2capwap协议及wlan组网-hcwla0capwap基础原理issue

学完本课程后，您将能够：区分AP技术描述CAPWAP隧道协议1. AP技术介绍2.

CAPWAP隧道介绍AP介绍无线局域网络的架构主要分为:基于控制器的AP架构（瘦AP，Fit

AP）传统的独立AP架构（胖AP，Fat

AP）随着近几年WLAN技术以及市场的发展，瘦AP正在迅速替代胖AP模式。=胖AP介绍胖AP，除无线接入功能外，一般具备WAN、LAN两个接口，多支持DHCP服务器、DNS和MAC地址克隆，以及

接入、

等安全功能。FAT

APSTASTAFAT

AP天线802.11a/b/g/n/ac加密802.1X认证，802.11e

Qos，二层漫游，安全瘦AP介绍瘦AP是“代表自身不能单独配置或者使用的无线AP产品，这种产品仅仅是一个WLAN系统的一部分，负责管理安装和操作”。FIT

APACFIT

APIP网络天线802.11a/b/g/n/ac加密无线 防护用户AP点监测RF管理无线客户端管理802.1X认证，802.11e

Qos，二层漫游，安全胖AP与瘦AP比较AC+瘦AP胖AP投资AP成本较低，易管理；AC成本高。AP成本较高，但是无AC投入。WLAN组网AP不能单独工作，需要由AC集中 管理；AP本身零配置，适合大规模组网；存在多厂商兼容性问题，AC和AP间为私有协议，必须为同厂家设备；每个AC管理AP容量较少。需要对AP下发配置文件；有 情况下可以支持大规模网络部署和海量规模用户管理;不存在兼容性问题：基于AP和系统之间采用标准的IP层协议互通；可以实现海量AP

集中管理和

，并实现与现有宽带网络融合管理。业务能力二层、三层漫游；可扩展语音等丰富业务；可以通过AC增强业务QoS、安全等功能。二层漫游；实现简单数据接入。1.

AP技术介绍2. CAPWAP隧道介绍CAPWAP背景传统的WLAN体系结构已

大规模组网需求，因此，IETF成立了CAPWAP（Control

And

Provisioning

of

WirelessAccess

Points）工作组，研究大规模WLAN的解决方案，以实现各个厂家控制器与AP间的互通。CAPWAP(1/2)协议名称LWAPPSLAPPCTPWiCoP标准RFC5412RFC5413draft-singh-capwap-ctpRFC5414协议全称Light

Weight

Access

PointProtocolSecure

Light

AccessPoint

ProtocolCAPWAP

TunnelingProtocolWireless

LAN

ControlProtocol提出厂家Cisco

-

AirSpaceAruba-

ChantryPanasonic协议特点全面的描述了AC发现、安全和系统管理方法，支持本地MAC和分离MAC机制。两者连接采用2层或3层连接，2层连接使用以太网帧传输，3层连接使用UDP传输LWAPP报文。支持桥接和隧道两种本地MAC机制。支持直连、2层和3层三种连接方式。使用成熟的技术标准来建立通信隧道，数据信道使用GRE技术。利用扩展的SNMP对WTP进行配置和管理。

CTP的控制消息着重于

STA连接状态、WTP配置和状态几方面。定义了包括无线终

端-AC性能协商功能在内的AC发现机制，定义了QoS参数。加密情况信令–AES-CCM数据–没有加密信令–DTLS数据–DTLS建立了AP与无线终端互相认证及一套基于AES-CCM的加密规则，但是并不完善。协议建议使用IPsec和EAP安全标准，却并未详细说明实现方法。CAPWAP(2/2)SLAPPCTPWiCoPCAPWAPLWAPPLWAPP具有完整的协议框架，定义了详细的报文结构及多方面的控制消息元素，但全新制定的安全机制还需实践验证。SLAPP使用业界认可的DTLS技术是其亮点。CTP和WiCoP实现了集中式WLAN体系结构的基本要求，但考虑不够全面，特别是安全性方面有所欠缺。CAPWAP介绍CAPWAP（无线接入点控制和配置协议），用于无线终端接入点（AP）和无线网络控制器（AC）之间的通信交互，实现AC对其所关联的AP的集中管理和控制。该协议包含的主要内容有：AP对AC的自动发现及AP&AC的状态机运行、

。AC对AP进行管理、业务配置下发。STA数据封装CAPWAP隧道进行转发。WLAN转发模型也称作数据报 中转发。业务数据报文由AP

封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量的转发中枢。直接转发模式直接转发也称数据报文本地转发。AC只对AP进行管理，业务数据都是由本地直接转发。隧道转发管理流

数据流CAPWAP隧道隧道转发模式两种转发方式对比转发方式优点缺点直接转发AC所受压力小转发效率高方便故障定位业务数据不需要经过AC转发报文不需要经过多次封装解封装安全性不够中间网络可以解析出用户报文中间网络需要透传业务VLAN增加了AC与AP间二层网络的

