锐捷无线CAPWAP隧道技术原理

最新推荐文章于 2023-10-13 11:10:10 发布
最新推荐文章于 2023-10-13 11:10:10 发布
阅读量3.1k 收藏 19
点赞数 1
分类专栏: 锐捷无线 文章标签: 网络 网络传输 wlan 网络通信 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Daer_zeng/article/details/127108227
版权

锐捷无线CAPWAP隧道技术原理

CAPWAP简介

CAPWAP(Control And Provisioning of Wireless Access Points 无线接入点的控制和配置协议):是由IETF(互联网工程任务组)标准化组织于2009年3月定义。capwap协议是一个通用的协议,定义了AC和WTP通过capwap协议传输机制进行控制和数据平面的通信。使用UDP协议的5246和5247端口用于传输控制消息和数据消息,AP上线的过程就是CAPWAP隧道建立的过程,

CAPWAP协议报头格式

在这里插入图片描述

CAPWAP协议报头字段

CAPWAP Preamble:8 位预判码,2 种 CAPWAP 首部的前 8 位为预判码,用于快速判断此报文是否经过 DTLS 加密。前 4 位指明 CAPWAP 版本,目前的版本号为 0;后 4 位值为 1 时是 CAPWAP DTLS 首部,值为 0 时是 CAPWAP 首部。
Version:version of capwap
Type:0-capwap header
1-capwap dtls header
HLEN:5 位首部长度,指明 CAPWAP 首部的长度。
RID:5 位射频标识符,指明此报文的来源射频。
WBID: 5 位无线帧标识符, 指明无线帧类型, 有 IEEE 802.11, IEEE802.16 和 EPC Global 3 种。
T:1 位数据帧标识符,值为 1 时数据帧是由 WBID指明的类型,值为 0 时是 IEEE802.3 数据帧。
F:1 位分组标志,值为 1 时此报文是一个 CAPWAP报文分组(IPV6),需要和其他分组重组成完成的报文。
L:1 位分组结束标志,值为 1 时此报文是最后一个分组。
W:1 位选项标志,值为 1 时存在 Wireless Specific Information 选项。
M:1 位选项标志,值为 1 时存在 Radio MAC Address选项。
K:1 位存活标志,指明此报文用于保持连接存活,不能携带用户数据。
Flags:3 位预留标志。
Fragment ID:16 位分组标识符,识别不同的报文分组,ID 相同的分组属于同一个 CAPWAP 报文
Fragment Offset:13 位分组位移,各分组在该CAPWAP 报文中的位置。
Reserved:3 位预留码。
Radio MAC Address:32 位射频 MAC 地址,不足32 位以全 0 填充。指明报文来源射频的 MAC 地址。
Wireless Specific Information:32 位特殊无线信息,不足 32 位以全 0 填充。包含特殊信息,如与 IEEE 802.11, IEEE802.16 和 EPCGlobal 的关联等。
Payload:数据报文是用户数据,控制报文则是控制消息。

CAPWAP报文分类

  1. 控制消息报文(UDP5246):控制消息作为管理消息在AP与AC间进行交互
  2. 数据消息报文(UDP5247):数据消息被封装成无线帧

CAPWAP控制消息

在这里插入图片描述

CAPWAP隧道建立过程的状态机

  1. Discovery阶段
  2. DTLS协商阶段(可选)
  3. Join阶段
  4. Image data
  5. configure
  6. Data check阶段
  7. Run(Data)阶段
  8. Run(Control)阶段

CAPWAP隧道建立过程

  1. AP通过DNS、DHCP、静态配置IP地址、广播等方式获取到AC的IP地址

    CAPWAP隧道建立——AP获取地址(四步交互)

    在没有预配置AC IP列表时,则启动AP动态AC发现机制。通过DHCP获取IP地址,并通过DHCP协议中的option返回AC地址列表。

    首先是AP发送discover广播报文,请求DHCP server响应,在DHCP服务器侦听到discover报文后,它会从没有租约的地址范围中,选择最前面的空置IP,连同其他TCP/IP设定,响应AP一个DHCP offer报文,该报文中会包含一个租约期限的信息。

