AC FIT AP架構的網路中存在兩種報文，一類是AC管理控制AP的報文，稱為管理報文（也叫控制報文），另一類是STA的使用者資料報文，稱為業務報文。

如上圖所示，圖中的虛線表示報文的轉發路徑。管理報文只在AC和AP之間的網路中傳輸，需要經過CAPWAP隧道轉發。業務報文在STA和STA要訪問的網路之間傳輸。業務報文存在兩種轉發方式，直接轉發（本地轉發）和隧道轉發（集中轉發），隧道轉發方式下業務報文需要經過CAPWAP隧道轉發，直接轉發方式下不經過CAPWAP隧道轉發。

本期分享的內容是直接轉發和隧道轉發兩種方式下業務報文的轉發處理流程，為便於理解，我們先來了解管理報文的轉發處理流程。

管理報文的轉發處理流程

結合下面的圖來分析管理報文的轉發處理流程。組網較為簡單，旨在便於描述原理。

從上往下看圖，右側報文結構簡圖從右往左看。圖上的Payload看做是AC想要傳送給AP的實際有效資訊，即管理報文的實際內容。（直接轉發和隧道轉發是針對業務報文而言的，管理報文和直接轉發、隧道轉發沒有半毛錢關係，管理報文只有一種轉發處理流程。）

一、封裝

AC在傳送Payload前，需要先把Payload封裝在CAPWAP隧道中。所謂封裝在CAPWAP隧道中，實際就是在Payload報文外面增加一節CAPWAP欄位，這樣“看起來”只要是有CAPWAP欄位的報文就認為是封裝在了CAPWAP隧道中。

增加CAPWAP欄位後，再增加UDP/IP

欄位和802.3欄位，這裡的802.3欄位表示這個報文將要通過有線的乙太網進行傳輸。

最後，AC還要給這個報文加上管理VLAN。所謂管理VLAN，是指報文在CAPWAP封裝後新增的外層VLAN。在AC與AP間的網路中，管理報文會一直帶著管理VLAN進行轉發處理。

二、傳輸

結合實際的配置來看，AC到AP間的網路都需要允許攜帶管理VLAN的報文通過，以保證管理報文能夠在AC和AP間正常傳輸。

1、如果AC與AP間的網路是三層組網，管理VLAN會在報文轉發過程中隨之改變，圖中的VLAN m’≠VLAN m。（這裡是以在交換機Switch上進行三層轉發為例，為便於記憶，m取management的第一個字母。）

2

、如果AC與AP間的網路是二層組網，管理VLAN會保持不變，則圖中的VLAN m’=VLAN m。

三、解除封裝

當報文從上游到下游轉發到直連AP的介面，即圖中Switch連線AP的介面時，需要去掉報文外層的管理VLAN，再將剩下的報文內容傳送給AP。預設情況下，AP只能識別處理不帶有管理VLAN的管理報文並解除CAPWAP封裝，識別出管理報文的具體內容Payload。

結合實際的配置，直連AP的裝置介面通常都要求配置PVID為管理VLAN，目的就是在此介面傳送報文給AP的時候，去掉報文外層的管理VLAN。

當然，如果介面上沒有配置PVID，或者說AP接收到的報文就是帶有管理VLAN，也是有應對方法的，這時候需要針對AP配置management-vlan為管理VLAN m，這樣AP在接收到帶有管理VLAN的報文後，還是能夠識別並去掉管理VLAN，解除CAPWAP封裝，解析出Payload。

以上分析的是AC傳送管理報文給AP的過程，AP傳送管理報文給AC的過程，只要把上面的流程倒過來理解就可以了。AP傳送經過CAPWAP封裝後的報文到直連AP的介面時，Switch會給報文加上管理VLAN，再轉發給AC。到達AC後，由AC去掉管理VLAN，解封CAPWAP封裝，獲取報文資訊內容。

業務報文的直接轉發處理流程

結合下圖來分析直接轉發方式下業務報文的轉發處理流程。

同樣上面往下，右邊往左看圖。圖上的Payload是STA訪問的網路裝置傳送給STA的實際有效資訊，即業務報文的實際內容。圖中有兩個AC，如果AC處在中轉站處，表示是AC直連式組網；如果AC處在醬油黨處，表示是AC旁掛式組網；不是指有兩個AC同時存在於網路中。無論AC處於哪裡，業務報文都是按照同樣的轉發路徑，從Internet一直轉發到STA。

一、封裝

傳送給STA的Payload在進入網路的時候就會進行一次封裝，這個封裝不是指CAPWAP封裝，而是在Payload報文外面增加一段802.3欄位和新增業務VLAN（在圖中未體現UDP/IP欄位，可以理解為已經包含在了Payload中）。業務VLAN即是指業務報文外層的VLAN。

直接轉發方式下，業務報文不會進行CAPWAP封裝。

二、傳輸

結合實際的配置來看，直接轉發方式下，從上層網路Internet到AP之間都是要允許攜帶業務VLAN的報文通過，以保證業務報文能夠在Internet和STA間正常傳輸。

