课程名称 培训目标 学完本课程后，您应该能： 区分AP技术 描述CAPWAP隧道协议 华为技术有限公司 版权所有 未经许可不得扩散.

Presentation on theme: "课程名称 培训目标 学完本课程后，您应该能： 区分AP技术 描述CAPWAP隧道协议 华为技术有限公司 版权所有 未经许可不得扩散."— Presentation transcript:

0 课程名称 CAPWAP基础原理 华为技术有限公司 版权所有 未经许可不得扩散

1 课程名称 培训目标 学完本课程后，您应该能： 区分AP技术 描述CAPWAP隧道协议 华为技术有限公司 版权所有 未经许可不得扩散

2 课程名称 目 录 AP技术介绍 CAPWAP隧道介绍 华为技术有限公司 版权所有 未经许可不得扩散

3 = AP介绍 无线局域网络的架构主要分为: 随着近几年WLAN技术以及市场的发展，瘦AP正在迅速替代胖AP模式。
课程名称 无线局域网络的架构主要分为: 基于控制器的AP架构（瘦AP，Fit AP） 传统的独立AP架构（胖AP，Fat AP） 随着近几年WLAN技术以及市场的发展，瘦AP正在迅速替代胖AP模式。 = 华为技术有限公司 版权所有 未经许可不得扩散

4 胖AP介绍 课程名称 胖AP，除无线接入功能外，一般具备WAN、LAN两个接口，多支持DHCP服务器、DNS和MAC地址克隆，以及VPN接入、防火墙等安全功能。 IP网络 网管，二层漫游，安全 802.1X认证，802.e QoS 许多年来，传统的接入点被视为独立的WLAN门户设备，管理平面、控制平面以及数据 平面的工作都在此操作，这些AP通常被称为胖AP或者独立AP。不过。传统接入点最常 见的行业术语是自治型AP（autonomous AP）。 所有配置存储于自治型接入点本身，因此设备的管理和配置均由接入点处理。所有加密 解密和MAC层功能也由自治型接入点完成。 胖AP典型的例子为无线路由器。无线路由器与纯AP不同，除无线接入功能外，一般具 备WAN、LAN两个接口，多支持DHCP服务器、DNS和MAC地址克隆，以及VPN接入、 防火墙等安全功能。 胖AP 加密 802.11a/b/g/n 天线 华为技术有限公司 版权所有 未经许可不得扩散

5 瘦AP介绍 瘦AP是“代表自身不能单独配置或者使用的无线AP产品，这种产品仅仅是一个WLAN系统的一部分，负责管理安装和操作”。 IP网络
课程名称 瘦AP是“代表自身不能单独配置或者使用的无线AP产品，这种产品仅仅是一个WLAN系统的一部分，负责管理安装和操作”。 IP网络 网管，二层漫游，安全 802.1X认证，802.e QoS AC + 无线局域网一体化发展的下一阶段是集中式WLAN架构。这种模式使用位于网络核心的 WLAN控制器，在集中式的无线局域网体系结构中，基于控制器的接入点，也称为轻量 型AP（或者瘦AP）。 对于可运营的WLAN，从组网的角度，为了实现WLAN网络的快速部署、网络设备的集 中管理、精细化的用户管理，相比胖AP（自治性AP）方式，企业用户以及运营商更倾 向于采用集中控制性WLAN组网（瘦AP+AC），从而实现WLAN系统、设备的可运维、 可管理。 AC和瘦AP之间运行的协议一般为CAPWAP协议。 加密 瘦AP 802.11a/b/g/n 天线 华为技术有限公司 版权所有 未经许可不得扩散

