华为WLAN深度CAPWAP隧道

1、华为华为WLANWLAN深度资料深度资料-CAPWAP-CAPWAP隧道隧道1目录目录总体介绍1 1组网场景2 2原理介绍3 3性能对比4 42CAPWAPCAPWAP协议背协议背景景缘何而来缘何而来AC+瘦AP组网架构，可以实现：1）集中可视化管控2）降低运维成本3）对用户实现精细化策略管理4）支持认证计费场景，不同层面保证企业数据安全5）增值业务能力：可扩展更多丰富业务（BYOD、Bonjour、 视频回传 ）6）适合中大规模组网场景在此应用背景下CAPWAP协议Control and Provisioning of Wireless Access Points，用于AC与AP通信的协议规

2、范也应运而生 解决方案企业级用户部署AP的数量会非常庞大，对集中运维管控、安全性提出了更高的要求。传统胖AP组网已经难于满足需求：1）自治管理，安全无法保证；2）实现不了精细化的用户管控；3）大批量部署难度高；4）只适合SOHO级小规模组网。 客户痛点AC+瘦AP的组网架构3CAPWAPCAPWAP协议背景协议背景去粕取精去粕取精LWAPP(Lightweight Access Point Protocol) 提出厂家：Cisco 具有完整的协议框架 定义了详细的报文结构和TLV元素 数据没有加密 提出厂家：Aruba 支持桥接 DTLS加密是其亮点CTP/WiCoP( CAPWAP Tunn

3、eling Protocol /Wireless LAN Control Protocol ) 提出厂家：Siemens/Panasonic 实现了集中式WLAN体系结构基本需求 安全标准考虑不够全面CAPWAPSLAPP(Secure Light Access Point Protocol)4CAPWAPCAPWAP协协议介绍议介绍无线接入点控制和规范无线接入点控制和规范AP发现AC链路建立配置管理数据转发控制/数据通道建立（UDP端口号：5246/5247）多种配置管理业务下发、批量升级AP控制报文DTLS加密多种用户业务流量CAPWAP数据隧道转发数据报文DTLS加密5目录目录总体介绍1

4、 1组网场景2 2原理介绍3 3性能对比4 46ACAC直连式组网直连式组网- -流量集中转发流量集中转发接入侧接入侧汇聚侧汇聚侧服务器侧服务器侧ACeSightPolicy Center室分型AP放装型APInternetInternetn适用于需要AC承担用户网关、用户策略管理、认证计费网关、DHCP服务器等角色的场景n用户数据及认证由AC集中处理nAP/AC支持跨二、三层组网nAP、用户DHCP服务器nAP参数统一配置n用户策略统一配置n用户认证控制点nPolicy CenterPortal认证服务器Radius服务器MAC认证服务器PPPoE服务器nAC Web页面网管neSightA

5、C/AP网管AP位置拓扑显示应用场景AC部署用户认证网络管理接入交换机室外AP用户认证用户认证用户数据用户数据CAPWAP控制控制隧道隧道CAPWAP数据数据隧道隧道配置信息配置信息7ACAC旁挂式组网旁挂式组网- -流量本地转发流量本地转发接入侧接入侧汇聚侧汇聚侧服务器侧服务器侧ACeSightPolicy Center室分型AP放装型AP本地网络本地网络接入交换机室外AP用户认证用户认证用户数据用户数据本地网络本地网络n适用于用户数据可由本地网络直接转发的场景，如分支办公网络。节省AP/AC间链路带宽n用户网关和DHCP服务器均在本地网络中n本地转发用户认证可由AC集中处理nAP/AC支持

6、跨二、三层组网nAP DHCP服务器nAP参数统一配置n用户策略统一配置n用户认证控制点nPolicy CenterPortal认证服务器Radius服务器MAC认证服务器PPPoE服务器nAC Web页面网管neSightAC/AP网管AP位置拓扑显示应用场景AC部署用户认证网络管理CAPWAP控制控制隧道隧道CAPWAP数据数据隧道隧道配置信息配置信息8ACAC灵活组网灵活组网- -混合组网模式混合组网模式接入侧接入侧汇聚侧汇聚侧服务器侧服务器侧ACeSightPolicy Center室分型AP放装型AP本地网络本地网络接入交换机室外AP用户认证用户认证分支分支用户数用户数据据本地网络本

