道组成,分别为控制信息隧道和数据隧道。

CAPWAP控制信息隧道:加密传输

CAPWAP数据隧道:不加密传输

CAPWAP在WLC端使用UDP目标端口5246和5247。


LAC和WLC必须使用数字证书彼此认证对方,出厂时每台设备都预安装了一个X.509证书。


很多平台都支持Cisco WLC,主要差别在于管理LAP的数量。

2504最多可处理5-50个AP

4402最多可处理50个LAP

4404最多可处理100个LAP

5508最多500个AP

8500最多支持6000个AP


LAP进入活动状态之前必须完成的启动过程:

1、LAP从DHCP服务器(添加option 43)获取1个IP地址

2、LAP获悉所有可用WLC的IP地址

3、LAP向WLC列表里的第一个WLC发送加入请求消息,如果该WLC没应答,将尝试下一个WLC;当WLC接受LAP时,将向LAP发回加入响应消息,这将把两台设备绑定起来

4、WLC将LAP的代码映像版本同本地存储的代码映像版本进行比较,如果不同,LAP将下载WLC储存的代码映像并重新启动

5、WLC和LAP建立一条加密的CAPWAP隧道和一条不加密的CAPWAP隧道


所有分组认证和加密功能都是由LAP硬件完成的,而没有将其移动到WLC中。


在网络中使用自主AP时,必须将为无线客户端提供服务的VLAN进行扩展,使其覆盖AP,而使用轻量级AP时,不需要这样做。


加入VLAN的数据流实际上是通过CAPWAP隧道传输的,因此从逻辑上说,它们覆盖了用户所在的LAP。


LAP指负责完成实时无线功能,因此它将客户端的关联请求传递给WLC,也就是说,无线客户端直接同WLC协商关联。


当使用自主AP时,漫游只发生在第二层。

通过WLC的帮助,轻量级AP可以支持第二层和第三层漫游。


将WLC组合成逻辑移动组,客户端可漫游到任何LAP(及其关联的WLC),只要后者位于同一个移动组中,一个移动组最多可包含24个不同类型和平台的WLC,移动组包含的LAP数量随WLC管理的LAP数量而异,而后者又随平台而异。


冗余的WLC必须被配置在同一个移动组内。