6 胖AP与瘦AP比较 AC+瘦AP 胖AP 投资 AP成本较低，易管理； AC成本高 。 AP成本较高，但是无AC投入。 WLAN组网
课程名称 AC+瘦AP 胖AP 投资 AP成本较低，易管理； AC成本高 。 AP成本较高，但是无AC投入。 WLAN组网 AP不能单独工作，需要由AC集中代理维护管理； AP本身零配置，适合大规模组网; 存在多厂商兼容性问题，AC和AP间为私有协议，必须为同厂家设备； 每个AC管理AP容量较少。 需要对AP下发配置文件; 有网管情况下可以支持大规模网络部署和海量规模用户管理; 不存在兼容性问题：基于AP和网管系统之间采用标准的IP层协议互通； 网管可以实现海量AP统一集中管理和维护，并实现与现有宽带网络融合管理； 业务能力 二层、三层漫游； 可扩展语音等丰富业务； 可以通过AC增强业务QoS、安全等功能。 二层漫游； 实现简单数据接入。 华为技术有限公司 版权所有 未经许可不得扩散

7 课程名称 目 录 AP技术介绍 CAPWAP隧道介绍 华为技术有限公司 版权所有 未经许可不得扩散

8 CAPWAP背景 课程名称 传统的WLAN体系结构已无法满足大规模组网需求，因此，IETF成立了CAPWAP（Control And Provisioning of Wireless Access Points）工作组，研究大规模WLAN的解决方案。以实现各个厂家控制器与AP间的互通。 Control And Provisioning of Wireless Access Points ：无线接入点控制和配置协议 华为技术有限公司 版权所有 未经许可不得扩散

9 CAPWAP工作组参考了4个不同的协议 协议名称 LWAPP SLAPP CTP WiCoP 标准 协议全称 提出厂家 协议特点 加密情况
课程名称 协议名称 LWAPP SLAPP CTP WiCoP 标准 RFC5412 RFC5413 draft-singh-capwap-ctp RFC5414 协议全称 Light Weight Access Point Protocol Secure Light Access Point Protocol CAPWAP Tunneling Protocol Wireless LAN Control Protocol 提出厂家 Cisco - AirSpace Aruba Siemens - Chantry Panasonic 协议特点 全面的描述了AC发现、安全和系统管理方法，支持本地MAC和分离MAC机制。两者连接采用2层或3层连接，2层连接使用以太网帧传输，3层连接使用UDP传输LWAPP报文 支持桥接和隧道两种本地MAC机制。支持直连、2层和3层三种连接方式。使用成熟的技术标准来建立通信隧道，数据信道使用GRE技术 利用扩展的SNMP对WTP进行配置和管理。CTP的控制消息着重于STA连接状态、WTP配置和状态几方面 定义了包括无线终端-AC性能协商功能在内的AC发现机制，定义了QoS参数 加密情况 信令 – AES-CCM 数据 – 没有加密 信令 – DTLS 数据 – DTLS 建立了AP与无线终端互相认证及一套基于AES-CCM的加密规则，但是并不完善 协议建议使用IPsec和EAP安全标准，却并未详细说明实现方法 华为技术有限公司 版权所有 未经许可不得扩散

10 CAPWAP的起源 LWAPP SLAPP CAPWAP CTP WiCoP
课程名称 LWAPP LWAPP具有完整的协议框 架，定义了详细的报文结 构及多方面的控制消息元 素，但全新制定的安全机 制还需实践验证。 SLAPP CTP WiCoP SLAPP使用业界认可的 DTLS技术是其亮点。 CTP和WiCoP实现了 集中式WLAN体系结构 的基本要求，但考虑 不够全面，特别是安 全性方面有所欠缺。 LWAPP具有完整的协议框架，定义了详细的报文结构及多方面的控制消息元素，但全 新制定的安全机制还需实践验证，而SLAPP使用业界认可的DTLS技术是其亮点。相对 前两者而言，CTP和WiCoP实现了集中式WLAN体系结构的基本要求，但考虑不够全面， 特别是安全性方面有所欠缺。 CAPWAP工作组对以上四种通信协议进行评测后，最终采用LWAPP协议作为基础进行 扩展，使用DTLS安全技术，加入其他三种协议的有用特性，制定了CAPWAP协议。 CAPWAP 华为技术有限公司 版权所有 未经许可不得扩散

