三层组网的时候为什么要配置option43？

因为当AC与AP之间是三层网络时，AP无法通过广播方式发现AC，所以需要通过DHCP服务器上配置DHCP响应报文中携带的Option 43信息发现AC：

AP通过DHCP Server获取IP地址和Option 43属性。

AP通过Option 43中的信息获取到AC的地址。

AP通过获取到的AC IP地址，向AC发送单播的发现请求。

接收到发现请求报文的AC会检查该AP是否有接入本机的权限，如果有则回应发现响应。

AP和AC进行信息交互，建立CAPWAP隧道。

一层组网：

在由AC+Fit AP构成的组网中，AC通过与Fit AP建立的CAPWAP隧道控制和管理AP，在建立CAPWAP隧道之前，AP首先要发现AC。

二层组网：

AC与AP之间是二层网络，在上线过程中，AP会发送Discovery Request广播报文自动发现AC，然后通过AC响应的Discovery Response报文选择一个待关联的AC建立CAPWAP隧道。

DHCPoption138是：动态主机配置协议，138项用于配置DNS。

DHCP：动态主机配置协议的缩写。DNS（域名系统）是互联网上的一个分布式数据库，它将域名和IP地址相互映射，使用户更容易访问互联网，而不必记住机器可以直接读取的IP字符串的数量。

获取与主机名中主机名对应的IP地址的过程称为域名解析（或主机名解析）。DNS协议运行在UDP之上，使用端口号53。在RFC文档中，RFC2181有DNS规范，RFC2136解释了DNS的动态更新，RFC2308解释了DNS查询的反向缓存。

扩展资料：

Nslookup指定查询的类型、DNS记录的生存期以及使用哪个DNS服务器进行解释。您可以在任何安装了TCP/IP协议的计算机上使用此命令。

信息主要用于域名系统(DNS)基础设施的诊断。Nslookup(名称服务器查找):是一个用于查询互联网域名信息或诊断DNS服务器问题的工具。

将IP地址自动分配给内部网络或网络服务提供商给用户或内部网络管理员，作为对所有计算机进行集中管理的一种手段，在RFC2131中有详细描述。

DHCP有三个端口，其中UDP67和UDP68是正常的DHCP服务端口，分别是DHCP服务器和DHCP客户端的服务端口。

端口546用于DHCPv6客户端，但不用于DHCPv4。它用于DHCP故障转移，需要特别打开。DHCP故障转移用于“双机热备份”。

2020年3月11日，网工群里张工发了个问题：

逻辑拓扑图：

需求：用一个AC管理两个分支机构的ap，防火墙上做ipsec

问题：ac无法管理远程的ap

经一步一步试错，找到如下四个问题，处理完ap即可上线

1、在防火墙上配置好规则

防火墙上要配置4个规则：

Ipseg的两端出入各1个

业务数据的来回各1个（此处控制的不是很严谨，还应该加上对端的ipaddress）

2、配置ipseg两端密码

处理办法：

ike peer 对端id

pre-shared-key 新密码

3、最折腾的一点来了：dhcp服务器的option 43 命令，原配置里写的是

dhcp server option 43 sub-option 3 ip-address 192.168.10.253

坑爹！应该是

dhcp server option 43 sub-option 3 ascii 192.168.10.253。

定位问题的过程也很有趣：

千辛万苦弄通ipsec之后，抓包发现ap接收到的ac IP地址是177.0.0.0，于是怀疑是不是dhcp服务器或者ap的版本不兼容，在网上找到一篇文章：

https://wenku.baidu.com/view/b43038e4b307e87101f696b6.html

里面详细说明了option 43的几种不同写法，这个ip-address还有hex就是专门拿来坑人的。。。以后记住就用ascii就ok了，搞不懂华为为啥还留这两个选项

4、Ap2的曲折上线经历

原以为option43已经很坑了，没想到mtu更坑。。。。。

前天折腾好了后，发现ap1正常，ap2死活出不了无线信号，上线后状态由cfg变为cfgfa，配了无数次，找了无数资料，终于有了线索：

http://blog.sina.com.cn/s/blog_65d50aab0102x654.html

不过标题给了我提示：mtu不足1500导致ap上线故障，灵光一闪，去看看USG和路由器接口上的mtu值，果然是1500，最大可以到1600，ok，抱着司马当做活马医的心态，全部设置为1600，重启ap

Ap2居然出信号圈了！！！！

在搜索相关资料，发现思科的也有类似的问题，ap运行在local access point，而不是remote-edge ap（reap）模式下时，当控制器配置为三层LWAPP，且控制器与ap之间的MTU《1500时，会出现ap无法注册的情况。

这不就和现在的情况一模一样么！！！！

思科的解决方案：

1、 升级控制器的软件版本

2、 Ap更换使用模式为reap（Remote-Edge Access Point）

3、 增加mtu到1500字节

目前我的方法算是瞎猫撞到死耗子了，比较正常的途径应该是更改ap的模式，但翻看了ac6005的设备手册，没有找到类似于思科的reap工作模式的设置，有点小缺憾。

---