7、地网络总部网络总部网络总部用户数据总部用户数据总部网络总部网络n适用于用户数据混合组网场景，可实现按AP转发和按SSID转发。如总部使用集中转发模式，分支办公网络使用本地转发模式n两种模式下的用户认证均由AC集中处理nAP/AC支持跨二、三层组网nAP DHCP服务器n集中转发用户DHCP 服务器nAP参数统一配置n用户策略统一配置n用户认证控制点nPolicy CenterPortal认证服务器Radius服务器MAC认证服务器PPPoE服务器nAC Web页面网管neSightAC/AP网管AP位置拓扑显示应用场景AC部署用户认证网络管理CAPWAP控制控制隧道隧道CAPWAP数据数据隧道

8、隧道配置信息配置信息9目录目录总体介绍1 1组网场景2 2原理介绍3 3性能对比4 410CAPWAPCAPWAP隧道隧道 帧结构帧结构 CAPWAP头结构 CAPWAP报文结构（未DTLS加密）IP头+UDP头+CAPWAP头+无线数据 CAPWAP报文结构（DTLS加密）IP头+UDP头+DTLS头+CAPWAP头+无线数据+DTLS尾11CAPWAPCAPWAP隧道建立隧道建立 总体视图总体视图12CAPWAPCAPWAP隧道建立隧道建立 DHCPDHCP阶段阶段在在DHCP ack报文中携带报文中携带: APIP地址 租期时间 【可选】通过option 43携带AC IP list，用

9、于AP CAPWAP单播发现AC 【可选】通过option 15携带DNS服务器域名13CAPWAPCAPWAP隧道建立隧道建立 DiscoveryDiscovery阶段阶段AP CAPWAP发现发现AC 单播发现（根据DHCP ACK回的AC IP list或从DNS服务器获取的AC IP地址 发送单播报文）L2/L3网络 广播发现（当没有AC IP list或单播没有回应时发送广播报文）L2网络AC 收到收到discover request分配链路号(LinkID)AP IP + AP UDP Port 唯一标示该链路迁移状态机状态AP决策选择决策选择AC的因素（的因素（当收到多个当收到多

10、个AC回回应应的的discover response时）时） AC的优先级 AC上当前AP个数14CAPWAPCAPWAP隧道建立隧道建立 DTLSDTLS阶段（阶段（可选可选）DTLS建链建链DTLS加解密（控制报文）加解密（控制报文） 加密若开启：从join开始的CAPWAP控制报文都会经过DTLS加解密 DTLS数据报文加解密：当前不支持15CAPWAPCAPWAP隧道建立隧道建立 JoinJoin阶段阶段AP 发送发送join request 当AP决策选择AC后（有DTLS时先建立DTLS链路）开始join阶段 携带AP版本信息、MAC信息、胖瘦模式信息等AC 收到收到join re

11、quest 黑白名单校验 迁移状态并回应join response（携带期望AP使用的版本信息）AP 收到收到join response 根据AP版本信息看是否需要在线加载AP版本，并迁移到对应状态16CAPWAPCAPWAP隧道建立隧道建立 Image Image datadata（可选）（可选） AP根据join response中携带的AP版本在AP flash中不存在，则开始升级升级方式：FTP 升级（推荐推荐）和 AC升级升级粒度：基于AP域、AP类型、单个AP三种粒度升级AP升级成功后，重新启动，重新建立CAPWAP链路17CAPWAPCAPWAP隧道建立隧道建立 C Config

12、ureonfigure阶段阶段对AP现有配置和AC设定的配置做匹配检查目前此阶段没有下发配置，都是在run状态之后统一下发18CAPWAPCAPWAP隧道建立隧道建立 D Data ata C Checkheck阶段阶段Data check阶段 发送change state event request（携带错误码等信息）Data check后，标志管理隧道已经建立完毕，进入Run状态19CAPWAPCAPWAP隧道维护隧道维护 RunRun阶段阶段 AP发送数据心跳报文，AC收到后标志数据隧道数据隧道建立，AP进入normal状态 数据心跳报文，定期发送（默认25s），用于检测数据链路数据链路

13、是否正常 AP控制心跳报文，定期发送（默认25s），用于检测控制链路控制链路是否正常20CAPWAPCAPWAP隧隧道道支持静态多级支持静态多级NATNAT穿越穿越nPAT：多对1转换，例如 : 4444 - : 50003 : 5555 - : 50004 : 1233 - : 50005nNAT：1对1转换，例如 : 4444 - : 4444 : 5555 - 202.116.