    由于DHCP offer报文既可以是单播报文,也可以是广播报文,当AP端收到多台DHCP Server的响应时,只会挑选其中一个offer(通常是最先抵达的那个),然后向网络中发送一个DHCP request广播报文,告诉所有的offer,并重新发送DHCP,DHCP server它将指定接收哪一台服务器提供的IP地址

    同时,AP也会向网络发送一个ARP封包,查询网络上面有没有其他机器使用该IP地址,如果发现该IP已被占用,AP会发送出一个DHCP Decline封包给DHCP服务器,拒绝接收其DHCP discover 报文。

    当DHCP Server接收到AP的request报文之后,会向AP发送一个DHCP Ack响应,该报文中携带的信息包括了AP的IP地址,租约期限,网关信息,以及DNS server IP等,以此确定租约的正式生效,就此完成DHCP的四步交互工作。
    在这里插入图片描述在这里插入图片描述

  2. AP发现AC

    CAPWAP隧道建立-AP发现AC(Discovery):

    AP启动CAPWAP协议的发现机制,AP以单播或广播的形式发送Discovery报文请求报文试图关联AC,随后CAPWAP状态机进入Discovery状态,AC收到AP的discovery request以后,会发送一个单播discover response 给AP,AP可以通过discover response中所带的AC优先级或者AC上当前AP的个数等,确定与哪个AC建立会话。

AP向网络中的组播地址、广播地址、单播地址发起discover request

在这里插入图片描述
AC收到request后回复reapone

  1. CAPWAP隧道建立-DTLS(可选)

    AP根据此IP地址与AC协商,AP接收到响应消息后开始与AC建立CAPWAP隧道,这个阶段可以选择CAPWAP隧道是否采用DTLS加密传输UDP报文。

    DTLS: Datagram Transport Layer Security(数据报传输层安全协议)
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  2. AP请求加入AC

    AP发出Discovery Request报文并得到回应,则开始准备加入到该AC。如果AP发出Discovery Request得到多个AC回应,并且多个AC在该AC上定义的优先级不同,那么AP会优先申请加入到优先级最高的AC。

    AP加入AC前,先进行DTLS验证,当AP与AC之间的DTLS握手成功后,AP发出Join请求开始请求加入。这个过程里面的所有报文均为加密报文。

    AP请求加入AC的六个步骤:

    1、AP将自己的状态更新到DTLS Setup,AC新建状态机,初始值为DTLS Setup状态。

    2、AP和AC之间开始进行DTLS握手,如果 60秒内DTLS握手还是不成功,将自己状态更新成DTLS Teardown。

    3、AP和AC之间 DTLS握手成功后,将自己状态更新为状态,并发出Join Request报文。

    4、AC收到Join Request报文,并回应Join Response报文。如果AC 从DTLS握手开始的时间算起,60秒内还没有收到Join Request,状态更新成DTLS Teardown。

    5、AP收到Join Response报文,如果Result Code为Success,则AP加入AC成功。如果Result Code不为Success,状态机状态更新到DTLS Teardown。如果AP没有收到Join Response报文,并且AP在重传Join Request 报文4次以后,还没有收到Join Response,状态更新成DTLS Teardown。

    6、AP在DTLS Teardown状态持续5秒钟后,进入状态,再等30秒后恢复到Idle状态,AC在5秒钟后,状态机删除。

    在完成DTLS握手后,AC与AP开始建立控制通道,在建立控制的交互过程中,AC回应的Join response报文中会携带用户配置的升级版本号,握手报文间隔/超时时间,控制报文优先级等信息。AC会检查AP的当前版本,如果AP的版本无法与AC要求的相匹配时,AP和AC会进入Image Data状态做固件升级,以此来更新AP的版本,如果AP的版本符合要求,则进入configuration状态。

    在这里插入图片描述

  3. CAPWAP隧道建立-AP升级(image date(可选))

    AC通过CAPWAP控制报文下发升级版本给AP,而不是通过CAPWAP数据报文

    AP根据协商参数判断当前版本是否是最新版本,如果不是最新版本,则AP将在CAPWAP隧道上开始更新软件版本。AP在软件版本更新完成后重新启动,重复进行AC发现、建立CAPWAP隧道、加入过程。

    AP自动升级的七个步骤:

    1、AP收到Join Response后,先比较当前运行的软件版本和AC要求运行的软件版本是否一致,如果不一致则发送Image Data Request请求进行自动升级。