11 CAPWAP介绍 课程名称 CAPWAP（无线接入点控制和配置协议），用于无线终端接入点（AP）和无线网络控制器（AC）之间的通信交互，实现AC对其所关联的AP的集中管理和控制。 该协议包含的主要内容有： AP对AC的自动发现及AP&AC的状态机运行、维护 AC对AP进行管理、业务配置下发 STA数据封装CAPWAP隧道进行转发 华为技术有限公司 版权所有 未经许可不得扩散

12 WLAN转发模型 数据报文本地转发 数据报文集中转发 本地转发模式 集中转发模式
也称直接转发。AC只对AP进行管理，业务数据都是由本地直接转发。 数据报文集中转发 也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量的转发中枢。 数据报文本地转发 AC只对AP进行管理，业务数据都是由本地直接转发。即AP管理流封装在 CAPWAP隧道中，到达AC终止；AP业务流不加CAPWAP封装，而直接由AP发 送到交换设备进行直接转发。 数据报文集中转发 也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发，AC不但进 行对AP管理，还作为AP流量的转发中枢。即AP管理流与数据流都封装在 CAPWAP隧道中到达AC。 管理流 数据流 CAPWAP隧道

13 CAPWAP基本报文格式 报文类型 用于 UDP端口 加密 加密增加了额外的消耗 控制报文 数据报文 控制报文 管理AP 5246
课程名称 报文类型 用于 UDP端口 加密 控制报文 管理AP 5246 大部分是密文 数据报文 转发用户数据 5247 大部分是明文 IP header UDP CAPWAP Control Message element 加密增加了额外的消耗 控制报文 IP header UDP CAPWAP DTLS header DTLS Header Control Message element tail CAPWAP是基于UDP端口的应用层协议。 CAPWAP协议传输层运输两种类型的负载： 数据消息，封装转发无线帧 。 控制消息，管理AP和AC之间交换的管理消息 。 CAPWAP数据和控制报文基于不同的UDP端口发送： 控制报文端口为UDP端口5246。 数据报文端口为UDP端口5247。 IP header UDP CAPWAP Header Ethernet Packet 数据报文 IP header UDP CAPWAP DTLS header Ethernet packet DTLS tail 华为技术有限公司 版权所有 未经许可不得扩散

14 瘦AP发现AC 瘦AP发现AC的流程： 有 无 开始 是否有预配置静态AC的IP列表 启动AP动态发现AC机制 AP与指定IP的AC连接
课程名称 瘦AP发现AC的流程： 开始 是否有预配置静态AC的IP列表 结束 AP与指定IP的AC连接 启动AP动态发现AC机制 AP成功关联AC 有 无 AP上电后，当存在预配置的AC IP列表时，则AP直接启动预配置静态发现流程并与指 定的AC连接。 如果未配置AC IP列表，则启动AP动态发现AC机制，执行DHCP/DNS/广播发现流程后 与AC连接。 华为技术有限公司 版权所有 未经许可不得扩散

15 瘦AP发现AC 瘦AP动态发现AC的过程： DHCP server DNS server AP AC
课程名称 瘦AP动态发现AC的过程： DHCP server DNS server AP AC 获取IP地址、DNS server、域名 AC发现请求 长时间无响应 获取AC地址 AC发现请求 1、AP启动以后会通过DHCP获取IP地址、DNS server、域名。 2、AP发出L2广播的发现请求报文试图联系一个AC。 3、如果长时间（30秒）没有响应,AP会启动L3发现。AP会从DHCP Server通过 Option43获得AC的IP，或者通过Option15获得AC的域名，AP向该IP地址（域名）发 送发现请求。 4、接收到发现请求报文的AC会检查该AP是否有接入本机的权限，如果有则回应发现 响应。 5、AC和AP间建立CAPWAP隧道。 AC响应请求 CAPWAP隧道建立 华为技术有限公司 版权所有 未经许可不得扩散

16 现网例外情况解决建议 现网DHCP server既不支持Option43，也不支持Option15， 则采取以下几种措施：
课程名称 现网DHCP server既不支持Option43，也不支持Option15， 则采取以下几种措施： AC与AP采用二层组网，启用CAPWAP广播发现 AC与AP仍用三层组网 推荐使用AC自带DHCP server给AP分IP AP管理流与STA业务流分不同vlan 增加部署一台支持option43的DHCP server 单独为AP建立一个新的DHCP server 华为技术有限公司 版权所有 未经许可不得扩散