14、100.6: 5555 : 1233 - : 123321 CAPWAPCAPWAP备份备份 1+1 1+1热备热备(HSB +VRRP)(HSB +VRRP)主ACeSightPolicy Center备ACHSB备份通道用户用户123接入交换机APHSBHSB业务实时备份n用户数据信息备份nCAPWAP隧道信息备份nAP表项备份1+11+1热备切换检测 AP/AC间链路检测 AC整机之间检测 AC上行链路检测VRRPVRRP热备机制nAC地址虚拟：面向AP,主备AC使用VRRP协议虚拟出一个AC地址n上下行链路监控：监控指定接口状态，上下行链

15、路监控均支持BFD+VRRP22CAPWAPCAPWAP备份备份1+11+1热备热备(HSB +(HSB +双链路双链路) )主ACeSightPolicy Center备ACHSB备份通道用户用户2接入交换机AP1+11+1热备切换检测 AP/AC间CAPWAP链路状态检测 AC整机之间检测HSBHSB业务实时备份n用户数据信息备份nCAPWAP隧道信息备份nAP表项备份CAPWAPCAPWAP双链路机制nAP分别与主备AC建立CAPWAP隧道，通过AC优先级确立主备ACn负载均衡：AC优先级相同的情况下，根据AC负载（AP和STA个数）确立主备ACn双链路热备相对于双链路冷备优势：备AC存

16、在用户信息，用户不掉线，而冷备用户要重新关联AP上线CAPWAP主链路CAPWAP备链路123CAPWAPCAPWAP备份备份1+11+1冷备冷备( (双链路双链路) )1.AC 1 工作在主用状态，并为AP1、AP2提供服务；AC2工作在备用状态，各AP通过备用信道链路连接到AC2。2.主备AC之间不存在任何形式的用户状态或数据同步3.当AP检测到AC1故障时，触发主备切换(由主AC1切换到备AC2)，AP和AC2之间的CAPWAP隧道立即由备用转为主用。4.当AC1恢复连接后，根据配置，AC1保持在备用状态或者回切到主用状态。AP1AP2Active TunnelStandby Tunne

17、lAC1AC2241.AC1作为AP1的主AC，同时作为AP2的备AC；AC2作为AP2的主AC，同时作为AP1的备AC。2.该场景是对“1+1”场景的补充，在“1+1”场景的AC间负载均衡控制中是看AP接入时刻的AC负载情况，决定AC是否能够成为该AP的主AC，是无法控制的。“N+N”需要实现对AC间的负载均衡进行控制。即能够控制一部分AP使用AC1作为主AC，另外一部分AP使用AC2作为主AC。3.当AC1或者AC2 down后，AP能够切换到另外一个AC上。AP1AP2Active for AP1Active for AP2Standby for AP2AC1AC2Standby for

18、 AP1CAPWAPCAPWAP备份备份N+NN+N冷备冷备( (双链路双链路) )251.AC1作为AP1的主AC，AC2作为AP2的主AC，AC3既作为AP1的备AC，同时也作为AP2的备AC。2.该场景中需要AC3实现对不同的AP区分不同的主AC。当AC1或者AC2 down后，对应的AP能够切换到AC3上。AP1AP2Active for AP1Standby for AP1&Ap2AC1AC2Backup AC3Active for AP2CAPWAPCAPWAP备份备份N+1N+1冷备冷备( (双链路双链路) )26CAPWAPCAPWAP断链业务保持断链业务保持内部网络内

19、部网络在线用户新用户AP交换机AC12新用户上线新用户上线AP用户数据 CAPWAPCAPWAP断链业务保持nCAPWAP链路中断后，在线用户业务不中断，数据持续转发 CAPWAPCAPWAP断链新用户上线nAP无线侧安全策略为开放系统认证、共享密钥认证（WEP）和WPA/WPA2时，新上线用户可接入上线。用户数据通过本地转发模式转发。在线用户业务不中断应用场景n对于没有AC备份的小型无线网络，业务续航模式可保证用户数据转发不中断，提升业务可靠性。27目录目录总体介绍1 1组网场景2 2原理介绍3 3性能对比4 4628华为华为APAP领先的本地转发模式领先的本地转发模式- -解决安全问题解决

