轻量级AP如何由WLC管理？

轻量级AP模式（由WLC管理）是最常见部署方式，AP本身功能简化，仅负责无线信号收发，所有配置、管理、策略控制和安全功能均由集中式的无线局域网控制器（WLC）统一处理，实现AP零配置部署和网络的集中、简化运维。

思科无线接入点（AP）的配置主要依赖于其工作模式，最常见的是在无线局域网控制器（WLC）管理下的轻量级AP（LAP）模式，配置命令主要在WLC上执行，而非AP本身，另一种是传统的自主式AP（Autonomous AP）模式，配置直接在AP的IOS命令行进行。

在此模式下,AP通过CAPWAP协议从WLC获取配置，管理员无需直接登录AP输入命令，所有关键配置均在WLC上完成，AP自动同步，以下是WLC（以Cisco Catalyst 9800系列WLC的CLI为例）上的核心配置步骤和命令：

1. 发现并加入AP到WLC：

   • AP需要能够到达WLC的管理IP地址（通常通过DHCP Option 43或DNS cisco-capwap-controller记录）。
   • 在WLC上查看发现的AP：

     show ap summary

   • 如果AP处于Discovery或Join状态但未加入，检查网络连通性、CAPWAP端口(UDP 5246, 5247)是否开放、WLC证书信任情况。
   • 授权AP加入（如果未自动完成）：

     ap name <AP_Name> dot11 {24ghz | 5ghz} channel add <channel>  # 可选，预分配信道
     ap name <AP_Name> location <Location_String>  # 设置AP位置标签
     ap name <AP_Name> led flash duration <seconds>  # 可选，让AP LED闪烁以便物理定位

2. 配置无线网络（WLAN）：

   • 创建WLAN并定义基本参数：

     configure terminal
     wlan <Profile_Name> <WLAN_ID> <SSID>
     security wpa akm dot1x  # 配置WPA2/WPA3 Enterprise (802.1X)
     security wpa akm psk set-key ascii <Pre-Shared_Key>  # 配置WPA2/WPA3 Personal (PSK)
     security wpa cipher aes  # 强制AES加密
     security ft {adaptive | dot1x | psk}  # 可选，配置802.11r快速漫游
     no shutdown  # 启用该WLAN
     exit

   • 关键安全配置：
     • WPA3: security wpa akm dot1x sae (Enterprise), security wpa akm psk sae (Personal SAE), security wpa akm psk sae transition (WPA3-Personal Transition Mode)。
     • PMF (管理帧保护)： security wpa pmf mandatory (强制) 或 security wpa pmf optional (可选)，WPA3要求强制PMF。
     • 增强开放 (OWE)： security wpa akm owe。

3. 将WLAN关联到AP组/接口组：

   • AP通过其所属的AP组或接口组继承WLAN配置和VLAN映射。

     configure terminal
     ap group default-group  # 进入默认AP组（或创建自定义组）
     wlan <Profile_Name> vlan <VLAN_ID>  # 将WLAN映射到特定VLAN
     exit

   • 确保AP已分配到正确的组：

     ap name <AP_Name> ap-group <Group_Name>

4. 射频（Radio）优化与管理：

   • 全局射频配置：

     configure terminal
     wireless profile rf <RF_Profile_Name>  # 创建射频配置文件
     channel width {20 | 40 | 80 | 160}  # 设置信道宽度
     channel dca <min> <max>  # 设置动态信道分配范围
     txpower local <min> <max>  # 设置动态功率调整范围 (dBm)
     exit

   • 将射频配置文件应用到AP/AP组：

     ap group default-group  # 进入AP组
     rf-profile <RF_Profile_Name> band 24ghz  # 应用到2.4GHz射频
     rf-profile <RF_Profile_Name> band 5ghz   # 应用到5GHz射频
     exit

