认识CAPWAP隧道及其应用
目录
2. CAPWAP隧道
2.1 技术背景
2.2 CAPWAP介绍
2.3 CAPWAP模式
2.4 CAPWAP报文格式
2.5 AP上线流程
2.6 AP上线之二层上线
2.7图形化配置AC
2.8 AP上线之三层上线
2. CAPWAP隧道
2.1 技术背景
传统的WLAN体系结构已经无法满足大规模组网的需求,因此,IETF成立的CAPWAP(Control And Provisioning of Wireless Access Points 无线接入点的控制和配置协议)工作组,研究打过没WLAN的解 决 方案。以实现各个厂家控制器与AP间的互通。
CAPWAP的起源
CAPWAP工作组对以上四种通信协议进行评测后,最终采用LWAPP协议作为基础进行扩展,使用DTLS安 全技术,加入其他三种协议的有用特性,制定了CAPWAP协议。
2.2 CAPWAP介绍
CAPWAP(无线接入点控制和配置协议),用于无线终端接入点(AP)和无线网络控制器(AC)之间的 通信交互,实现AC对其所关联的AP集中管理和控制。
该协议包含的主要内容有:
AP对AC的自动发现及AP和AC的状态机运行、维护。
AC对AP进行管理,业务配置下发。
STA数据封装CAPWAP隧道进行转发。
2.3 CAPWAP模式
CAPWAP协议支持两种操作模式:SPlit MAC和Local MAC。
Split MAC模式
在Split MAC模式下,所有二层的无线数据和管理帧都被CAPWAP协议封装,在AC和AP之间交互。
从STA收到的无线帧,直接封装,转发给AC。
在split MAC模式下,无线报文不经过报文转换,直接到达AC。
Local MAC模式:
本地转发模式允许数据帧可以用本地桥或者使用802.3的帧形式用隧道转发。
二层无线管理帧在AP本地处理,然后再转发给AC。
STA传送的无线帧在AP被封装成802.3数据帧。
2.4 CAPWAP报文格式
DTLS加密是可选的,华为设备默认没有开启。
DTLS(Datagram Transport Layer Security)是一种基于UDP协议的安全传输协议,它提供了与TLS (Transport Layer Security)相似的安全性和可靠性,但是可以在不可靠的网络环境下使用,例如在实时音视频传输等应用中。 DTLS协议在传输层对数据进行加密、解密和完整性验证,通过使用对称密钥加密技术和数字证书来实现数据加密和身份验证。与TLS协议不同的是,DTLS协议通过将TCP协议替换为UDP协议来提供安全保护,这使得DTLS协议能够支持实时应用和对延迟敏感的数据传输。 DTLS协议的主要特点包括: - 端到端加密:DTLS协议提供了端到端的数据加密和完整性验证,保护了传输过程中的数据安全。 - 支持不可靠网络:由于DTLS协议基于UDP协议,因此可以在不可靠的网络环境下使用,例如在移动网络和互联网上。 - 实时性:DTLS协议支持实时应用,例如视频和语音通话等应用,能够提供较低的延迟和更好的用户体验。 - 灵活性:DTLS协议允许使用不同的加密算法和密钥长度,以适应不同的应用需求。 DTLS协议已经被广泛应用于各种实时应用,例如VoIP、视频会议、在线游戏等,它可以提供强大的安全保护和高效的数据传输。
2.5 AP上线流程
AP上线的主要流程分为
AP获取IP地址阶段(以DHCP方式为例)
AP发现AC阶段
AP接入AC阶段
AC下发配置阶段
CAPWAP隧道维持阶段和配置更新阶段等几个阶段。
AP上线流程中的报文交互
图中同时标明了AP的CAPWAP状态机的部分状态,各个状态的含义如下:
Discovery:AP发现AC的状态
DTLS connect:AP和AC之间建立DTLS连接状态
Join:DTLS连接完成,AP加入AC的状态
Image data:AP从AC下载软件版本文件进行升级的状态
Configure:AP从AC获取初始化配置的状态
Data check:AP和AC进行信息交换,确认配置的状态
Run:CAPWAP链路正常建立的状态
Config:AP从AC获取下发的配置
2.6 AP上线之二层上线
基础配置: 在AC1、SW1、SW2上配置管理vlan100,接口链路类型如图所示。配置命令如下:
# AC1 vlan batch 100 interface G0/0/1 port link-type trunk port trunk allow-pass vlan 100 # SW1 vlan batch 100 interface G0/0/1 port link-type trunk port trunk allow-pass vlan 100 interface G0/0/2 port link-type trunk port trunk allow-pass vlan 100 # SW2 vlan batch 100 interface G0/0/1 port link-type trunk port trunk allow-pass vlan 100 interface E0/0/1 port link-type access port default vlan 100 interface E0/0/2 port link-type access port default vlan 100
在AC上开启DHCP功能,给两台AP提供管理IP地址,AC 配置如下:
# 开启dhcp功能 dhcp enable # 在接口启动地址池 interface Vlanif100 ip address 192.168.100.1 255.255.255.0 dhcp select interface #
此时可以看到AP已经通过DHCP获取了IP地址:
在AC上指定CAPWAP隧道建立时使用的IP地址:
# AC capwap source interface Vlanif 100
此时查看AP上线状态
[AC6005]display ap all Info: This operation may take a few seconds. Please wait for a moment.done. -------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime --------------------------------------------------------------------------------
虽然AP已经获取IP地址,但是目前还没有上线,需要通过下面的三种方式来让AP上线
2.6.1 认证方式之不认证
[AC6005-wlan-view]ap auth-mode no-auth [AC6005-wlan-view]ap-confirm all
2.6.2 认证方式之MAC地址认证
# 将上线的ap下线: wlan undo ap all
将AP认证方式设置为手工 输入MAC地址认证
wlan ap auth-mode mac-auth ap-id 0 ap-mac 00E0-FCBD-0A10 ap-name F1-AP1 ap-id 1 ap-mac 00E0-FCA0-4F20 ap-name F1-AP2
查看AP上线效果: 执行命令display ap all查看到AP状态,当“State”字段为“nor”时,表示AP正常上线
