capwap学习笔记05大全Word文件下载.docx

1、 瘦AP需要能够自动获取IP地址，同时瘦AP需要能够自动发现可接入的无线控制器，并对无线控制器和瘦AP之间的网络拓扑不敏感 无线控制器支持瘦AP的配置代理和查询代理，能够将用户对瘦AP的配置顺利传达到指定的瘦AP设备，同时可以实时察看瘦AP的状态和统计信息 无线控制器保存瘦AP的最新软件，并负责瘦AP软件的自动更新 为了更加清晰的了解胖AP和瘦AP+AC的特点，简单罗列一下。 胖AP的主要特点：胖AP是与瘦AP相对来讲的，胖AP将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身。胖AP无线网络解决方案可由由胖AP直接在有线网的基础上构成。胖AP设

2、备结构复杂，且难于集中管理。 瘦AP的主要特点：瘦AP是相对胖AP来讲的，它是一个只有加密、射频功能的AP，功能单一，不能独立工作。整个瘦AP无线网络解决方案由无线控制器和瘦AP在有线网的基础上构成。瘦AP上“零配置”，所有配置都集中到无线交换机上。这也促成了瘦AP解决方案更加便于集中管理，并由此具有三层漫游、基于用户下发权限等胖AP不具备的功能。 简而言之，如果是小规模使用，胖AP是最好的，如果是要大规模部署，瘦AP+AC是明智之选。1.2 CAPWAP的起源 既然瘦AP不能单独工作，必须和AC配合使用，那么两者之间总要有一种协议可以让它们能够进行互联和沟通吧。因此，思科老大哥整了一个LWA

3、PP协议，而这个协议正是CAPWAP协议的前身！ 但是请大家注意，LWAPP这个东西是人家思科的私有的，其他厂商是不能直接使用，否则就要吃官司，于是，其他厂商就按照自己的想法也整了一个协议，这样一来就乱了，你整个协议我也整个协议，如果瘦AP和AC都是一样厂商自然没问题，如果要是不易厂商的，就没法通信了 于是乎，IETF为了解决隧道协议不兼容问题造成的A厂家的AP和B厂家的AC无法进行互通，在2005年成立了CAPWAP工作组以标准化AP和AC间的隧道协议。2 初识CAPWAP2.1 CAPWAP简介 说了半天CAPWAP，连全称都还没说，汗 CAPWAPControl And Provisio

4、ning of Wireless Access Points Protocol Specification。其由两个部分组成：CAPWAP协议和无线BINDING协议。 前者是一个通用的隧道协议，完成AP发现AC等基本协议功能，和具体的无线接入技术无关。后者是提供具体和某个无线接入技术相关的配置管理功能。这么说吧，前者规定了各个阶段需要干什么事，后者就是具体到在各种接入方式下应该怎么完成这些事。 CAPWAP协议在2009年4月的RFC5415中发布，无线BINGDING协议目前只出台了接入方式为802.11的RFC，也是2009年4月发布的，RFC编号为5416。 PS：漂移一下，顺带提一下

5、802.11、802.15、802.16、802.20等无线接入方式的区别。*目前，IEEE802旗下的无线网络协议一共有802.11、802.15、802.16和802.20等四大种类，这四大类协议中又包含各种不同性能的子协议，显得很混乱的样子IEEE802.11体系定义的是无线局域网标准（WLAN，Wireless Local Area Network），针对家庭和企业中的局域网而设计，应用范围一般局限在一个建筑物或一个小建筑物群（如学校、小区等）。IEEE802.15定义的其实是无线个人网络（WPAN，Wireless Personal Area Network），主要用于个人电子设备与

6、PC的自动互联，这类设备包括手机、MP3播放器、便携媒体播放器、数码相机、掌上电脑等等。IEEE802.16是一种广带无线接入技术（Broadband Wireless Access，BWA），主要用于远距离、高速度的通讯环境，定义的是城域网络（MAN，Metropolitan Area Network），性能可媲美Cable电缆、DSL、T1专线等传统的有线技术。IEEE802.16包含802.16和802.16a两项子协议，前者的作用距离为2公里，传输速率在30Mbps至130Mbps之间，而802.16a的传输距离可达到50公里，速率也能达到75Mbps看得出，在上述各种无线通讯技术中，

