CAPWAP白皮书一、CAPWAP 简介:CAPWAP 协议目前仍属于 IETF-RFC 草案,全称:Control And Provisioning of Wireless Access Point Protocol (无线接入点控制与配置协议),该协议用于无线终端接入点(WTP)和无线 网络控制器(AC)之间的通信交互,实现了对于AC关联的所有WTP的控制管理和数据转 发目前, CAPWAP 通信数据类型总体上可以分为两类:• CAPWAP控制隧道中传输的CAPWAP控制报文• CAPWAP数据隧道中传输的CAPWAP数据报文目前CAPWAP功能的实现都是基于3层网络传输模式下,即所有的CAPWAP报文都被封 装成UDP报文格式在IP网路中传输,而CAPWAP隧道就是由AC的接口 IP地址和WTP 的 IP 地址来维护的注:此文档对CAPWAP的讨论基于CAPWAP-IETF Draft 10二、 CAPWAP 隧道建立本文档将详细介绍CAPWAP控制隧道和数据隧道的建立过程,以及CAPWAP控制报文和 数据报文帧格式图一、CAPWAP隧道建立框架图L.Ethenet厂— 10,39.35.40^20.200.20.36 _--・ACJ92.168.1.17Control channelData channelSTA: 192.168.20.88 —其中 WTP 和 AC 处在不同网段:AC 接口 IP : 192.168.1.17WTP1 IP : 192.169.10.12WTP2 IP : 220.200.20.36WTP3 IP : 10.39.35.40STA IP : 192.168.20.88AC 与 WTPs 之间建立起两条通信隧道用于数据处理和转发,下面分别介绍两条 CAPWAP 隧道三、CAPWAP状态机图二、 CAPWAP 状态机流程图 kbd m■DTLS setup 1 A0-图二从整体上演示了 CAPWAP建立控制隧道和数据隧道的整体流程:DiscoveryTJoinT(Image Data) Configuration Data check—Run其中AC与WTP在Join状态建立控制隧道,在Data check状态建立数据隧道 下面通过控制隧道建立进一步描述CAPWAP状态机的切换四、 CAPWAP 控制隧道图三、 CAPWAP 控制报文帧结构(1)Capwap Control Packet (Discovery Request/Response)IP HeaderUDP HeaderCapwap HeaderControlHeaderMessage Element(s)2)Capwap Control Packet (DTLS Security Required)IPHeaderUDPHeader0 實 DTLSHeaderCapwapHeaderControl HeaderMessageElement(s)Authe nticatedencrypted图三(1)为CAPWAP控制报文的Discovery帧结构,由于它完成的是查找现有AC的过程, 此时控制隧道还未建立,所以它是所有控制报文中唯一非加密数据报文图三(2)为CAPWAP控制报文帧格式,由于控制隧道是DTLS链接,所以所有CAPWAP 控制报文都会被封装在DTLS中,保证控制隧道的安全,其中Control Header用来描述该报 文的作用,Message Element则是实现控制配置目的的参数图四、CAPWAP控制隧道建立交互流程图1 、 Discovery 状态该状态是一个WTP发现可关联AC的过程,在前期WTP可以通过1)读取静态配置文件中 AC IP列表2)通过DNS域名解析3) DHCP返回AC IP列表4)广播等方式发送Discovery request,查找当前可关联的 AC,当 AC 收到 Discovery request,会发送 Discovery response 作为响应。
2、Join状态该状态是AC与WTP建立控制通道的交互过程,并在此交互过程中,AC检查WTP当前版 本,如果WTP的版本无法与AC要求的相匹配,WTP和AC会进入Image Data状态做固件 升级,来更新WTP版本;如果WTP版本符合要求,则进入configuration状态3、 Image Data 状态Image Data状态是AC对WTP升级的过程,以便WTP的版本可正常关联AC4、 Configuration 状态该状态用于做WTP的现有配置和AC设定配置的匹配检查,WTP发送configuration request 到AC,里面包含现有WTP配置,当WTP当前配置与AC要求不符实,AC会通过configuration response 通知 WTP, WTP 根据 response 内容对自身配置做重新设置5、 Run 状态当WTP进入Run状态,说明WTP与AC的控制和数据通道建立已成功,用户可根据需要, 对指定的WTP做配置设置,如创建WLAN、Channel设置、Txpower设置等等,并可实时 监控 WTP 的运行状态五、 CAPWAP 数据隧道图五、 CAPWAP 数据帧格式(1)Capwap Plain Text Data PacketIP HeaderUDP HeaderCapwap HeaderWireless PavloadIPHeaderUDPHeaderCapwap nT| qCapwap HeaderWireles Payload'3"'Authenticatedencrypted图五(1)为非加密的 CAPWAP 数据报文格式,由于它是非加密的,所以这种数据报文只能应用在wireless payload内的无线帧已做过安全加密的基础之上,如(WEP、802.1X、WPA 等等)具体内容请参看WLAN身份验证和数据加密白皮书。
图五(2)为加密CAPWAP数据报文帧格式,由于这种数据隧道是建立在DTLS基础之上的, 所以安全性和保密性更高通过CAPWAP数据隧道,上网用户的无线数据在WTP中被封装在CAPWAP数据报文里提 交 AC, AC 负责实现用户的数据转发综述:AC通过使用CAPWAP协议与WTP建立控制、数据隧道,可以有效解决公司、企业、工厂、 学校、医院等的复杂环境下网络难于管理和布置,上网安全性低,对周边网络环境影响抵抗 差,预防网络攻击能力不足,接入用户统计管理难等等一系列问题,是当前大中小型企业以 及复杂环境下提供上网服务的完美解决方案。