1. 将 AP 和控制器放在同一个 L2 域中是最简单的解决方案，因为您无需为它们找到彼此而执行任何其他操作。如果您将 AP 放在不同的子网上，那么您必须在 AP 子网上配置 DHCP 选项 43 或放入 cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC 的 DNS 条目。以前这是 cisco-lwapp-controller。

2. 您需要授予秘书管理员或大厅管理员访问 WLC 的权限，以便他们可以创建登录。它不需要额外的访客 wifi 接口，但您可以使用一个并将其插入 DMZ 以实现更好的隔离。

编辑：更正了 DHCP 选项编号，因为@generalnetworkerror 指出了我的错误记忆。

1. AP 和控制器位于同一子网上的可能性很小。您可能在组织中的某个地方有一个集中控制器，并且 AP 将插入跨越多个子网的不同 IDF 机柜中的端口。当 AP 启动时，它们会使用通过 DHCP 分配的域名并尝试解析 CISCO-CAPWAP-CONTROLLER.domainname.com 或 CISCO-LWAP-CONTROLLER.domainname.com 并将其 CAPWAP 或 LWAP 隧道回传到那里。将相同的 L2 VLAN 跨越多个交换机和中继线对于 STP pov 来说是危险的。所以我会说在同一个 L2 域上拥有 AP 和控制器是不好的做法。
2. 除非你想让你的秘书访问控制器 - 看看使用 Cisco 访客访问服务器。http://www.cisco.com/en/US/products/ps10160/index.html

这允许秘书为客人生成用户名和密码，并将信息通过电子邮件发送给他们（他们可以在智能手机上阅读并登录）并指定帐户保持登录的时间长度。这样就没有人知道 PSK 或使用 Web 身份验证的通用登录。最好的做法是使用简单的密码对开放/访客 wifi 网络进行事件加密，以提供用户安全。

1. 您可以尝试将 AP 和控制器的管理接口保留在同一个 L2 域中，但这只会让您头疼。该架构旨在允许您在整个网络中即插即用 AP，甚至跨越 L3 边界。AP 将通过几种不同的方式发现控制器。我们使用 DNS 发现。（为“CISCO-CAPWAP-CONTROLLER.yourdomain.com”添加一条A记录。我相信还有另一条A记录要添加，但目前我无法理解）
2. 我不确定我 100% 理解问题的这一部分。听起来像是秘书会为客人设置 PSK。在这种情况下，我肯定会建议您使用不同的接口，不允许访问 RFC 1918 地址空间。使用外部 DNS 服务器。然后剩下的就是让秘书访问 WLC 以更改 SSID 的 PSK。

WLC 和 AP 可能位于同一子网中，但不太可能，因为很难管理，尤其是在大型环境中或频繁部署新接入点时。根据我的经验：在现场有 10-20 个 AP 和 WLC 的小型位置，将它们放在同一个 VLAN 中更容易。在您拥有一个（或多个冗余）集中式 WLC 和许多（地理上）分散的、易于配置和“干净”的 AP 的大型安装中，解决方案是使用 DNS 进行发现过程。当您拥有更复杂的网络时，无论是由于特定要求还是设计不当，您都可以使用 DHCP 选项 43（或静态配置）。

使用 DNS 记录是发现控制器的一种简单解决方案，尤其是当您的域中只有一个控制器或者您不关心 AP 将加入哪个 WLC 时。我喜欢在发现过程中使用 DHCP 供应商特定的选项，因为它比手动配置更容易lwapp ap controller ip address但提供更多控制，特别是当您由于某种原因不能使用不同的域并希望能够向 AP 发送不同的 WLC IP 时。您可以为接入点的 VCI（供应商类别标识符）创建具有 DHCP 选项 43 和控制器 IP 地址的基于范围的策略。VCI 在初始 DHCP 发现广播期间由 DHCP 客户端在选项 60 中发送，用于识别特定类别的设备（因此命名）。对于匹配的 VCI，DHCP 将发送带有 102 或 241 suoptions 的选项 43，您将配置这些选项以保存控制器的 IP 地址（其他客户端将看不到它们）。