思科的一些新的室外AP，在購買回來時，有時候會出現無法加入WLC的情況，現象基本是無法加入，或感覺加入了，立馬又掉了。

例如：

AIR-AP1562E-H-K9

AIR-AP1572EAC-H-K9

一、具體的原因分析如下：

1、客戶需要購買的AP是Lightweight AP，但是收到AP後，AP的模式不正確，導致加入WLC存在問題。

2、這類AP出廠可能的模式為bridge或mesh等模式。

通過在CLI debug可能出現的現象：

[........]Failed to decode discovery response.
[........]

......

或者在GUI介面觀察：

二、解釋：

在LAP註冊過程中，LAP和WLC使用X.509證書進行相互身份驗證。

X.509證書在出廠AP和WLC上都被刻錄到受保護的其快閃記憶體中。在AP上，出廠安裝的證書稱為製造安裝證書（manufacturing installed certificates，MIC）。 2005年7月18日之後生產的所有思科AP都有MIC。

2005年7月18日之前製造的Cisco Aironet 1200,1130和1240 AP已從自主IOS升級到輕量接入點協議（LWAPP）IOS，在升級過程中生成自簽名證書（self-signed certificate，SSC）。有關如何使用SSC管理AP的資訊，請參閱將自主Cisco Aironet接入點升級到輕量級模式。
https://www.cisco.com/en/US/docs/wireless/access_point/conversion/lwapp/upgrade/guide/lwapnote.html

除了在註冊過程中發生的這種相互認證之外，WLC還可以基於LAP的MAC地址限制向其註冊的LAP。

通過使用LAP的MAC地址以不用太在意密碼的強壯性，WLC在通過RADIUS伺服器授權AP之前會使用MIC來驗證AP。
MIC的使用提供了強大的身份驗證。

LAP授權可以通過兩種方式執行：

1、使用WLC上的內部授權列表

2、在AAA伺服器上使用MAC地址資料庫

LAP的行為因使用的證書而異：

具有SSC的LAP：WLC將僅使用內部授權列表，並且不會將請求轉發到RADIUS伺服器以用於這些LAP。

具有MIC的LAP：可以使用WLC上配置的內部授權列表，也可以使用RADIUS伺服器授權LAP

三、解決方法

一般的，我們可以在WLC上去新增這些AP的MAC地址，以使得LAP可以加入WLC。通過GUI來新增AP的MAC地址：Security>AAA>AP Policies

AP加入後，可以修改其模式，例如，修改為Local。

或者：

我們在使用的AP的時候，直接console到AP的CLI介面，然後輸入capwap ap mode local

將它直接修改為local模式，註冊到對應WLC應該也是沒有問題的。

注意：首先得保證WLC的軟體版本是正常該型號的LAP的！

關於Lightweight Access Point (LAP) Authorization 更詳細的，可以參考思科文件：

https://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/98848-lap-auth-uwn-config.html#conf