5 部署注意事项

5.1AP虚拟化未支持的业务

AP虚拟化目前暂不支持如下功能：IPv6、热备、分级AC、SmartAP、RIPT、组播、WIS、WDS桥接。即不管是在主控AC还是在分控AC上都不能对虚拟化的AP配置这些功能。如果配置这些功能，将会出现以下状况：

热备环境或者分级AC（AP所在的ap-group加入到热备的context中，并且wlan hot-backup enable）：

1）如果AP已经是AP虚拟化形式的时候，主控AC上将AP加入到热备环境中，AP上所有CAPWAP隧道断开，重新和主控AC建立隧道连接后，AP虚拟化配置不下发给AP，热备生效。配置AP离开热备环境（ap-group在热备的context中移除或者删除了热备配置或者no wlan hot-backup enable），AP虚拟化配置重新下发给AP，AP端所有CAPWAP隧道都断开，重新与主控AC和分控AC建立CAPWAP隧道。

2）如果AP已经是AP虚拟化形式的时候，分控AC上将该虚拟子AP加入到热备环境中，该虚拟子AP与当前分控AC连接的CAPWAP隧道断开，不能与此分控AC建立CAPWAP隧道；如果配置该虚拟子AP离开热备环境，AP又能和此分控AC建立CAPWAP连接。

3）如果AP没配置AP虚拟化的时候，AP是热备环境，AC上对AP配置AP虚拟化配置，此时AP虚拟化配置不下发给AP，热备继续生效；如果配置AP离开热备环境，那么下发AP虚拟化配置，又回到第1）点上。

SmartAP：

1）在配置了AP虚拟化配置后，将AP切换成SmartAP形式，需要将AP重启下。

2）支持AP虚拟化配置的AP，配置成了SmartAP形式，那么此AP建立CAPWAP隧道后，在AC端通过show ap-config summary virtual-ap-role查看到此AP是不支持AP虚拟化的，如果有离线配置了AP虚拟化配置，那么基于ap-config 单AP配置的AP虚拟化配置就会被删除。

WIDS：只支持用户隔离的二层隔离（只在集中转发下生效）。

WQoS：分控AC对应的虚拟子AP，只支持基于WLAN、基于用户的限速。

5.2分控AC未支持的业务

以下功能只有主控AC支持管理配置物理AP，分控AC不支持对虚拟化AP进行配置：频谱分析、RF Ping、RRM、智能天线、无线定位。

5.3配置类

5.3.1 AP虚拟化配置

AP虚拟化配置包括两部分：1）创建AP虚拟化模板；2）AP虚拟化模板配置应用在AP上，AP创建一个拥有此模板（模板中配置）相关能力的虚拟AP。

5.3.1.1AP虚拟化模板创建

AP虚拟化模板即为虚拟AP创建一种类型，可以下发给多个AP，那么这多个AP创建的虚拟AP都具有相同的能力值。

AP虚拟化模板包含的配置有：ac-ip（分控AC的IP地址）、wlan-capacity（虚拟AP支持的WLAN个数）、sta-capacity（虚拟AP支持的STA接入个数）、link-interface（虚拟AP与分控AC连接使用的上联口ID）。

virtual-ap创建AP虚拟化模板

创建AP虚拟化模板，然后可以对此模板配置各种能力。

ac-ip配置

配置分控AC的IPV4地址，指明AP虚拟化配置创建的虚拟AP连接的分控AC。

在AP虚拟化模板中这个是必须配置的，如果没有配置ac-ip，那么AP端创建的虚拟AP就无法与分控AC建立连接。

配置分控AC的IPV4地址，是分控AC的loopback 0地址或者分控AC有配置capwap ctrl-ip时，是分控AC的capwap ctrl-ip配置的地址。

wlan-capacity配置

配置虚拟AP支持的WLAN个数。主AP支持的WLAN个数不能配置，是AP端计算得出的，AP整机支持的WLAN个数减去其他逻辑AP支持的总数。

由于AP型号的不同，AP整机支持的WLAN个数可能也不同，所以AP虚拟化模板配置应用在AP上的时候，需要考虑AP整机支持的WLAN个数，以防AP上的某些虚拟AP配置支持的WLAN个数过大，导致其他某些逻辑AP支持的WLAN个数为0。WLAN支持个数为0的逻辑AP不能释放SSID，导致这些支持WLAN个数为0的逻辑AP无法对外提供服务。

AP上可以应用多个AP虚拟化模板配置，创建多个虚拟AP，这些虚拟AP配置的WLAN个数总和可能超过了AP整机支持的WLAN个数，并且主AP支持的WLAN个数是依赖这些虚拟AP支持的情况。针对AP端各逻辑AP最后支持WLAN个数生效的情况有如下几种，以整机支持16个WLAN为例：