    2、AP发出Image Data Request后,将状态更新成。如果AP的Image Data Request在传输过程中丢失,重传多次都没有到达AC的情况下,AP和AC的状态机要更新到DTLS Teardown。

    3、AC收到Image Data Request报文后进入状态,并回应Image Data Response报文。

    4、AC将新的主程序通过若干个Image Data Request发送到AP。

    5、AP收到Image Data Response后,30秒后还没有收到AC发来的Image Data Request,则状态转DTLS Teardown。

    6、AP对每一个收到的主程序分片消息响应Image Data Response。

    7、AP升级成功或者失败后,设备重启。

    在这里插入图片描述

  4. CAPWAP隧道建立-AP配置下发 (configure)

    进入Configuration状态后是为了做AP的现有配置和AC设定配置的匹配检查,AP发送configuration request到AC,该信息中包含了现有AP的配置,当AP的当前配置与AC要求不符合时,AC会通过configuration response通知AP

    过程:

    1、AP收到AC发来的Join Response,其Result Code为Success,且AP当前运行的版本和要求运行的版本一致,AP发出Config Status Request,进入状态。

    2、AC收到Config Status Request后,进入状态。并回应Config Status Response,通知AP按要求进行配置。如果AC在发出Join Response后,60秒内没有收到Config Status Request,则状态转DTLS Teardown。

    3、AP收到Config Status Response,配置同步完成。如果AP发出Config Status Request后,51秒内没有收到Config Status Response,则状态转DTLS Teardown。

  5. CAPWAP隧道建立-AP配置确认 (date check)

    当完成configuration后,AP发送change state event request信息,其中包含了radio,result,code等信息,当AC接收到change state event request后,开始回应change state event response 。
    至此完成data check 后,已经完成管理隧道建立的过程,开始进入run状态。

    主要过程:

    1、AP收到Config Status Response后,状态进入Data Check, 并发送Change State Event Request报告配置执行情况。

    2、AC收到Change State Event Request,如果当前是状态,则状态转Data Check,并回应Change State Event Response。如果AC在发出Config Status Response后,25秒内没有收到Change State Event Request,则状态转DTLS Teardown。

    3、AP收到Change State Event Response后,如果当前是Data Check状态,则状态转Run,并创建CAPWAP数据通道,开始数据转发。
    当AP进入Run状态,说明AP与AC的控制和数据通道建立已成功,用户可根据需要,对指定的AP做配置设置,如创建WLAN、设置信道、调整发射功率等等,并可实时监控AP的运行状态。

  6. CAPWAP隧道维护-run(date)

    AP发送keepalive到AC,AC收到keepalive后表示数据隧道建立,AC回应keepalive,AP进入“normal”状态,开始正常工作。

    AP进入run状态后,同时发送echo request报文给AC,宣布建立好CAPWAP管理隧道并启动echo发送定时器和隧道检测超时定时以检测管理隧道时候异常。当AC收到echo request报文后,同样进入run状态,并回应echo response报文给AP,启动隧道超时定时器。到AP收到echo response报文后,会重设检验隧道超时的定时器。

    在这里插入图片描述
    在这里插入图片描述

  7. CAPWAP隧道转发数据

    AP进入Run状态后,AP与AC开始转发用户数据,同时也需要定期检查CAPWAP通道是否正常工作。

    主要过程:
    1、AP进入状态后,开始创建数据通道,并每隔30秒发送1个数据通道保活报文。

    2、AC收到第1个保活报文, 如果当前是Data Check状态,则进入状态,并回应Data Channel 保活报文。如果AC在发出Change State Event Response后,30秒内没有收到第1个Data Channel 保活报文,则状态转DTLS Teardown。

    3、AP和AC收到保活报文后,如果60秒内没有收到第1个数据通道保活报文,则认为数据通道断掉,状态转DTLS Teardown。

    4、当AP或者AC检测到数据通道断掉后,CAPWAP状态机更新到DTLS Teardown。

注:现在数据通道断不会导致隧道断,而是控制通道断开才会导致CAPWAP隧道断开,因此,步骤3、步骤4不会导致状态机变化。事实上,Keepalive在数据通道传输,是数据通道的保活报文,而控制通道是依靠Echo进行保活。