7、还没有哪项技术可以在有效范围和性能标准上都盖过IEEE802.16a。IEEE802.20与802.16在特性上有些类似，都具有传输距离远、速度快的特点。不过802.20是一项移动广带接入技术（Mobile Broadband Wireless Access，MBWR），他更侧重于设备的可移动性，例如在高速行驶的火车、汽车上都能实现数据通讯（802.16无法做到这一点）。* CAPWAP协议的主要功能：AP自动发现AC，AC对AP进行安全认证，AP从AC获取软件映像，AP从AC获得初始和动态配置等。此外，系统可以支持本地数据转发和集中数据转发。瘦AP架构让AC具有了对整个WLAN网络的完整视图

8、，为无线漫游、无线资源管理等业务功能的实现提供了基础。2.2 一些名词 无线控制器（AC）：网络实体，在网络架构的数据层，控制层，管理层或者联合起来提供WTP到网络的访问服务。 CAPWAP控制信道：一个双向信道，由AC的IP地址，WTP的IP地址，AC控制端口，WTP控制端口，传输层协议（UDP或者UDP-Lite）定义，在这之上可以收发CAPWAP的控制报文。 CAPWAP数据信道：一个双向信道，由AC的IP地址，WTP的IP地址，AC数据端口，WTP数据端口，传输层协议（UDP或者UDP-Lite）定义，在这之上可以收发CAPWAP的数据报文。 STATION：一个包含无线接口的设备 无

9、线终端WTP：物理或者网络实体，包含一个射频天线和无线物理层可以传输和接收 STA在无线存取网络的数据。2.3 CAPWAP的模式 CAPWAP协议支持两种模式的操作：Split MAC和Local MAC。 Split MAC：在split MAC模式下，所有二层的无线数据和管理帧都会被CAPWAP协议封装，然后在AC和WTP之间交换。 如下图中所示，从一个Station收到的无线帧，会被直接封装，然后转发给AC。Local MAC：本地转发模式允许数据帧可以用本地桥或者使用802.3的帧形式用隧道转发。在这种情况下，二层无线管理帧在WTP本地已经处理，然后转发给AC。下图显示了本地转发模式

10、，Station传送的无线帧被封装成802.3数据帧，然后转发给AC。2.4 CAPWAP的负载类型CAPWAP协议传输层运输两种类型的负载： 数据消息 封装转发无线帧 控制消息 管理WTP和AC之间交换的管理消息 CAPWAP数据和控制报文基于不同的UDP端口发送，且可以被分段，因此数据和控制报文可以超过MTU长度。2.5 CAPWAP会话创建过程CAPWAP协议从发现阶段开始。WTPs发送一个发现请求消息，任何接收到这个请求的AC将会回应一个发现响应报文。接收到发现响应报文，WTP选择一个AC来建立一个 基于DTLS的安全会话。为了建立DTLS安全连接，WTP将需要一个预先提供的数据，将在

11、后面说明。CAPWAP协议报文将会被分段成网络支持的最大长度。一旦WTP和AC完成了DTLS会话建立，两者之间会交换配置，来在版本信息上达成一致。在这个交换过程之间，WTP可能会接收到规定设置，然后会开启这些设置。当WTP和AC之间完成版本和设置的交换，并且WTP已经开启，CAPWAP协议将被使用来封装AC和WTP之间发送的无线数据帧。如果用户数据或者协议控制数据长度超过 WTP和AC之间的MTU会导致CAPWAP协议将L2层帧分片。被分片的CAPWAP报文将会被重新组成原来的封装报文。2.5.1 AC发现机制WTP使用AC发现机制来得知哪些AC是可用的，决定最佳的AC来建立CAPWAP连接。

12、WTP的发现过程是可选的。如果在WTP上静态配置了AC，那么WTP并不需要完成AC的发现过程。WTP首先发送一个 Discovery Request message给受限的广播地址，或者CAPWAP的多播地址（224.0.1.140），或者是预配置的AC的单播地址。在IPV6网络中，由于广播并不存在，因此使用All ACs multicast address （FF0X:0: 0:18C）来代替。当接收到Discovery Request message消息，AC发送一个单播Discovery Response message给WTP。WTP可以通过Discovery Response mes

13、sage中所带的AC优先级，支持的CAPWAP binding来选择与哪个AC建立会话。除了上面的发现机制，WTP还可以使用DNS或者DHCP来发现AC。2.5.2 DTLS握手WTP首先发送一个ClientHello消息来发起握手，说明它支持的密码算法列表、压缩方法及最高协议版本和其他一些需要的消息。AC回复一个HelloVerifyReuqest 消息，client必须重传添加了cookie的ClientHello。server然后验证cookie，如果有效的话才开始进行握手。AC回应一个ServerHello消息，包含服务器选择的连接参数，源自客户端初期所提供的ClientHello，确

