认识CAPWAP隧道及其应用

2. CAPWAP隧道

2.1 技术背景

2.2 CAPWAP介绍

2.3 CAPWAP模式

2.4 CAPWAP报文格式

2.5 AP上线流程

2.6 AP上线之二层上线

2.7图形化配置AC

2.8 AP上线之三层上线

2. CAPWAP隧道

2.1 技术背景

传统的WLAN体系结构已经无法满足大规模组网的需求，因此，IETF成立的CAPWAP（Control And Provisioning of Wireless Access Points 无线接入点的控制和配置协议）工作组，研究打过没WLAN的解决方案。以实现各个厂家控制器与AP间的互通。

CAPWAP的起源

CAPWAP工作组对以上四种通信协议进行评测后，最终采用LWAPP协议作为基础进行扩展，使用DTLS安全技术，加入其他三种协议的有用特性，制定了CAPWAP协议。

2.2 CAPWAP介绍

CAPWAP（无线接入点控制和配置协议），用于无线终端接入点（AP）和无线网络控制器（AC）之间的通信交互，实现AC对其所关联的AP集中管理和控制。

该协议包含的主要内容有：

AP对AC的自动发现及AP和AC的状态机运行、维护。
AC对AP进行管理，业务配置下发。
STA数据封装CAPWAP隧道进行转发。

2.3 CAPWAP模式

CAPWAP协议支持两种操作模式：SPlit MAC和Local MAC。

Split MAC模式

在Split MAC模式下，所有二层的无线数据和管理帧都被CAPWAP协议封装，在AC和AP之间交互。
从STA收到的无线帧，直接封装，转发给AC。
在split MAC模式下，无线报文不经过报文转换，直接到达AC。

Local MAC模式：

本地转发模式允许数据帧可以用本地桥或者使用802.3的帧形式用隧道转发。
二层无线管理帧在AP本地处理，然后再转发给AC。
STA传送的无线帧在AP被封装成802.3数据帧。

2.4 CAPWAP报文格式

DTLS加密是可选的，华为设备默认没有开启。

DTLS（Datagram Transport Layer Security）是一种基于UDP协议的安全传输协议，它提供了与TLS
（Transport Layer Security）相似的安全性和可靠性，但是可以在不可靠的网络环境下使用，例如在实时音视频传输等应用中。

DTLS协议在传输层对数据进行加密、解密和完整性验证，通过使用对称密钥加密技术和数字证书来实现数据加密和身份验证。与TLS协议不同的是，DTLS协议通过将TCP协议替换为UDP协议来提供安全保护，这使得DTLS协议能够支持实时应用和对延迟敏感的数据传输。

DTLS协议的主要特点包括：
- 端到端加密：DTLS协议提供了端到端的数据加密和完整性验证，保护了传输过程中的数据安全。
- 支持不可靠网络：由于DTLS协议基于UDP协议，因此可以在不可靠的网络环境下使用，例如在移动网络和互联网上。
- 实时性：DTLS协议支持实时应用，例如视频和语音通话等应用，能够提供较低的延迟和更好的用户体验。
- 灵活性：DTLS协议允许使用不同的加密算法和密钥长度，以适应不同的应用需求。
DTLS协议已经被广泛应用于各种实时应用，例如VoIP、视频会议、在线游戏等，它可以提供强大的安全保护和高效的数据传输。

2.5 AP上线流程

AP上线的主要流程分为

AP获取IP地址阶段（以DHCP方式为例）
AP发现AC阶段
AP接入AC阶段
AC下发配置阶段
CAPWAP隧道维持阶段和配置更新阶段等几个阶段。

AP上线流程中的报文交互

图中同时标明了AP的CAPWAP状态机的部分状态，各个状态的含义如下：

Discovery：AP发现AC的状态
DTLS connect：AP和AC之间建立DTLS连接状态
Join：DTLS连接完成，AP加入AC的状态
Image data：AP从AC下载软件版本文件进行升级的状态
Configure：AP从AC获取初始化配置的状态
Data check：AP和AC进行信息交换，确认配置的状态
Run：CAPWAP链路正常建立的状态
Config：AP从AC获取下发的配置

2.6 AP上线之二层上线

基础配置：在AC1、SW1、SW2上配置管理vlan100，接口链路类型如图所示。配置命令如下：

# AC1
vlan batch 100
interface G0/0/1
port link-type trunk
port trunk allow-pass vlan 100
# SW1
vlan batch 100
interface G0/0/1
port link-type trunk
port trunk allow-pass vlan 100
interface G0/0/2
port link-type trunk
port trunk allow-pass vlan 100
# SW2
vlan batch 100
interface G0/0/1
port link-type trunk
port trunk allow-pass vlan 100
interface E0/0/1

port link-type access
port default vlan 100
interface E0/0/2
port link-type access
port default vlan 100