在这里插入图片描述

CAPWAP数据报文

用户数据通过CAPWAP数据通道传输。CAPWAP数据报文分为以下两种格式:

1、非加密格式

非加密格式,其中Wireless Payload为用户的数据报文,由于它是非加密的,所以这种数据报文只能应用在Wireless Payload内的无线数据已做过安全加密的基础之上。例如无线信号已经采用了WEP、WPA或者WPA2进行了加密。(这里的无线数据加密指的是无线信号的加密,目的是为了别人即使在空气中获取到该报文也很难破解出Wireless Payload的用户数据。而当AP将无线报文(802.11的数据报文)转为802.3有线以太网的数据报文后,Wireless Payload内的数据是不加密的) 因此通过抓包分析,我们可以看到用户的交互数据。抓包可以直观看到用户的PING报文如何被封装成CAPWAP数据报文。

Aronzxw
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CAPWAP基础原理
qq_43704340的博客
10-28 1484
option43:跨三层上线 DHCP响应AP地址请求时携带,告知AC的位置,可实现跨三层通信 AP: 无线局域网络的架构主要分为: 基于控制器的AP架构(瘦AP,Fit AP): 是“代表自身不能单独配置或者使用的无线AP产品,这种产品仅仅是一个WLAN系统的一部分,负责管理安装和操作 传统的独立AP架构(胖AP,Fat AP): 除无线接入功能外,一般具备WAN、LAN两个接口,多支持DHCP服务器、DNS和MAC地址克隆,以及VPN接入、防火墙等安全功能 对于可运营的WLAN,从组网的角度,为了实
锐捷无线地勘系统V1.2
07-05
这是锐捷无线地勘系统V1.2,此系统仅用于学习,不能用于其他用途,否则后果自负
CAPWAP隧道技分享
weixin_51491005的博客
09-18 4236
CAPWAP隧道技分享 概述: ​ 在瘦AP+无线控制器(AC)的方案中,所有的AP都有AC统一控制。随着瘦AP方案迅速得到普及,各个厂商之间的兼容性变得越来越重要,同时也需要一个AC管理AP的协议标准,这是制定CAPWAP协议的主要原因,但目前AC控制不同厂商AP目的还未能实现。 胖模式瘦模式比较: 胖模式:仅一台AP设备就能实现接入,功能比较全,一般一台设备就能实现接入、认证、路由、VPN、地址翻译,甚至防火墙功能,适用于家庭、工室等小型网络场景,。 瘦模式:瘦AP需要配合AC使用、受AC
CAPWAP基础原理 - CSDN博客.pdf
07-10
简单了解CAPWAP的基本原理,快速了解CAPWAP协议,中文版
CAPWAP技术原理
09-26
capwap的协议分析,有助于对capwap进行基础的了解
23.CAPWAP原理_AP技术介绍
分享学习网络的点点滴滴
09-13 581
CAPWAP原理_AP技术介绍前言AP技术介绍1、胖AP1.1、胖AP功能1.2、胖AP的缺点2、瘦AP2.1、瘦AP功能2.2、瘦AP+AC结构的优点3、瘦AP和胖AP的对比 前言 CAPWAP协议定义了AC和AP之间如何通信,为实现AP和AC之间的互通性提供了一个通用封装和传输机制。   AP技术介绍 1、胖AP 1.1、胖AP功能 1.2、胖AP的缺点 WLAN建网时需要对每个AP逐一配置,无法满足大满足组网,因为太过于复杂。 管理AP时候需要大量了IP地址表,并且只能单一管理,维护成本
无线瘦AP部署——Capwap隧道原理及故障:Capwap隧道常见问题
最新发布
君逍遥o
10-13 954
AC通过CAPWAP来控制AP,在集中转发模式下,STA的所有报文都由AP封装成CAPWAP报文后再由AC解封装后进行转发。 即使是本地转发模式,AP依然由AC通过CAPWAP报文进行控制。因此CAPWAP可以说是瘦AP方案中最为重要的技术之一。
锐捷无线AP配置手册
02-11
锐捷无线AP配置手册,锐捷厂商无线ap配置,内容wlan射频,wlan安全,wlan QOS,wlan组网等。
锐捷无线产品日常管理维护
04-03
锐捷无线产品日常管理维护
锐捷无线AC 配置上网案例
05-29
用了一强无线路由,无线 ac与ap直连,有详细拓扑图,亲测能上网
capwap隧道
11-04
CAPWAP隧道技术详解
锐捷无线文档技术分享
02-06