[AC6005-wlan-view]display ap all nor : normal [2] ------------------------------------------------------------------------------------ ------- ID MAC Name Group IP Type State STA Uptime ------------------------------------------------------------------------------------ ------- 0 00e0-fca0-4f20 1F2A default 192.168.100.73 AP2050DN nor 0 3M:44S 1 00e0-fcbd-0a10 1F1A default 192.168.100.72 AP2050DN nor 0 1M:16S ------------------------------------------------------------------------------------
2.6.3 认证方式之SN码认证
wlan ap-id 0 ap-sn 210235448310CD1F5438 ap-name 1F1A ap-id 1 ap-sn 210235448310866BDC7A ap-name 1F2A
2.7图形化配置AC
如图,在接入交换机SW2上开一个接口,划分到VLAN100下。cloud 配置的IP地址和 AC的vlanif100 所在 同 一个网段。
目前使用自己电脑测试到达 AC的网络连通性
在AC上配置运行Web登录
[AC6005]http secure-server enable This operation will take several minutes, please wait... Info:HTTPS server has been started
配置AAA认证
aaa local-user admin password irreversible-cipher admin local-user admin privilege level 15 local-user admin service-type http
登录Web页面
在浏览器输入 VLANif1的IP地址,并在登录页面输入aaa配置的用户名和密码
进入AC Web 页面,观察AP列表,查看AP上线信息
添加AP 点击配置/AP/添加,可以手工添加AP
如图,添加AP3和AP4
先在SW2更改接口类型为Access,并划分到vlan100
interface Ethernet0/0/4 port link-type access port default vlan 100 # interface Ethernet0/0/5 port link-type access port default vlan 100
在页面输入MAC和SN信息:
2.8 AP上线之三层上线
AP分布在各个VLAN下
各台设备基础配置
SW1 核心交换机
vlan 2 3 100 提供vlanif 2 3(业务) 100(管理)
配置管理IP地址 192.168.100.1
配置业务vlanif2网关 192.168.2.254
配置业务vlanif3网关 192.168.3.254
提供业务vlan的dhcp 地址池
G0/0/1 Trunk 允许管理vlan100 流量通过
G0/0/2 Trunk 允许业务vlan2、管理vlan100通过
G0/0/3 Access ,因下方连接傻瓜交换机,不能配置IP地址,故设置接口为Access类型
SW2 接入交换机
vlan 2 100
配置管理IP地址 192.168.100.2
配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP1和AC建立CAPWAP隧道
E0/0/1 Trunk 2 100
E0/0/2 Access 2
AC配置
vlan 100
配置管理IP地址 192.168.100.3
配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP和AC建立CAPWAP隧道
详细配置
# SW1 sysname SW1 # vlan batch 2 to 3 100 dhcp enable # interface Vlanif2 ip address 192.168.2.254 255.255.255.0 dhcp select interface # interface Vlanif3 ip address 192.168.3.254 255.255.255.0 dhcp select interface # interface Vlanif100 ip address 192.168.100.1 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 100 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 100 # interface GigabitEthernet0/0/3 port link-type access port default vlan 3 # SW2 sysname SW2 # vlan batch 2 100 # interface Vlanif100 ip address 192.168.100.2 255.255.255.0 # interface Ethernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 100 # interface Ethernet0/0/2 port link-type access port default vlan 2 # ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1 # # AC1 vlan batch 100 # interface Vlanif100 ip address 192.168.100.3 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 100 # ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1 # capwap source interface vlanif100 # wlan ap auth-mode no-auth
AP三层上线,dhcp option 43配置
option 43是一个自定义选项,用于表示AC IP地址。AP通过DHCP的option 43字段,获取AC IP地址信息,再发送单播报文找到对应AC,实现AP的零配置上线。这里说的AP,都是指FIT AP。
[SW1-Vlanif2]dhcp server option 43 sub-option 3 ascii 192.168.100.3 [SW1-Vlanif3]dhcp server option 43 sub-option 3 ascii 192.168.100.3
重启AP并在链路上进行抓包:
AP获取了IP地址
AP上线成功
认识CAPWAP隧道及其应用相关推荐
- 无capwap隧道的分布式网关实现思路
什么是无线漫游? 无线漫游是指终端在不同AP覆盖范围之间移动且保持用户业务不中断的行为. 实现WLAN漫游的两个AP必须使用相同的SSID和安全模板(安全模板名称可以不同,但是安全模板下的配置必须相同 ...