   • 查看射频状态：

     show ap auto-rf <AP_Name>  # 查看信道/功率调整状态
     show ap dot11 {24ghz | 5ghz} summary <AP_Name>  # 查看射频基本信息

5. 高级功能配置示例：

   • 客户端负载均衡：

     configure terminal
     wireless load-balancing window <client_count>  # 设置触发负载均衡的客户端数阈值
     wireless load-balancing deny <client_count>  # 设置拒绝新客户端关联的阈值

   • 高密度环境优化 (如禁用低速率)：

     configure terminal
     wireless profile dot11 {24ghz | 5ghz} <Dot11_Profile_Name>
     rate disabled 1.0 2.0 5.5 6.0 9.0 11.0  # 禁用低速率（根据实际需求选择）
     exit
     ap group default-group
     dot11 {24ghz | 5ghz} profile <Dot11_Profile_Name>
     exit

   • 访客网络隔离：

     configure terminal
     wlan <Guest_WLAN_Profile_Name>
     client vlan <Guest_VLAN>
     advanced flexconnect local-switching  # 如果使用FlexConnect本地交换
     security web-auth  # 配置Web认证（如Splash Page）
     security web-auth parameter-map <Parameter_Map_Name>  # 关联认证参数
     security web-auth authentication-list <AAA_List>  # 关联AAA认证方法
     no security wpa  # 通常访客网络不加密或仅用WebAuth
     exit

自主式AP模式（Autonomous AP – 直接在AP CLI配置）

此模式适用于小型部署或无WLC环境,配置直接在AP的IOS命令行界面进行。

1. 基本配置（全局模式）：

   configure terminal
   hostname <AP_Hostname>  # 设置AP主机名
   interface Dot11Radio0  # 进入2.4GHz射频接口 (通常Radio0)
   description 2.4GHz Radio
   no shutdown  # 启用射频
   exit
   interface Dot11Radio1  # 进入5GHz射频接口 (通常Radio1)
   description 5GHz Radio
   no shutdown
   exit
   interface BVI1  # 桥接虚拟接口，关联无线和有线
   ip address <IP_Address> <Subnet_Mask>  # 配置管理IP
   exit
   ip default-gateway <Gateway_IP>  # 配置默认网关

2. 配置SSID和无线安全：

   configure terminal
   dot11 ssid <SSID_Name>  # 创建SSID配置块
   vlan <VLAN_ID>  # 关联VLAN
   authentication open  # 开放认证（不安全，仅示例）
   authentication key-management wpa version 2  # 启用WPA2
   wpa-psk ascii <Pre-Shared_Key>  # 配置PSK
   mbssid guest-mode  # 可选，广播SSID
   exit
   ! 将SSID应用到射频接口
   interface Dot11Radio0
   ssid <SSID_Name>  # 将SSID关联到2.4GHz射频
   exit
   interface Dot11Radio1
   ssid <SSID_Name>  # 将SSID关联到5GHz射频
   exit

3. 射频参数调整：

   configure terminal
   interface Dot11Radio0
   channel <channel_number>  # 手动指定2.4GHz信道 (e.g., 1, 6, 11)
   power local <power_level>  # 手动指定发射功率 (1=min, ... max)
   ! 或者启用动态调整 (RRM Lite)
   power client <min_power> <max_power>  # 客户端功率范围
   station-role root  # 确保AP工作在根模式
   exit
   ! 类似配置Dot11Radio1 (5GHz)

4. 安全增强配置：

   configure terminal
   dot11 ssid <SSID_Name>
   authentication key-management wpa version 2  # 确保WPA2
   wpa aes  # 强制AES加密
   ! 禁用低速率 (提高性能/安全性)
   no dot11 rate 1.0 basic
   no dot11 rate 2.0 basic
   no dot11 rate 5.5 basic
   no dot11 rate 11.0 basic
   ! 可选：启用MAC地址过滤 (易管理性差)
   access-list <ACL_Number> permit <MAC_Address>  # 创建MAC ACL
   exit
   interface Dot11Radio0
   ssid <SSID_Name>
   access-group <ACL_Number>  # 应用MAC ACL到该SSID的Radio
   exit