工作量业务数据不便于集中管理和控制隧道转发安全性高AC集中转发数据报文方便集中管理和控制经过DTLS加密，中间网络不易解析出用户报文内容AC和AP之间只需透传管理VLAN配置简单不利于故障定位业务数据必须经过AC转发数据报文需要封装CAPWAP隧道报头AC所受压力大转发效率较直接转发低CAPWAP基本报文格式报文类型用于UDP端口加密控制报文管理AP5246大部分是密文数据报文转发用户业务数据5247大部分是明文IPheaderUDPheaderCAPWAPheaderControlheaderMessageelementIPheaderUDPheaderCAPWAPDTLS

headerDTLSHeaderCAPWAPheaderControlheaderMessageelementDTLStailIPheaderUDPheaderCAPWAPHeaderEthernetPacketIPheaderUDPheaderCAPWAPDTLS

headerDTLSheaderCAPWAPheaderEthernetpacketDTLStail控制报文数据报文加密增加了额外的消耗瘦AP发现AC瘦AP发现AC的流程：开始是否有预配置静态AC的IP列表结束结束AP与指定IP的AC连接启动AP动态发现AC机制AP成功关联AC有无瘦AP发现AC瘦AP动态发现AC的过程：获取IP地址、DNS

server、AC发现请求长时间无响应获取AC地址AC发现请求AC响应请求CAPWAP隧道建立APDHCPserverDNSserverAC现网例外情况解决建议现网DHCPserver既不支持Option43，也不支持Option15，则采取以下几种措施：AC与AP采用二层组网，启用CAPWAP广播发现AC与AP仍用三层组网使用AC自带DHCP

server给AP分IP–AP管理流与STA业务流分不同vlan增加部署一台支持option43的DHCP

server–单独为AP建立一个新的DHCP

serverCAPWAP隧道建立总体视图DiscoveryOfferRequestAckDiscover

RequestDiscover

ResponseDTLSJoin

RequestJoin

ResponseImage

DataConfiguration

Status

RequestConfiguration

Status

ResponseChange

State

Event

RequestChange

State

Event

ResponseKeepaliveKeepaliveEchoRequestEcho

ResponseConfiguration

Update

RequestConfigurationUpdate

ResponseDHCPDiscoveryDTLS

ConnectJoinImageDataConfigureDheckRunRunConfigDiscoveryDTLS

ConnectJoinImageDataConfigureD

heckRunRunConfigAPDHCP

ServerACCAPWAP隧道建立-DHCPDHCP的四步交互APDHCP

ServerACDiscoveryOfferRequestAckDHCPCAPWAP隧道建立-DiscoveryAC发现机制APDHCP

ServerACDiscovery

RequestDiscovery

ResponseDiscoveryDiscoveryCAPWAP隧道建立-DTLS(可选)DTLS握手APDHCP

ServerACDTLSDTLSCAPWAP隧道建立-JoinJoinJoinJoin

RequestJoin

ResponseAPDHCP

ServerACJoinCAPWAP隧道建立-Image

Data(可选)Image

dataImage

Data

RequestImage

Data

ResponseImageDataImageDataAPDHCP

ServerACCAPWAP隧道建立-ConfigureConfigureConfiguration

Status

RequestConfiguration

Status

ResponseConfigureAPDHCP

ServerACConfigureCAPWAP隧道建立-DheckDheckChange

State

Event

RequestChange

State

Event

ResponseDataCheckAPDHCP

ServerACDataCheckCAPWAP隧道-Run

(Data)Run（数据）KeepaliveKeepaliveRunAPDHCP

ServerACRunCAPWAP隧道-Run

(Control)Run（控制）Echo

RequestEcho

ResponseRunAPDHCP

ServerACRun:101业务VLAN:101管理VLAN:100:102业务VLAN:102管理VLAN:100CAPWAP数据隧道工作原理PC1

VLAN

101IP:10.1.101.51GW:10.1.101.1Radius服务器DHCP服务器接入交换机ACPC1

VLAN102IP:10.1.102.51GW:10.1.102.1交换机IP:VLAN

11:10.1.11.1VLAN

12:10.1.12.1VLAN

100:10.1.100.1VLAN

101:10.1.101.1VLAN

102:10.1.102.1AC

WLAN

源IP:10.1.100.100AC

VLAN

101

IP:10.1.101.100AC

VLAN

102

IP:10.1.102.100Dot1Q

VLANs

100,101,102网关AP

VLAN

11AP

VLAN

12Router

交换机:101业务VLAN:101管理VLAN:100:102业务VLAN:101管理VLAN:100CAPWAP数据流-DHCP请求(1/3)交换机Radius服务器DHCP服务器接入交换机ACRouter

Dot1Q

VLANs

100,101,102网关发送DHCP请求无线数据SIP=0.0.0.0DIP=255.255.255.255DHCPRequestAP

VLAN

11AP

VLAN

12:102:101CAPWAP数据流-DHCP请求(2/3)Radius服务器DHCP服务器AC网关Router

CAPWAP隧道上的数据SIP=10.1.11.101(AP1)DIP=10.1.100.100(AC)UDP

Port

=5247CAPWAP

data

headerDHCP

Packet802.1Q

VLAN

=101SIP=0.0.0.0DIP=255.255.255.255DHCP

RequestCAPWAP隧道上的DHCP报文接入交换机AP

VLAN

11AP

VLAN

12Dot1Q

VLANs

100,101,102交换机:102业务VLAN:101管理VLAN:100:101业务VLAN:1