AC无线配置逻辑--

(一)分公司无线控制器AC与 RT-2互连,无线业务网关位于RT-2上，
配置VLAN100为AP管理VLAN,VLAN200为业务VLAN;
AC提供无线管理与业务的DHCP服务，动态分配IP地址和网关;分别使用第一个可用地址作为AC管理地址和无线业务管理地址;AP二层自动注册，AP采用MAC地址认证。
网络基础配置#

AC和AP
AC无线控制器
AP无线发射器--发射wifi信号

控制器就是用来控制AP

AC和AP需要连接上,进行控制
AP需要有—个IP地址，和AC通信，互通

默认情况下AP他是没有ip地址地址，需要配置一个ip地址，自动获取ip地址
DHCP自动下发ip地址，

给AP手工配置ip地址，如果只有1到2台AP的话，那么没什么问题，如果太多了，在AP多的场景下，—般来说都是用DHCP给AP分配ip地址
AP获取到地址，可以和AC通信,

AC做—些配置，SSID: wifi名字，做业务vlan,用户所在的vlan,wifi密码下发给AP，配置传到AP上，AP应用这些配置。

AP获取到的地址，所在的VLAN也叫管理VLAN。

AC来控制AP过程上线
AP上线--背AC控制了就是上线了比襄时候AP没上线，AC控制不到AP
上线方式很多种--专业点说注册

AP找AC去注册注册方式
二层注册---AC和AP在一个网段叫做二层注册
使用的二层注册----AC只需要指定AP所在的VLAN，就可以自动发现AP-指定vlan100，告诉AC去哪里找AP，上vlan100

三层注册---AC和AP不在一个网段叫做三层注册
比较复杂。。。
由于你AP和AC不在一个网段，那么AC就无法自动发现AP，无法注册--
两种方法：
1.AP配置AC的地址，手工去找AC注册--如果你AP太多的话，你配置累死，一个AP挨个配置AC的地址的话，太累了

2.AP可以自动获取ip地址方式--DHCP获取的，DHCP种填充选项open43，在DHCP数据包种存放AC的地址AP既可以获取到ip，是不是也可以获取到AC地址

问题又来了
既然二层注册和三层注册，AP上线的方式，怎么证明的AP合不合法
网络中又100个AP，他们都去找AC上线，比方说，我黑客在网络中接入了一个非法的AP，AP 101
如果没有任何认证机制的话，AC就会把101个AP全部管理，危险，有一个AP是非法的，控制非法AP横向渗透到AC，最终取得AC的权限.取得网络的控制权。

需要有认证机制-
1.MAC认证--最简单的一种，在AC上将AP的mac地址加入到我的数据库，只有在我数据库当中的AP才能被我管理
2.SN码认证--用的比较少--在网络设备，手机，电脑，SN码序列号--唯一--在AC配置SN，合法的SN的AP才能背管理
3.密码认证
4.不认证--顺便上线

======================

======================

配置逻辑
1.在AC上开启无线功能
2.在AC上配置管理ip地址-和AP互通的地址--给AP下发配置的一个地址，用vlan100的地址3.发现AP-二层发现，指定AP所在的vlan
4.配置network网络----包含一些信息，SSID，密码，业务vlan5.配置profile

什么是profile
中文名叫做配置--profile就是存放这AC将要给AP下发的配置例如说SSID，密码，业务vlan，频段
profile两个频段
2.4G
5.G

每个频段里面有16个VAP
VAP?虚拟AP，每个虚拟AP都可以发送一个wifi信号，16个wifi信号

====
ap profile 1 ,;进入profie1也就是配置模板1
hwtype any ; ap的硬件类型为59，不同型号的ap可能不—样radio 1 ;进入radio1 2.4 g
radio 2 #进入5.8g
vap 0 #进入VAP0
enable #启用VAP，不启用也可以，因为VAPO默认启用
network 1
security mode wpa-personal ;设置加密模式为wpa个人版ssid 2022 ;设置ssid也就是wifi的名字
vlan 200 ;设置vlan 200为业务vlan
wpa key DCN20212021 ;设置wifi密码

VAP0发射的WIfi信号，wifi的名字，密码谁给的?
Network1给的，Network1种存放VAP0的配置，Network1种存放SSID，密码，配置Network1就相当于配置VAP