17 CAPWAP隧道建立 课程名称 总体视图： 华为技术有限公司 版权所有 未经许可不得扩散

18 CAPWAP隧道建立-DHCP DHCP的四步交互： AC discovery offer DHCP request ack
课程名称 DHCP的四步交互： DHCP Server AC AP discovery offer DHCP request ack DHCP的四步交互： 在没有预配置AC IP列表时，则启动AP动态AC发现机制。通过DHCP获取IP地 址，并通过DHCP协议中的option返回AC地址列表。 首先是AP发送discover广播报文，请求DHCP server响应，在DHCP服务器侦听 到discover报文后，它会从没有租约的地址范围中，选择最前面的空置IP，连同 其他TCP/IP设定，响应AP一个DHCP offer报文，该报文中会包含一个租约期限 的信息。 由于DHCP offer报文既可以是单播报文，也可以是广播报文，当AP端收到多台 DHCP Server的响应时，只会挑选其中一个offer(通常是最先抵达的那个)，然后 向网络中发送一个DHCP request广播报文，告诉所有的offer，并重新发送 DHCP，DHCP server它将指定接收哪一台服务器提供的IP地址，同时，AP也 会向网络发送一个ARP封包，查询网络上面有没有其他机器使用该IP地址，如 果发现该IP已被占用，AP会发送出一个DHCP Decline封包给DHCP服务器，拒 绝接收其DHCP discover 报文。 当DHCP Server接收到AP的request报文之后，会向AP发送一个DHCP Ack响 应，该报文中携带的信息包括了AP的IP地址，租约期限，网关信息，以及DNS server IP等，以此确定租约的正式生效，就此完成DHCP的四步交互工作。 华为技术有限公司 版权所有 未经许可不得扩散

19 CAPWAP隧道建立-Discovery
课程名称 AC发现机制： DHCP Server AC AP Discovery request Discovery response AC发现机制： AP使用AC发现机制来获知哪些AC是可用的，决定与最佳AC来建立CAPWAP 的连接。（当然，AP的发现过程是可选的，如果在AP上已经静态配置了AC， 那么就不需要完成AC的发现过程。） AP启动CAPWAP协议的发现机制，以单播或广播的形式发送发现请求报文试图 关联AC，AC收到AP的discovery request以后，会发送一个单播discover response 给AP，AP可以通过discover response中所带的AC优先级或者AC上 当前AP的个数等，确定与哪个AC建立会话。 Discovery Discovery 华为技术有限公司 版权所有 未经许可不得扩散

20 CAPWAP隧道建立-DTLS（可选） DTLS握手 AC DTLS DTLS DHCP Server AP
课程名称 DTLS握手 DHCP Server AC AP DTLS DTLS DTLS握手： AP根据此IP地址与AC协商，AP接收到响应消息后开始与AC建立CAPWAP隧道， 这个阶段可以选择CAPWAP隧道是否采用DTLS加密传输UDP报文。 DTLS: Datagram Transport Layer Security（数据报传输层安全协议） 华为技术有限公司 版权所有 未经许可不得扩散

21 CAPWAP隧道建立-join Join AC Join request join join Join response
课程名称 Join DHCP Server AC AP Join request join join Join response Join： 在完成DTLS握手后，AC与AP开始建立控制通道，在建立控制的交互过程中， AC回应的Join response报文中会携带用户配置的升级版本号，握手报文间隔/ 超时时间，控制报文优先级等信息。AC会检查AP的当前版本，如果AP的版本 无法与AC要求的相匹配时，AP和AC会进入Image Data状态做固件升级，以此 来更新AP的版本，如果AP的版本符合要求，则进入configuration状态。 Page 21 华为技术有限公司 版权所有 未经许可不得扩散