在AC上开启DHCP功能，给两台AP提供管理IP地址,AC 配置如下：

# 开启dhcp功能
dhcp enable
# 在接口启动地址池
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
dhcp select interface
#

此时可以看到AP已经通过DHCP获取了IP地址：

在AC上指定CAPWAP隧道建立时使用的IP地址：

# AC
capwap source interface Vlanif 100

此时查看AP上线状态

[AC6005]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
--------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
--------------------------------------------------------------------------------

虽然AP已经获取IP地址，但是目前还没有上线，需要通过下面的三种方式来让AP上线

2.6.1 认证方式之不认证

[AC6005-wlan-view]ap auth-mode no-auth
[AC6005-wlan-view]ap-confirm all

2.6.2 认证方式之MAC地址认证

# 将上线的ap下线：
wlan
undo ap all

将AP认证方式设置为手工输入MAC地址认证

wlan
ap auth-mode mac-auth
ap-id 0 ap-mac 00E0-FCBD-0A10
ap-name F1-AP1
ap-id 1 ap-mac 00E0-FCA0-4F20
ap-name F1-AP2

查看AP上线效果：执行命令display ap all查看到AP状态，当“State”字段为“nor”时，表示AP正常上线

[AC6005-wlan-view]display ap all
nor : normal [2]
------------------------------------------------------------------------------------
-------
ID MAC Name Group IP Type State STA Uptime
------------------------------------------------------------------------------------
-------
0 00e0-fca0-4f20 1F2A default 192.168.100.73 AP2050DN nor 0 3M:44S
1 00e0-fcbd-0a10 1F1A default 192.168.100.72 AP2050DN nor 0 1M:16S
------------------------------------------------------------------------------------

2.6.3 认证方式之SN码认证

wlan
ap-id 0 ap-sn 210235448310CD1F5438
ap-name 1F1A
ap-id 1 ap-sn 210235448310866BDC7A
ap-name 1F2A

2.7图形化配置AC

如图，在接入交换机SW2上开一个接口，划分到VLAN100下。cloud 配置的IP地址和 AC的vlanif100 所在同一个网段。

目前使用自己电脑测试到达 AC的网络连通性

在AC上配置运行Web登录

[AC6005]http secure-server enable
This operation will take several minutes, please wait...
Info:HTTPS server has been started

配置AAA认证

aaa
local-user admin password irreversible-cipher admin
local-user admin privilege level 15
local-user admin service-type http

登录Web页面

在浏览器输入 VLANif1的IP地址，并在登录页面输入aaa配置的用户名和密码

进入AC Web 页面，观察AP列表，查看AP上线信息

添加AP 点击配置/AP/添加，可以手工添加AP

如图，添加AP３和AP４

先在SW２更改接口类型为Access，并划分到vlan100

interface Ethernet0/0/4
port link-type access
port default vlan 100
#
interface Ethernet0/0/5
port link-type access
port default vlan 100

在页面输入MAC和SN信息：

2.8 AP上线之三层上线

AP分布在各个VLAN下

各台设备基础配置

SW1 核心交换机

vlan 2 3 100 提供vlanif 2 3(业务) 100(管理)
配置管理IP地址 192.168.100.1
配置业务vlanif2网关 192.168.2.254
配置业务vlanif3网关 192.168.3.254
提供业务vlan的dhcp 地址池
G0/0/1 Trunk 允许管理vlan100 流量通过
G0/0/2 Trunk 允许业务vlan2、管理vlan100通过
G0/0/3 Access ,因下方连接傻瓜交换机，不能配置IP地址，故设置接口为Access类型

SW2 接入交换机

vlan 2 100
配置管理IP地址 192.168.100.2
配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP1和AC建立CAPWAP隧道
E0/0/1 Trunk 2 100
E0/0/2 Access 2

AC配置

vlan 100
配置管理IP地址 192.168.100.3
配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP和AC建立CAPWAP隧道

详细配置

# SW1
sysname SW1
#
vlan batch 2 to 3 100
dhcp enable
#
interface Vlanif2
ip address 192.168.2.254 255.255.255.0
dhcp select interface
#
interface Vlanif3
ip address 192.168.3.254 255.255.255.0
dhcp select interface
#
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 100
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3

# SW2
sysname SW2
#
vlan batch 2 100
#
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
#
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 100
#
interface Ethernet0/0/2
port link-type access
port default vlan 2
#
ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1
#

# AC1
vlan batch 100
#
interface Vlanif100
ip address 192.168.100.3 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1
#
capwap source interface vlanif100
#
wlan
ap auth-mode no-auth

AP三层上线，dhcp option 43配置

option 43是一个自定义选项，用于表示AC IP地址。AP通过DHCP的option 43字段，获取AC IP地址信息，再发送单播报文找到对应AC，实现AP的零配置上线。这里说的AP，都是指FIT AP。

[SW1-Vlanif2]dhcp server option 43 sub-option 3 ascii 192.168.100.3
[SW1-Vlanif3]dhcp server option 43 sub-option 3 ascii 192.168.100.3

重启AP并在链路上进行抓包：

AP获取了IP地址

AP上线成功