1、AC直連組網場景下，AC處在如圖中的中轉站處，在收到上層網路傳送來的Payload資訊後，會和其它的交換機一樣只進行報文轉發，不進行CAPWAP封裝，圖中的中轉站AC收到的報文和交換機收到的報文格式是一致的，且AC的任務也是和交換機一樣轉發業務報文給下一個網路裝置，

2、AC旁掛組網場景下，AC處在如圖中的醬油黨處，是不會收到業務報文的，在這種場景下，業務報文根本不需要經過AC，直接經過交換機和AP就轉發給STA了。

同樣業務VLAN在轉發過程中也可能存在VLAN變化的情況：

1、如果上層網路Internet到AP之間是三層組網，業務VLAN會在報文轉發過程中隨之改變，圖中的VLAN s’≠VLAN s。（這裡是以在交換機Switch上進行三層轉發為例，為便於記憶，s取service的第一個字母。）

2、如果上層網路Internet到AP之間是二層組網，業務VLAN會保持不變，則圖中的VLAN s’=VLAN s。

結合實際的配置來看，直接轉發方式下，從上層網路到AP之間都是要允許攜帶業務VLAN的報文通過。

三、去除業務VLAN

當業務報文從上游到下游轉發到AP時，AP也要對接收到的報文進行兩項處理，先是將外層的業務VLAN去掉，然後將原有的802.3欄位改為802.11欄位，802.11欄位表示這個報文將採用無線傳輸的方式轉發出去。處理完成後，AP將業務報文無線傳輸給STA。

四、解析業務報文

STA接收到業務報文後，去除掉外層的802.11欄位，剩餘的Payload欄位被STA解析處理後就可以識別出具體內容了。由於STA無法識別帶有VLAN的報文，所以AP在傳送報文給STA前，必須要先去掉業務報文中的VLAN。

以上分析的是上層網路傳送業務報文給STA的過程，STA傳送報文到上層網路的過程，也是把上面的流程倒過來理解就可以了。STA要在報文外層加上802.11欄位，將報文以無線傳輸的方式傳送給AP，AP將收到的報文先轉換為802.3格式，再新增業務VLAN，通過上層的各級網路裝置，將報文轉發傳輸到目的地。

業務報文的隧道轉發處理流程

同樣看下圖來分析隧道轉發方式下業務報文的轉發處理流程。

圖上的Payload是STA訪問的網路裝置傳送給STA的實際有效資訊，即業務報文的實際內容，以AC直連式組網為例說明。

一、封裝

和直接轉發一樣，發給STA的Payload在進入網路的時候就會進行封裝，不是CAPWAP封裝，而是在Payload報文外面增加802.3欄位和新增業務VLAN（在圖中未體現UDP/IP欄位，可以理解為已經包含在了Payload中）。完成後業務報文將徑直髮給AC。隧道轉發方式下，所有的業務報文都必須轉發到AC。

AC接收到業務報文後，會進行CAPWAP封裝，將收到的整個業務報文看做一個新的Payload，在外層新增CAPWAP欄位，增加UDP/IP欄位和802.3欄位。最後再為業務報文加上管理VLAN。可以看出AC上處理業務報文的過程和處理管理報文的過程是相同的。

在AC與AP間的網路中，業務報文會一直帶著管理VLAN進行轉發處理。

二、傳輸

結合實際的配置來看，隧道轉發方式下，從上層網路Internet到AC之間的網路裝置上要允許攜帶業務VLAN的報文通過，在AC和AP間的網路裝置上要允許攜帶管理VLAN的報文通過。以保證業務報文能夠在Internet和STA間正常傳輸。

因為AC和AP間的網路上業務報文是CAPWAP封裝的物件，業務VLAN可以看做是新的Payload的一部分，不會被網路裝置感知到，所以這段網路上只要求允許攜帶管理VLAN的報文通過即可。只要管理VLAN能夠通過，業務VLAN同樣也就打包在管理VLAN中通過了。

同樣管理VLAN在轉發過程中也可能存在VLAN變化的情況：

1、如果AC與AP間的網路是三層組網，管理VLAN會在報文轉發過程中隨之改變，圖中的VLAN m’≠VLAN m。

2、如果AC與AP間的網路是二層組網，管理VLAN會保持不變，則圖中的VLAN m’=VLAN m。

三、去除業務VLAN

當報文從上游到下游轉發到直連AP的介面，即圖中Switch連線AP的介面時，需要去掉報文外層的管理VLAN，然後把剩下的報文內容傳送給AP。如果不去掉，則需要在AP上配置management-vlan，這塊原理和管理VLAN的處理流程一致。不同點在於下面AP的處理方式。

AP除了需要解除CAPWAP封裝外，還需要把業務VLAN去掉，再將VLAN後的802.3欄位替換為802.11報文，因為業務報文是傳送給STA的，需要把不帶VLAN的業務報文通過無線方式傳送到STA處，這樣STA才能最終接收到能夠識別的資料。

四、解析業務報文

最終STA解析業務報文內容的流程和直接轉發方式下的一樣，STA接收到業務報文後，去除掉外層的802.11欄位，剩餘的Payload欄位被STA解析處理即可。同樣由於STA無法識別帶有VLAN的報文，所以AP在傳送報文給STA

相關推薦