22 CAPWAP隧道建立-image data（可选）
课程名称 Image data DHCP Server AC AP image data request image data image data image data response image data： AP根据协商参数判断当前版本是否是最新版本，如果不是最新版本，则AP将在 CAPWAP隧道上开始更新软件版本。 AP在软件版本更新完成后重新启动，重复进行AC发现、建立CAPWAP隧道、 加入过程。 Page 22 华为技术有限公司 版权所有 未经许可不得扩散

23 CAPWAP隧道建立-configure
课程名称 Configure DHCP Server AC AP configuration status request configure configure configuration status response Configuration： 进入Configuration状态后是为了做AP的现有配置和AC设定配置的匹配检查， AP发送configuration request到AC，该信息中包含了现有AP的配置，当AP的当 前配置与AC要求不符合时，AC会通过configuration response通知AP。 Page 23 华为技术有限公司 版权所有 未经许可不得扩散

24 CAPWAP隧道建立-data check
课程名称 Data Check DHCP Server AC AP change state event request data check data check change state event response Data Check ： 当完成configuration后，AP发送change state event request信息，其中包含了 radio，result，code等信息，当AC接收到change state event request后，开始 回应change state event response 。 至此完成data check 后，已经完成管理隧道建立的过程，开始进入run状态。 华为技术有限公司 版权所有 未经许可不得扩散

25 CAPWAP隧道维护-run（data）
课程名称 Run（数据） DHCP Server AC AP keepalive run run keepalive Run： AP发送keepalive到AC，AC收到keepalive后表示数据隧道建立，AC回应 keepalive，AP进入“normal”状态，开始正常工作。 华为技术有限公司 版权所有 未经许可不得扩散

26 CAPWAP隧道维护-run（control）
课程名称 Run（控制） AC AP echo request run run echo response 管理隧道维护： AP进入run状态后，同时发送echo request报文给AC，宣布建立好CAPWAP管 理隧道并启动echo发送定时器和隧道检测超时定时器以检测管理隧道时候异常。 当AC收到echo request报文后，同样进入run状态，并回应echo response报文 给AP，启动隧道超时定时器。 到AP收到echo response报文后，会重设检验隧道超时的定时器。 Page 26 华为技术有限公司 版权所有 未经许可不得扩散

27 CAPWAP数据隧道工作原理 AP VLAN 11 AP region 101 SSID : Huawei101 AP VLAN 12
Radius 服务器 网关 接入交换机 DHCP 服务器 核心交换机 AP VLAN 11 AP region 101 SSID : Huawei101 AP VLAN 12 AP region102 SSID:Huawei102 Dot1Q VLANs 100,101,102 路由器 AC CORE Switch IP: VLAN 11 : VLAN 12: VLAN 100: VLAN 101: VLAN 102: AC WLAN source ip: AC VLAN 101 IP : AC VLAN 102 IP : 如图所示：左边的两个AP属于region 101，设备VLAN为VLAN11，释放的SSID为 Huawei101，绑定的业务VLAN为VLAN101，无线终端获取的IP地址为： ， 右边的两个AP属于region102设备VLAN为VLAN12，释放的SSID为Huawei102，绑定 的业务VLAN为VLAN102，无线终端获取的IP地址为： ，AC管理所有AP的 VLAN为VLAN100。 设备VLAN、管理VLAN以及业务VLAN所有的网关都在核心交换机上，AC的source IP 为 ，为了保证正常通信，AC上也会为每个业务新增vlanif端口。 AC跟核心交换机相连的接口配置为trunk，放行管理VLAN 100，业务VLAN101和 VLAN102。此时AC是作为二层设备，数据采用隧道转发模式。 PC1 VLAN 101 IP : GW: PC1 VLAN 102 IP GW:

28 CAPWAP数据流-DHCP请求 无线数据 SIP=0.0.0.0 DIP=255.255.255.255 DHCP Request
Radius 服务器 网关 接入交换机 DHCP 服务器 核心交换机 AP VLAN 11 AP region 101 SSID : Huawei101 AP VLAN 12 AP region102 SSID:Huawei102 Dot1Q VLANs 100,101,102 路由器 AC 无线数据 SIP= DIP= DHCP Request 以上是关于拓扑图的详细描述，接下来我们看一下这种部署方式下数据流是如何来传输 的。以DHCP数据包为例：无线终端连接上无线网络后，无线终端会发送一个DHCP Request，这个报文的内容为，源IP为： ，因为此时还没有IP地址，目标地址为 ，属于广播报文。 发送DHCP请求

29 CAPWAP数据流-DHCP请求（续） AP VLAN 11 AP region 101 SSID : Huawei101
Radius 服务器 网关 接入交换机 DHCP 服务器 核心交换机 AP VLAN 11 AP region 101 SSID : Huawei101 AP VLAN 12 AP region102 SSID:Huawei102 Dot1Q VLANs 100,101,102 Router AC CAPWAP隧道上的数据 SIP= (AP1) DIP= (AC) UDP Port = 5247 CAPWAP data header DHCP Packet 802.1Q VLAN =101 SIP= DIP= DHCP Request 数据报文到了AP以后，AP会将报文封装为CAPWAP报文中，封装好的报文源IP地址为 ，此IP为AP的IP地址，目标地址为： ，为AC的IP地址，因为 是CAPWAP数据报文，UDP端口为5247。

30 AC剥掉报文CAPWAP头部，将DHCP请求报文转发给DHCP服务器
Radius 服务器 CAPWAP 隧道 网关 接入交换机 DHCP 服务器 接入交换机 DHCP 请求 AP VLAN 11 AP region 101 SSID : Huawei101 AP VLAN 12 AP region102 SSID:Huawei102 Dot1Q VLANs 100,101,102 路由器 AC AC剥掉报文CAPWAP头部，将DHCP请求报文转发给DHCP服务器 AC内报文 802.1Q VLAN =101 SIP= DIP= DHCP Request AC接收到AP发送过来的报文后，将此报文解封装，AC得到终端发送的原始数据，为 DHCP请求报文，因为网络中使用的是专门的DHCP Server，所以AC会把这个请求报 文发送给DHCP服务器。

31 CAPWAP数据流-Offer AP VLAN 11 AP region 101 SSID : Huawei101 AP VLAN 12
Radius server CAPWAP 隧道 网关 接入交换机 DHCP Server 核心交换机 AP VLAN 11 AP region 101 SSID : Huawei101 AP VLAN 12 AP region102 SSID:Huawei102 DHCP Offer Dot1Q VLANs 100,101,102 Router DHCP Offer AC CAPWAP + DHCP Offer DHCP Offer IP地址 = 掩码= 网关= DNS = DHCP服务器收到DHCP请求报文后，会发送一个DHCP offer报文给AC，DHCP offer 报文中携带有IP 地址，掩码，网关以及DNS的地址。AC将这个offer数据封装到 CAPWAP隧道中发送给AP，AP收到后解除封转，然后将offer报文发送给终端。最终终 端得到了DHCP server请求的IP地址。 PC接收到DHCP Offer

32 问 题 瘦AP发现AC的方式有哪些？ CAPWAP隧道是如何建立起来的？ 华为技术有限公司 版权所有 未经许可不得扩散
课程名称 问 题 瘦AP发现AC的方式有哪些？ CAPWAP隧道是如何建立起来的？ 瘦AP发现AC的方式有哪些？ AP自动发现AC分为静态发现与动态发现。动态发现有DHCP动态发现与DNS动 态发现。 CAPWAP隧道是如何建立起来的？ CAPWAP隧道建立过程有： Discovery阶段 DTLS协商阶段（可选） Join阶段 Image data阶段（可选） configure Data check阶段 Run（Data）阶段 Run（Control）阶段 华为技术有限公司 版权所有 未经许可不得扩散

33 课程名称 总 结 胖AP技术 瘦AP技术 CAPWAP隧道的建立过程 华为技术有限公司 版权所有 未经许可不得扩散

34 华为技术有限公司 版权所有 未经许可不得扩散
课程名称 华为技术有限公司 版权所有 未经许可不得扩散