14、定了这次通信所需要的算法，然后发过去自己的证书（里面包含了身份和自己的公钥）。Client在收到这个消息后会生成一个秘密消息，用SSL服务器的公钥加密后传过去，SSL服务器端用自己的私钥解密后，会话密钥协商成功，双方可以用同一份会话密钥来通信了。2.5.3 DTLS认证和授权 DTLS支持终端认证方式为：证书（certificate）和预共享密钥（pre-shared key）。 CAPWAP认证中使用证书支持的算法是 TLS_RSA_WITH_AES_128_CBC_SHA RFC5246（MUST SUPPORT） TLS_DHE_RSA_WITH_AES_128_CBC_SHA RFC5

15、246（SHOULD SUPPORT） TLS_RSA_WITH_AES_256_CBC_SHA RFC5246（MAY SUPPORT） TLS_DHE_RSA_WITH_AES_256_CBC_SHA RFC5246 （MAY SUPPORT） 在RFC4279中定义了多种预共享密钥的认证方式，CAPWAP中主要关心下面两种： Pre-Shared Key （PSK） key exchange algorithm DHE_PSK key exchange algorithm同样，CAPWAP定义了预共享密钥支持的算法 TLS_PSK_WITH_AES_128_CBC_SHA RFC5246

16、 （MUST SUPPORT） TLS_DHE_PSK_WITH_AES_128_CBC_SHA RFC5246 （MUST SUPPORT） TLS_PSK_WITH_AES_256_CBC_SHA RFC5246 （MAY SUPPORT） TLS_DHE_PSK_WITH_AES_256_CBC_SHA RFC5246 （MAY SUPPORT）2.5.4 CAPWAP状态机CAPWAP状态机，是被AC和WTP同时使用的。对于每个定义的状态，只有特定的消息才被允许收发。因为WTP只会和单个AC通讯，因此只会有一个CAPWAP的状态机。而AC与WTP有很大差别，因为AC同时和许多WTP通讯

17、。DTLS和CAPWAP的状态机由命令和通告的API接口联系起来。DTLS状态机的变迁由CAPWAP状态机的命令触发。CAPWAP状态机的变迁由DTLS状态机的通告触发 CAPWAP状态机：2.5.4.1 CAPWAP to DTLS Commands DTLSStart 开启DTLS会话的建立 DTLSListen 监听DTLS会话请求 DTLSAccept 允许DTLS会话建立 DTLSAbortSession 导致正在进行中的DTLS会话的中断 DTLSShutdown 关闭DTLS会话 DTLSMtuUpdate 改变DTLS模块的MTU设定大小。默认大小为1468字节 2.5.4.2

18、 DTLS to CAPWAP Notifications DTLSPeerAuthorize DTLS会话建立过程中，通知CAPWAP模块来认证会话。 DTLSEstablished 通知CAPWAP模块DTLS会话已经成功建立 DTLSEstablishFail DTLS会话建立失败 DTLSAuthenticateFail DTLS会话建立过程由于认证失败而终止。 DTLSAborted 通知CAPWAP模块它要求的DTLS会话建立过程已经终 DTLSReassemblyFailure 通知CAPWAP模块DTLS分片组装失败 DTLSDecapFailure 通知CAPWAP模块发生了

19、一个解码错误 DTLSPeerDisconnect 通知CAPWAP模块DTLS会话已经关闭 2.5.5 AC线程AC使用了三个“线程”（thread）的概念。 监听线程：通过DTLSlisten命令，AC监听线程处理DTLS会话建立请求。创建的时候,监听线程开启DTLS Setup状态。当状态机进入Authorize状态，且DTLS会话生效之后，监听线程创建一个指定的WTP指定会话服务线程和状态空间。 发现线程：AC的发现线程负责接收和响应发现请求消息。 服务线程：AC的服务进程处理每个WTP的状态和每个WTP连接的线程。这个线程在认证后被监听线程创建。一旦创建，服务线程会继承监听线程的一份