通用维护与监控命令（两种模式均适用）

• 查看AP状态/邻居：

  show ap associations  # (Autonomous) 查看关联客户端
  show controllers dot11Radio0  # (Autonomous) 查看射频详细状态
  show capwap client rcb  # (LAP on WLC) 在WLC上查看AP的CAPWAP状态
  show wireless client mac-address <client_mac> detail  # (WLC) 查看特定客户端详情

• 重启AP：

  reload  # (Autonomous AP CLI) 重启自主AP
  ap name <AP_Name> reset  # (WLC CLI) 重启轻量级AP

• 保存配置：

  write memory  # (Autonomous AP CLI) 保存配置到NVRAM
  save config  # (WLC CLI) 保存WLC配置

重要安全与最佳实践建议：

1. 强密码策略： 对所有管理账户（WLC/AP CLI）、WPA2/WPA3 PSK使用长且复杂的密码（>12字符，混合大小写字母、数字、符号），避免默认密码。
2. 启用管理安全： 在WLC/AP上启用SSH (禁用Telnet)，配置ACL限制管理访问源IP，使用TACACS+/RADIUS进行管理员认证。
3. 优先使用WPA3： 尽可能部署WPA3-SAE (Personal) 或 WPA3-Enterprise (Suite-B)，如果必须使用WPA2，确保启用AES加密并强制PMF (security wpa pmf mandatory on WLC)。
4. 禁用WEP和TKIP： 这些加密方式已被证明不安全，务必禁用。
5. 定期更新固件： 及时为WLC和AP应用思科发布的最新稳定版软件，修复安全漏洞。
6. 合理规划射频： 使用WLC的RRM (RF优化) 功能或自主AP的RRM Lite进行信道和功率的自动优化，避免同频干扰，禁用非必要的低数据速率。
7. 网络分段： 使用VLAN将无线用户流量（尤其是访客流量）与核心网络和管理流量隔离。
8. 配置日志与监控： 将WLC/AP的日志发送到中央Syslog服务器或安全信息与事件管理（SIEM）系统进行集中监控和分析。

选择哪种模式？

• 轻量级AP + WLC： 适用于中大型企业部署，提供集中管理、无缝漫游、高级功能（如RRM、CleanAir、定位服务）、更强的可扩展性和安全性，是思科主推的架构。
• 自主式AP： 适用于非常小型的部署（如单个AP的SOHO环境）、临时网络或特定无法部署WLC的场景，管理分散，功能相对有限。

思科AP的配置核心在于理解其工作模式,对于绝大多数企业环境，通过WLC配置轻量级AP是标准且推荐的做法，管理员在WLC CLI上执行配置命令，自主式AP配置则直接在AP CLI进行，适用于极简场景，无论哪种模式，严格遵循安全最佳实践（尤其是强加密、强认证、固件更新）是保障无线网络安全可靠运行的重中之重，配置前务必参考思科官方文档对应您设备型号和软件版本的配置指南。

引用说明：

• 本文核心配置命令和概念参考自思科官方文档中心 (Cisco Documentation > Wireless)。
• 安全最佳实践参考了思科无线安全白皮书、Wi-Fi联盟 (Wi-Fi Alliance) 关于WPA3的规范以及行业通用的网络安全框架 (如NIST Cybersecurity Framework)。
• 射频优化建议基于思科无线局域网设计最佳实践指南 (Cisco WLAN Design Best Practices) 和实际工程经验。
• 具体命令语法和可用性请务必查阅对应您使用的思科WLC (如Catalyst 9800-CL, 3504, 5520, AireOS 8.x) 或自主AP (如IOS 15.x) 型号和软件版本的官方配置手册。