20、安全问题客户问题：客户问题：集中转发集中转发 端口容量限制端口容量限制：由于客户现网环境限制，三层交换机能提供给AC的端口容量有限，无法承载所有的无线数据流量，解决办法是让用户业务报文在AP本地转发，不再集中到AC转发；安全策略集中控制，本地转发安全无法保证安全策略集中控制，本地转发安全无法保证：在AP本地转发模式下，数据流不经过AC，AC无法进行安全控制，导致客户网络安全难以保证；华为特色方案：华为特色方案：整体方案：整体方案：安全策略在AC上统一配置，在本地转发模式下由AC下发， AP执行：如AP支持DHCP snooping，动态生成绑定表项，动态下发DAI、IP Source Guar

21、d的安全策略，防止ARP、仿冒源IP及私设DHCP server的攻击；一次配置，自动管理用户一次配置，自动管理用户MobilityMobility：在AC上配置DHCP安全功能，自动收集绑定表，动态下发安全策略，实现安全策略用户跟随。APAP分布控制：分布控制：AP自动接收AC下发的安全策略，负责其管辖范围内的网络和用户安全策略实施；三层交换机ACAP二层交换机园区网DHCP服务器服务器STARAIUS服务器服务器端口容量受限业务报文AP二层转发AC下发安全策略AP实施安全策略29华为华为APAP领先的本地转发模式领先的本地转发模式性能对比性能对比类别类别CISCOCISCO ARUBA A

22、RUBAH3CH3CHUAWEIHUAWEI控标项控标项引导策略引导策略 安全不支持不支持不支持支持本地转发模式下的DHCP snooping安全功能支持本地转发模式下DHCP snooping安全功能策略：策略：APAP本地转发解决安全问题，本地转发解决安全问题，具体业务特性。具体业务特性。口径：口径：AP支持本地转发，解决流量集中带宽不足的问题，同时通过DHCP snooping功能，解决了流量分散引起的安全问题。不支持不支持不支持支持本地转发模式下IP Source Gard的安全策略支持本地转发模式下IP Source Gard的安全策略不支持不支持不支持支持本地转发模式下防止ARP攻

23、击支持本地转发模式下防止ARP攻击不支持不支持不支持支持本地转发模式下私设DHCP server攻击支持本地转发模式下私设DHCP server攻击30华为特色方案华为特色方案: :VRRP方式： 主备AC组成VRRP备份组，主备AC同步备份AP表项、CAPWAP链路信息和用户信息。当主AC侧发生故障时，VRRP机制迅速切换主备AC关系，BFD检测报文最小发送间隔100ms。故障切换用户基本不感知。AP IP地址地址:0/24AC IP1:/24(高优先级）高优先级）AC IP2:/24(低优先级）低优先级）备份通道备份通道备备AC IP10.1

24、.1.2/24主主AC IP/24CAPWAP备链路备链路CAPWAP主链路主链路AP IP add:0/24AC IP add:/24备份通道备份通道备备AC IP add/24VRRP 虚拟虚拟IP /24主主AC IP add/24VRRP 虚拟虚拟IP /24BFD +VRRP 1+1BFD +VRRP 1+1热备热备解决解决CAPWAPCAPWAP业务续航业务续航客户问题客户问题为了提高企业无线办公网络业务可靠性，很多大中型企业会部署两台AC产品，作为冗余备份保护。而备份切

25、换的时间和方式，直接关系到用户的业务体验和流量数据保护。31类别H3CCISCOHUAWEI控标项引导策略 设备性能不支持BFD+VRRP方法1+1热备份不支持BFD+VRRP方法1+1热备份支持BFD+VRRP方法1+1热备份支持BFD+VRRP方法1+1热备份策略：思科和H3C,目前不支持BFD+VRRP方式, BFD检测报文最小发送间隔100ms，相对单独的VRRP方式，倒换性能从秒级减小到百毫秒级，BFD+VRRP相较于双链路备份在本地转发方式的场景下切换速度同样有所提高。口径：AC1+1备份同时支持VRRP和双链路两种备份方式.BFD +VRRP 1+1BFD +VRRP 1+1热备热备性能对比（性能对比（待数据刷新待数据刷新）32附录附录I