无线技术解析和配置相关资料,描述无线WLAN的基础配置和原理
无线瘦AP部署——Capwap隧道原理及故障:无线Capwap隧道技术原理
君逍遥o
10-13 1284
在瘦AP+无线控制器(AC)的方案中,所有的AP都由AC统一控制。随着瘦AP方案迅速得到普及,各个厂商之间的兼容性变得越来越重要,这是制定CAPWAP协议的主要原因,目的是AC可以控制不同厂商的AP,但是现在还未能实现。
24.CAPWAP原理_CAPWAP协议介绍
分享学习网络的点点滴滴
09-14 6898
CAPWAP协议介绍前言一、CAPWAP协议简介1.协议主要内容2.数据转发类型3.基本报文格式二、CAPWAP状态机1.引入库三、CAPWAP隧道建立过程1.DHCP过程2.Discovery发现机制3.DTLS4.join5.Image Data6.configure7.Data Check8.Run(数据)8.Run(控制)四、CAPWAP过程示例 前言 在瘦AP+AC结构下,AP不能单独工作,需要与AC配合使用,因此AP和AC间需要有配套的通信协议可以让它们进行互联。 最早,思科制定了首个AP-
CAPWAP隧道建立交互过程
Shiliang1995
08-15 6405
APDHCP ServerACdiscovery广播报文offer从多个offer中选一个回复request广播报文,指定一个DHCPServer,并回复所有offerack(给AP分配IP地址)可通过option43携带AC IP listdiscovery request单播发现(根据DHCP的 ACK获取到的 AC IP list发送单播报文)广播发现(当没有ACIP list时或 单播没回...
2.4.2 CAPWAP隧道介绍
荆盼的博客
04-03 3029
隧道协议_CAPWAP
子木_98的博客
09-01 3119
一、定义 CAPWAP:Control And Provisioning of Wireless Access Point(无线接入点控制和配置协议)。 产生背景: 简单来说,CAPWAP 用于AP和AC之间的通信交互,实现AC对其所关联的AP集中管理和控制 二、数据报文格式 IP header UDP header CAPWAP header Ethernet packet IP header:CAPWAP目的设备的IP地址,通过IP指明目的AP设备或目的AC设备。 UDP header:
认识CAPWAP隧道及其应用
杨过的博客
05-14 1117
CAPWAP无线接入点控制和配置协议),用于无线终端接入点(AP)和无线网络控制器(AC)之间的通信交互,实现AC对其所关联的AP集中管理和控制。
Wlan——CAPWAP隧道的建立过程(AP上线过程)
m0_49864110的博客
08-14 5462
收到Join Response 报文后,先比较当前运行的软件版本和 AC 要求运行的软件版本是否一致,如果不一致则发送Image Data Request 报文请求进行自动升级,进入Image Data状态。AP加入AC后,AP根据AC的Join报文信息,检测自身版本是否是最新版本(如果AC上有AP的版本,并开起来自动升级,则会AC会通过Image Data报文发送软件版本给AP进行更新)如果AC回应了Discover报文,则AP将此AC的地址加入到AC列表中,并为其指定不同的优先级(越小越优先);
锐捷无线 web认证
08-22
锐捷无线 Web认证是锐捷网络提供的一种无线网络认证解决方案。它通过提供一个Web界面来实现用户的身份验证和授权,使得用户能够在无线网络中使用Internet服务。 在锐捷无线Web认证中,当用户尝试连接到无线网络时,会自动弹出一个登录页面,要求用户输入用户名和密码进行认证。用户通过认证后,可以获得网络访问权限,并可以正常使用互联网。 锐捷无线Web认证还支持多种认证方式,包括本地数据库、RADIUS服务器、LDAP服务器等。管理员可以根据实际需要进行配置和管理,以满足不同场景下的认证需求。 总的来说,锐捷无线Web认证提供了一种方便、安全的方式来管理和控制无线网络访问,保障网络的安全性和用户的合法使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aronzxw

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值