Cisco收集了無線局域網不可或缺的一整套功能，將其稱為Cisco統一無線網絡，這種新架構提供了下述功能，它們被集中在一起，以便能夠影響位于網絡中的所有無線局域網設備：

WLAN安全；

WLAN部署；

WLAN管理；

WLAN控制。

為集中WLAN的這些功能，將自主AP的很多功能移到了一個中央位置，圖3-2的上半部分列出了自主AP執行的大部分功能，它們分成兩組，位于左邊的實時進程和位于右邊的管理進程。

圖3-2  自主AP和輕量級AP的比較

實時進程包括發送和接收IEEE 802.11幀、AP信標和探針消息，數據加密也是以實時方式對每個分組進行的，AP必須在介質訪問（MAC）層同無線客戶端交互，這些功能必須在離客戶端最近的AP硬件中完成。

管理功能并非是RF信道發送和接收幀的有機組成部分，而應集中進行管理，因此，這些功能被移到一個遠離AP的中央平臺中。

在Cisco統一無線網絡中，輕量級接入點（LAP）只執行實時的IEEE 802.11操作，之所以將其稱為LAP，是因為它除去了代碼映像和本地智能，相對于傳統自主AP來說是輕量級的。

管理功能都由無線局域網控制器（WLC）執行，WLC由眾多LAP所共享，如圖3-3的下半部分所示。注意，LAP只執行第1和2層的功能，幀在這兩層進入或離開RF域，LAP完全依賴于WLC來執行其他WLAN功能，如用戶認證、安全策略管理以及RF信道和輸出功率的選擇。

這種分工被稱為split-MAC架構，在這種架構中，正常的MAC操作被分為兩個不同的地方，網絡中的每個LAP都如此，它們必須將自己綁定到一個WLC才能啟動并支持無線客戶端，WLC成為中央樞紐，支持分散在交換型網絡中的大量LAP。

LAP如何綁定到WLC以成為正常運行的完整接入點呢？必須在這兩種設備之間建立一條隧道，用于傳輸與IEEE 802.11相關的消息和客戶端數據，LAP和WLC可以位于同一個VLAN或IP子網中，但并非必須如此；相反，它們可以位于兩個完全不同的IP子網中，而這兩個IP于網可以位于不同的地方。之所以可行，是因為隧道將LAP和WLC之間傳輸的數據封裝到IP分組中，從而可以跨越園區網交換或路由這些數據，圖3-3說明了這種概念。

LAP和WLC使用無線接入點控制和配置協議（CAPWAP協議，Control And Provisioning of Wireless Access Points，早期版本叫輕量級接入點協議，LWAPP）作為隧道化協議。實際上，Control And Provisioning of Wireless Access Points由兩個隧道組成，分別為控制信息隧道和數據隧道，如圖3-4所示。

圖3-3  使用CAPWAP連接LAP和WLC

CAPWAP控制消息隧道用于配置LAP和管理其運行方式，對控制消息進行認證和加密，確保WLC能夠可靠控制LAP，控制信息隧道主要實現如下的功能：

AP通過控制消息隧道發現WLC；

在AP和WLC之間建立相互信任；

AP使用控制消息隧道下載固件；

AP使用控制消息隧道下載配置文件；

WLC收集AP的各項統計數據；

移動和漫游相關的任務；

AP發送給WLC的通知及警告信息；

其他一些任務。

CAPWAP的數據隧道用來封裝前往和來自與LAP相關聯的無線客戶端的數據，但沒有進行加密。

CAPWAP在WLC端使用UDP目標端口5246和5247（原先的LWAPP在WLC端使用UDP目標端口12222和12223）。

LAP和WLC必須使用數字證書彼此認證對方，出廠時每臺設備都預安裝了一個X.509證書，通過在幕后使用數字證書，可以在每臺設備成為Cisco統一無線網絡的一部分前正確地對其進行認證，這有助于確保惡意LAP和WLC（冒充的LAP或WLC設備）無法進入網絡。

轉載連接：http://book.51cto.com/art/201103/248442.htm