AP上有兩個vlan，一個是訪客無線vlan10，一個公司員工無線vlan20，AP連接交換機poe交換機，交換機接口到底是配置trunk接口，還是access接口？

AP連接到交換機后，AP連在交換機上的這個接口，到底是配置trunk接口，還是配置access接口呢？其實這個要看情況，下面我們就來了解一下，這個到底應該配置什么接口吧？

AP和上連交換機之間的連接，什么時候配置trunk，什么時候配置access？

當配置集中轉發(fā)，又叫隧道轉發(fā)時，數據流量（用戶上網數據，如訪客網vlan10，員工網絡vlan20）和控制流量（管理AP，AC下發(fā)AP的無線網絡名稱、無線密碼、無線射頻，vlan信息）都從CAPWAP隧道轉發(fā)到AC控制器，然后AC控制器再將vlan10和vlan20的數據轉發(fā)出去，這時可以將AP上連到交換機的接口配置為access口。

假如，現在capwap隧道建立的是vlan2000，AC的隧道端口配置的也是vlan2000的ip地址，這時AC和AP之間就可以正常建立CAPWAP隧道。

可以設置為access

port access vlan 2000

AP就可以獲取到vlan 2000的IP地址。

那這時就有人會問，AP連接交換機的接口是vlan2000，那么無線用戶數據流量的vlan10和vlan20的數據，如何通過vlan2000，將數據轉發(fā)出去呢？

我們都知道，承載不同的vlan接口肯定要配置trunk接口。那應該將AP的上連交換機接口更改為trunk接口，才可以將數據的兩個vlan10和vlan20轉發(fā)出去。

其實這么理解就錯了，主要是沒有理解CAPWAP隧道。當我們給AP配置vlan2000時，這個vlan2000讓AP獲取到Vlan2000的ip地址，然后AP用這vlan2000獲取的IP地址和AC建立CAPWAP隧道，當隧道建立成功之后，AC就可以通過CAPWAP隧道，將AC上配置的兩個無線信號及兩個vlan信息，通過CAPWAP隧道下發(fā)到AP上。這時AP上就可以搜索到兩個無線信號，一個是訪客網絡的無線，一個是員工網絡的無線。

無論當訪客的vlan10的訪客數據，還是vlan20的員工數據，都直接通過CAPWAP隧道，將數據通過AP與AC創(chuàng)建的CAPWAP隧道轉發(fā)出去了。

vlan10的訪客戶數據和vlan20的員工數據都不會直接從AP的vlan2000轉發(fā)出去，也無法轉發(fā)出去。

還可以這么理解，在AP上的兩個vlan10，vlan20，那你知道這個vlan10和vlan20是如何來的嗎？就是AC通過capwap隧道通過控制流下發(fā)到AP上的，這時當用戶獲取的vlan10和vlan20的數據。AP采用隧道轉發(fā)，兩個vlan數據，還是通過capwap隧道轉發(fā)給AC，然后由AC統(tǒng)一轉發(fā)出去。

本地轉發(fā)，又稱直接轉發(fā)，AP連接的交換機接口設置為trunk

為什么說本地轉發(fā)，AP必須連接的交換機要配置trunk，而不能是access接口呢？因為如果AP上承載一個訪客無線網絡vlan10,員工網絡vlan20，這時AP上有用戶兩個vlan數據，這兩個vlan數據都需要，通過AP的接口，直接將兩個vlan數據，轉發(fā)到AP連接的交換機，當本地轉發(fā)時，訪問vlan10和員工vlan20的無線數據，不會通過CAPWAP隧道轉發(fā)出去，這時是直接通過AP與上連交換機的接口轉發(fā)出去。所以AP與交換機連接的接口，需要承載兩個vlan，一個是vlan10另外一個是vlan20。

所以這時AP上連接口必須為Trunk，承載了三個vlan數據，一個是AP隧道vlan，用戶數據兩個vlan，所以AP接口必須設置為trunk。

但是如果接口設備為trunk后，那么AP就無法獲取ip地址了，這時需要使用port trunk pvid vlan 2000，來實現AP獲取capwap隧道管理口vlan。

PO交換機接AP的接口

port link-tye trunk

port trunk permit vlan 100 2000 3000

port trunk pvid vlan 2000------AP就可以獲取到vlan 2000的IP地址

AP連接的交換機為trunk口，AP是沒有辦法獲取到ip地址的，但是需要添加pvid就可以獲取到IP地址。