20、状态机空间的拷贝。当与WTP之间的通讯完成后，服务线程关闭，所有的资源都会被释放。注意，在这里使用了线程这个术语，但是并不代表实现者就必须使用线程。这只是一个实现AC状态机的可用的方法2.5.6 CAPWAP状态机详解2.5.6.1 Start to Idle这个状态变迁发生在设备初始化完成。 WTP: 开启CAPWAP状态机。 AC:2.5.6.2 Idle to Discovery这个状态变迁发生是为了支持CAPWAP发现进程。 WTP:WTP进入发现状态是为了优先去传输第一个Discovery Request message。在进入这个状态之前，WTP设置发现DiscoveryInter

21、val timer，将DiscoveryCount counter为0.同时清理以前的发现过程中可能会从AC收到的所有信息。 AC：由发现线程执行，且发生在收到一个发现请求报文的时候。此时，AC需要给这个报文响应一个Discovery Response message 。2.5.6.3 Discovery to Discovery在这个发现状态，WTP决定连接哪个AC。 WTP：这个状态变迁发生在发现DiscoveryInterval timer触发的时候。对于这个事件的每次变迁，DiscoveryCount counter会递增。一旦WTP发送了Discovery Request messa

22、ge，WTP重启DiscoveryInterval timer。对于AC来说，这个状态变迁是无效的。2.5.6.4 Discovery to Idle当发现过程完毕的时候，AC的发现线程将会触发这个变迁。对于WTP来说，这个状态变迁是无效的。这个状态变迁由AC发现线程执行，当发现线程传输了一个给Discovery Request回送了一个Discovery Response的时候，就会触发这个过程。2.5.6.5 Discovery to Sulking当WTP发现AC失败的时候会触发这个状态变迁。发生在DiscoveryInterval timer超时的时候。 且此时DiscoveryCou

23、nt变量等于MaxDiscoveries 。在进入这个状态之前，WTP必须开启SilentInterval timer 。当在Sulking状态的时候，所有收到的CAPWAP协议报文都会被忽略。 AC:2.5.6.6 Sulking to Idle这个状态变迁发生在WTP需要重新启动发现过程的时候。当SilentInterval timer触发，WTP进入到这个状态。FailedDTLSSessionCount, DiscoveryCount和FailedDTLSAuthFailCount计数器被清零。对于AC来说，这是一个无效的状态变迁。2.5.6.7 Sulking to Sulkings

24、ulking状态提供安静时段，最小化DOS攻击的危险。在sulking状态收到的所有来自AC得报文都会被忽略。对于AC来说，这是一个无效的状态变迁 2.5.6.8 Idle to DTLS Setup这个状态变迁发生在跟对端建立安全的DTLS会话的时候。WTP通过调用DTLSStart命令来初始化这个状态变迁，开始与选定AC进行DTLS会话，且开启WaitDTLS timer。此时，忽略了发现过程，假设WTP有本地配置的AC。从start状态进入Idle状态，监听线程自动变迁至DTLS Setup状态，调用DTLSListen命令，并且开启WaitDTLS timer。2.5.6.9 Disc

25、overy to DTLS SetupWTP调用DTLSStart命令来初始化这个变迁，开始与指定AC建立DTLS会话。 AC：2.5.6.10 DTLS Setup to Idle当DTLS连接失败的时候发生这个状态变迁。此时WTP接收到DTLSEstablishFail通知，并且FailedDTLSSessionCount或者FailedDTLSAuthFailCount counter 没有达到MaxFailedDTLSSessionRetry值。这个错误通知终止了DTLS会话的建立。当接收到这个通知，FailedDTLSSessionCount计时器会递增。这个状态变迁也会发生在Wai

26、tDTLS timer超时的情况下。2.5.6.11 DTLS Setup to Sulking当重复尝试建立DTLS连接失败的时候，会发生此状态变迁。当FailedDTLSSessionCount或者FailedDTLSAuthFailCount到达最大值MaxFailedDTLSSessionRetry的时候，WTP进入此状态变迁。进入这个状态，WTP必须开启SilentInterval定时器，且所有接收到的CAPWAP和DTLS协议报文将会被忽略。2.5.6.12 DTLS Setup to DTLS Setup当DTLS会话建立失败的时候会发生这个状态变迁。 WTP：对于WTP来说，这是一个无效的状态变迁 当接收到一个来自DTLS的DTLSEstablishFail通知，AC监听线程初始化这个状态变迁。当收到这个通告，FailedDTLSSession Count会递增，监听线程然后调用DTLSListen命令。