- CAPWAP隧道建立交互过程
APDHCP ServerACdiscovery广播报文offer从多个offer中选一个回复request广播报文,指定一个DHCPServer,并回复所有offerack(给AP分配IP地址)可通 ...
- 锐捷无线CAPWAP隧道技术原理
锐捷无线CAPWAP隧道技术原理 CAPWAP简介 CAPWAP协议报头格式 CAPWAP协议报头字段 CAPWAP报文分类 CAPWAP控制消息 CAPWAP隧道建立过程的状态机 CAPWAP隧道建 ...
- CAPWAP隧道技分享
CAPWAP隧道技分享 概述: 在瘦AP+无线控制器(AC)的方案中,所有的AP都有AC统一控制.随着瘦AP方案迅速得到普及,各个厂商之间的兼容性变得越来越重要,同时也需要一个AC管理AP的协议标 ...
- 华为WLAN产品介绍与组网(包括capwap隧道,ap上线,STA上线,组网方式,转发方式)
AC6003: AC6005: AC6605: ACU2:用在交换机上的一个板卡,适用于S7700,S9700,S12700等框式交换机的任何LPU槽位,ACU2可安装在等框式交换机的任何LPU槽位, ...
- 2.4.2 CAPWAP隧道介绍
- 2、AP上线的那些事儿(1)capwap建立过程、设备初始化以及二层上线
1.了解FITAP与AC的建立过程 之前我们已经知道了FATAP与FIT是一对双胞胎一样的兄弟,FAT哥哥能够直接独立使用当AP桥接.路由器等,而弟弟FIT则比较薄弱,独自发挥不出功效,需要一位师傅( ...
- 由浅入深玩转华为WLAN—21 漫游系列(8)不同AC之间三层漫游【二层上线+直连式+隧道转发模式,相同VLAN,但不同子网的环境】
三层漫游数据包的过程(隧道转发模式下) 漫游前数据包的走向 1.STA发送数据报文给HAP 2.HAP通过CAPWAP隧道把报文发送给HAC 3.HAC收到以后把业务报文送给上层设备处理转发 漫游后数 ...
- 基于华为WAC双机VRRP热备份下旁挂三层组网隧道转发模式解决方案
基于华为WAC双机VRRP热备份下旁挂三层组网隧道转发模式解决方案 组网拓扑 方案思路 (1) 本案例是旁挂三层组网,隧道转发模式,AP与WAC之间是CAPWAP隧道,业务数据流量通过CAPWAP隧道 ...
最新文章
- [转]Android横竖屏切换解决方案
- 「AI不惑境」残差网络的前世今生与原理
- Installshield建立IE快捷方式的方法
- 差分法c语言源程序,差分法求数据压缩
- 2021-03-31 Matlab simulink 模糊PID在无刷直流电机中的应用
- qt之键盘的设计及QlineEdit内容读取
- C语言:内存的分配与管理
- 自然语言处理中的模式(模式1.概率化模式)
- 实验3.1 简单实现Intent带返回值的跳转
- 【读书笔记】--- 《码出高效:java开发手册》
- solr集群搭建,zookeeper集群管理
- 《黑客秘笈——渗透测试实用指南(第2版)》—第2章2.7节总结
- c语言考试常考大题,C语言题库经典题 考试常考题.doc
- 永久删除计算机文件怎么操作步骤,如何彻底删除掉电脑文件夹
- linux skyeye,用skyeye运行uClinux内核
- leetcode **773. 滑动谜题(拼图)(2021.6.26)
- 读书笔记-财务报表资本结构分析
- ios快捷指令:修改图片尺寸、拼接长图
- 2021 年 11 月信息系统项目管理师考前案例分析学习资料---马军老师编著
- 1.项目介绍——毕业设计之论坛项目