1）某个虚拟AP配置的WLAN个数超过或者刚好是AP整机支持的个数。那么这个虚拟AP支持所有的WLAN个数，其他逻辑AP支持WLAN数为0。

2）某些虚拟AP配置的WLAN个数超过或者刚好是AP整机支持的个数。例如给AP下发3个AP虚拟化模板，如下图：

3）各虚拟AP配置的WLAN个数总和没超过AP整机支持的个数。例如给AP下发3个AP虚拟化模板，如下图：

4） AP虚拟化模板中wlan-capacity也可不配置，采用默认不配置的话，AP端减去有配置的虚拟AP支持WLAN的个数，将剩余的WLAN个数平均分配给主AP和没有配置的虚拟AP，如下图：

由于整机16个减去虚拟AP1（3个）和虚拟AP3（4个），剩余9个，两个逻辑AP平均下是4个（整数分配，不能有小数点），最剩余1个分配给主AP。

5）多个AP虚拟化模板不配置wlan-capacity的情况，如下图：

由于整机16个减去虚拟AP3（5个），剩余1个，三个逻辑AP平均下是3个（整数分配，不能有小数点），最剩余2个，先分配给主AP 1个，再将剩余的个数，从虚拟AP编号（虚拟AP编号参考5.3.1.2章节）从小到大依次分配，所以将剩余的1个分配给虚拟AP1。

也可以所有的AP虚拟化模板不配置wlan-capacity，分配和上述一样，整机支持的个数所有逻辑AP平分，分不尽的，再从主AP先配置，然后根据虚拟AP编号，从小到大依次分配。

各逻辑AP间WLAN能力不能抢占。比如，虚拟AP1支持4个WLAN，虚拟AP2支持3个WLAN，虚拟AP1对应的分控AC为这个AP配置了5个WLAN，而虚拟AP2对应的分控AC没有给此AP配置WLAN，那么虚拟AP1只能生效4个WLAN，不能因为虚拟AP2对应的分控AC没有下发WLAN或者此分控AC不存在而占用它的WLAN能力。

sta-capacity配置

配置虚拟AP支持的STA接入个数。主AP支持的个数不能配置，是AP端计算得出的，AP整机支持的个数减去其他逻辑AP支持的总数。

由于AP型号的不同，AP整机支持的STA个数可能也不同，所以AP虚拟化模板配置应用在AP上的时候，需要考虑AP整机支持的STA个数，以防AP上的某些虚拟AP配置支持的STA个数过大，导致其他某些逻辑AP支持的STA个数为0。STA支持个数为0的逻辑AP不允许用户接入。

主控AC配置的sta-capacity在AP端实际生效的个数，原理和wlan-capacity分配的算法一样，参考wlan-capacity配置，这里不再说明。

AP虚拟化模板中sta-capacity最大可配置128，但如果不配置，AP端平均分配的话，可能超过128，比如某个AP支持600个STA接入，只配置了一个AP虚拟化模板，那么此虚拟AP和主AP平分，就可以到达300。各逻辑AP间STA接入个数的能力不能抢占，和WLAN一样。

link-interface配置

配置虚拟AP与分控AC连接使用的上联口ID。

ID在AP设备的外壳上有标注，每个AP都至少有1个上联口。比如AP520(W2)只有1个上联口即ID是1，标注是LAN/POE；AP520-I 1口是LAN/POE， 2口是LAN2；AP740-I 1口是LAN1/POE，2口是LAN2/POE。

虚拟AP使用哪个上联口命令格式： link-interface [other 或者ID]；参数：other或者ID。

other参数说明：other意思是选择出与主控AC互联接口的另外一个接口。例如：如果主AP上联ID是1口，配置other的话，虚拟AP自动选择的ID是2口；如果主AP上联ID是2口，配置other的话，虚拟AP自动选择的ID是1口。

注意：这个other参数只能在2个上联口的AP上配置，如果AP只有一个上联口的时候配置成other，由于一个上联口的时候，主AP使用的ID是1口，虚拟AP会找2口连接，由于找不到2口，导致虚拟AP无法与分控AC建立CAPWAP隧道。

ID参数说明：上图为例

1）配置虚拟AP与分控AC1建立CAPWAP隧道。因为AP与分控AC1和主控AC是走一样的上联链路，那么这个ID就应该配置成主AP使用的上联口ID。AP虚拟化模板中不配置link-interface即采用默认值，默认情况下，虚拟AP就会使用主AP使用的上联口ID；也可以在主控AC上show ap-config virtual-ap detail ap的名字，查看主AP使用的ID，然后AP虚拟化模板中link-interface就可以配置成主AP使用的ID。

2）配置虚拟AP与分控AC2建立CAPWAP隧道。因为AP与分控AC2和主控AC是走不一样的上联链路，如果不配置成other参数的话，就需要在主控AC上show ap-config virtual-ap detail ap的名字，查看主AP使用的ID，然后AP虚拟化模板中link-interface就可以配置成和主AP使用的ID不一样的ID。比如show查看到主AP使用1口，这个就可以配置2；如果show查看的主AP使用2口，这个就可以配置成1。

如果配置的link-interface指向的是一个不存在的上联口，就会导致这个AP虚拟化模块创建的虚拟AP，报文发送不了无法建立CAPWAP隧道；

如果配置的link-interface指向的是一个存在但是错误的上联口（此上联口连接的链路上没有ac-ip对应的AC设备），就会导致这个AP虚拟化模块创建的虚拟AP，报文发送出去后，因为上联链路上没有ac-ip对应的分控AC，导致报文无法转发，而被链路丢弃，最终使得虚拟AP无法建立CAPWAP隧道。

5.3.1.2AP虚拟化模板应用

AP应用一个AP虚拟化模板配置，AP就创建一个虚拟AP，AP可以应用多个不同的AP虚拟化模板，即AP创建多个虚拟AP。

AP虚拟化模板的应用可以基于ap-config单AP模式或者AP的组模式或者所有AP模式下配置。优先级是单AP配置模式高于AP组配置模式高于所有AP模式。

只有应用了AP虚拟化模板的AP并且下发到AP端了，AP才会创建虚拟AP及自动生成一个主AP。主AP与主控AC连接，虚拟AP与AP虚拟化模板中配置的ac-ip对应的分控AC连接。

AP虚拟化模板应用，只需要配置一条命令即可，如下：

virtual-ap应用AP虚拟化模板

格式是virtual-ap xxx id x，xxx是AP虚拟化模板名，x是对应AP端创建的虚拟AP的编号。这个编号与wlan-capacity和sta-capacity分配有关，见5.3.1.1章节。

虚拟AP编号是可选配置，如果不配置，默认从1开始递增。但需要注意比如应用了2个AP虚拟化模板id是1和2，删除id是1的配置，接着再应用一个AP虚拟化模板，不指定id的情况下，会选择id 1。

相同的AP虚拟化模板，可以应用的不同的AP或者AP组中。

AP离线状态下，对此AP进行ap-config单AP配置，如果此AP是不支持AP虚拟化技术方案的，那么该AP上线后，会清除ap-config单AP下的AP虚拟化模板的应用配置。

5.3.1.3AP虚拟化EWEB配置

AP虚拟化模板和AP虚拟化模板的应用可以在EWEB上操作。如下AP虚拟化EWEB配置.docx

5.3.1.4AP虚拟化隧道特点

1）如果AP虚拟化模板已经应用到某个AP了，并且这个AP是在线状态，那么修订AP虚拟化模板的任何配置，有应用此AP虚拟化模板的AP都会断开重建所有CAPWAP隧道。

2）对在线AP，增加或删除应用的AP虚拟化模板配置，AP都会断开重建所有CAPWAP隧道。

3）当虚拟AP与分控AC的隧道断开后，虚拟AP会不断尝试连接分控AC，直到隧道建立成功。

4）主AP与主控AC的隧道断开了，并且虚拟AP与分控AC隧道一直连接状态，那么虚拟AP这个隧道连接可以保持一定的时间，默认是1天（用命令ap-idle-timeout可修改，范围是0到14，单位天，配置成0的话，也不是主AP断开，虚拟AP隧道马上断开，会保持2分钟，防止主AP隧道抖动），时间到了之后，所有隧道都会断开，如果主AP隧道还没建立，虚拟AP就不尝试连接分控AC，等到主AP隧道建立后，虚拟AP才开始尝试连接分控AC。

5）主AP与主控AC的隧道断开了，并且ap-idle-timeout配置的时间里，虚拟AP与分控AC隧道发生断开，那么此虚拟AP不与分控AC建立隧道，而是要等到主AP与主控AC隧道建立后，此虚拟AP才开始尝试连接分控AC。

5.3.2 SSID配置

由于各逻辑AP对应的管理AC配置的WLAN加密等配置都不一样，如果配置相同的SSID，那么，终端在不同WLAN的相同SSID间由于信号强弱而自动切换时，可能造成无法认证成功；不同逻辑AP的WLAN所在的管理AC不一样，相互间一般ping不通，终端WLAN的切换，造成想要的资源可能访问无法漫游等问题。

5.3.3 AP聚合口配置

AP配置了两个上联口为聚合口，那么AP就只能当做AP单上联使用，不能做为AP双上联使用。

如果要当做AP双上联使用，那么要求要先删除聚合口配置。

如果AP双上联使用的时候，要改成聚合口，那么要先删除AP虚拟化配置，再对AP配置聚合口。

5.3.4 AP静态地址配置

只能主控AC可以配置静态指定主AP使用的IP地址。

如果虚拟AP使用的上联口和主AP使用的是一样，那么这个虚拟AP也是使用这个IP地址。

如果虚拟AP使用的上联口和主AP使用的不一样，这个虚拟AP目前只能从DHCP获取地址。

配置或清除主AP的静态地址，AP端所有CAPWAP隧道会断开并重新建立。

5.3.5 ap-vlan配置

只能主控AC可以配置主AP使用的上联口的VLAN（如果有其他逻辑AP也是使用和主AP一样的上联口。

AP虚拟化采用双上联口连接（非聚合功能）的时候，与要求物理隔离的分控AC连接的上联口采用VLAN 2445，所以主控AC的ap-vlan不能配置2445，否则地址冲突。

配置或清除AP的ap-vlan配置，AP端所有CAPWAP隧道会断开并重新建立。

5.3.6 集群配置

只能主控AC配置，生效在主AP上。配置的集群IP地址，不能是分控AC的IP，否则AP发送集群单播类型的discovery报文发现分控AC，AP选择分控AC建立CAPWAP连接，而分控AC没有AP虚拟化的配置，导致AP无法实现AP虚拟化。

当集群发现有高优先级的AC存在时，AP断开主AP的CAPWAP隧道，选择高优先级的AC为主控AC建立CAPWAP隧道，但这个AC与原先的主控AC配置可能不一样，比如信道配置等，在AP上可能引起射频的DOWN/UP或者shutdown等操作，导致关联在此射频上的用户下线。

5.3.7 acip配置

只能主控AC配置，生效在主AP上。配置的acip地址，不能是分控AC的IP，否则AP发送acip单播类型的discovery报文发现分控AC，AP选择分控AC建立CAPWAP连接，而分控AC没有AP虚拟化的配置，导致AP无法实现AP虚拟化。

5.3.8 分控AC配置

分控AC对AP的管理有一定的限制，并不是所有的配置都能下发给AP，分控AC可以对AP管理是：下发WLAN配置及WLAN相关的其他配置（如安全配置）、配置用户和WLAN的限速、配置STA的接入个数、配置基于WLAN的调度、配置基于AP序列号的接入认证、配置负载均衡、配置CAPWAP相关信息（加密、分片、最大重传次数、MTU、保活间隔）、配置AP组。

分控AC上配置clock set不会同步给虚拟AP。

5.4 AP管理类

分控AC上show ap-config summary显示虚拟AP的radio状态为V，信道和功率显示成 - 。

分控AC上对离线AP进行配置，如果该配置在分控AC上不支持，AC上线后，配置不会下发到AP端生效，但AC端可能不会恢复成默认值，导致show显示的配置和主控AC及AP端生效的不一致，比如分控AC上show ap-config running显示虚拟AP的信道、功率等与AP端生效的不一致。

AP的公用资源（接口流量信息、射频的统计数据、CPU/内存信息等等）只上报给主控AC，分控AC上的数据是和AP端不一致的。

5.5 STA管理类

AP虚拟化技术，主控AC为各逻辑AP分配了可接入的STA个数（AP虚拟化模板配置的时候，sta-capacity的配置），这个数是整个虚拟AP支持接入的STA个数，即所有Radio接入的个数总和。

某些逻辑AP在某个Radio接入的总数达到了此Radio的最大支持数，那么此Radio就不能再支持STA的接入，比如Radio 1总共支持128个STA，有3个逻辑AP（主AP，虚拟AP1，虚拟AP2），如果主AP在Radio 1接入了100个STA，虚拟AP1在Radio 1接入了28个STA，而虚拟AP2就无法在Radio 1上接入STA，并且在分控AC上也是无法感知到的，只是一直无法接入。

5.6 AC/AP升级类

5.6.1 AC升级

主控AC和分控AC独立升级。

5.6.2 AP升级

只能主控AC给AP升级，分控AC对AP升级不了。

5.7 SNMP管理类

AP虚拟化下，AP的MAC地址在主控AC和分控AC上是一样的，SNMP获取信息的时候，无法处理同个AP MAC在不同的AC控制器上的情况，所以SNMP不能同时管理主控AC和分控AC，需要独立的SNMP来管理主控AC和各分控AC。

接口流量和射频统计相关信息及CPU、内存等共用资源信息只在主控AC上生效，分控AC获取的数据是和AP端不一致的。

5.8 SNC配置类

AP虚拟化下，AP的MAC地址在主控AC和分控AC上是一样的，需要独立的SNC来管理主控AC和各分控AC。

如果用这管理软件给分控AC配置的时候，如果该配置在分控AC不支持，AC端可能配置成功，但AP端不会生效，即分控AC的配置和AP生效的可能不一样。

5.9 分级分权管理类

目前分级分权功能是基于AC的web界面实现的，这里的描述是基于AC的web界面配置而言的。

AP虚拟化模板的创建和删除，只能是超级管理员才有权限。