华为WLAN深度资料CAPWAP隧道

华为WLAN深度资料-CAPWAP隧道1目录总体介绍1组网场景2原理介绍3性能对比42CAPWAP协议背景——缘何而来ACAPSTASTAAPSTASTAIP网络2，3层网络AC+瘦AP组网架构，可以实现：1）集中可视化管控2）降低运维成本3）对用户实现精细化策略管理4）支持认证计费场景，不同层面保证企业数据安全5）增值业务能力：可扩展更多丰富业务（BYOD、Bonjour、视频回传）6）适合中大规模组网场景在此应用背景下CAPWAP协议——ControlandProvisioningofWirelessAccessPoints，用于AC与AP通信的协议规范也应运而生解决方案企业级用户部署AP的数量会非常庞大，对集中运维管控、安全性提出了更高的要求。传统胖AP组网已经难于满足需求：1）自治管理，安全无法保证；2）实现不了精细化的用户管控；3）大批量部署难度高；4）只适合SOHO级小规模组网。客户痛点AC+瘦AP的组网架构3CAPWAP协议背景——去粕取精LWAPP(LightweightAccessPointProtocol)提出厂家：Cisco具有完整的协议框架定义了详细的报文结构和TLV元素数据没有加密提出厂家：Aruba支持桥接DTLS加密是其亮点CTP/WiCoP(CAPWAPTunnelingProtocol/WirelessLANControlProtocol)提出厂家：Siemens/Panasonic实现了集中式WLAN体系结构基本需求安全标准考虑不够全面CAPWAPSLAPP(SecureLightAccessPointProtocol)4CAPWAP协议介绍——无线接入点控制和规范AP发现AC链路建立配置管理数据转发控制/数据通道建立（UDP端口号：5246/5247）多种配置管理业务下发、批量升级AP控制报文DTLS加密多种用户业务流量CAPWAP数据隧道转发协议内容数据报文DTLS加密5目录总体介绍1组网场景2原理介绍3性能对比46AC直连式组网-流量集中转发接入侧汇聚侧服务器侧ACeSightPolicyCenter室分型AP放装型APInternetInternet适用于需要AC承担用户网关、用户策略管理、认证计费网关、DHCP服务器等角色的场景用户数据及认证由AC集中处理AP/AC支持跨二、三层组网AP、用户DHCP服务器AP参数统一配置用户策略统一配置用户认证控制点PolicyCenter•Portal认证服务器•Radius服务器•MAC认证服务器•PPPoE服务器ACWeb页面网管eSight•AC/AP网管•AP位置拓扑显示应用场景AC部署用户认证网络管理接入交换机室外AP用户认证用户数据CAPWAP控制隧道CAPWAP数据隧道配置信息7AC旁挂式组网-流量本地转发接入侧汇聚侧服务器侧ACeSightPolicyCenter室分型AP放装型AP本地网络接入交换机室外AP用户认证本地网络适用于用户数据可由本地网络直接转发的场景，如分支办公网络。节省AP/AC间链路带宽用户网关和DHCP服务器均在本地网络中本地转发用户认证可由AC集中处理AP/AC支持跨二、三层组网APDHCP服务器AP参数统一配置用户策略统一配置用户认证控制点PolicyCenter•Portal认证服务器•Radius服务器•MAC认证服务器•PPPoE服务器ACWeb页面网管eSight•AC/AP网管•AP位置拓扑显示应用场景AC部署用户认证网络管理CAPWAP控制隧道CAPWAP数据隧道配置信息8AC灵活组网-混合组网模式接入侧汇聚侧服务器侧ACeSightPolicyCenter室分型AP放装型AP本地网络接入交换机室外AP用户认证本地网络总部网络总部用户数据总部网络适用于用户数据混合组网场景，可实现按AP转发和按SSID转发。如总部使用集中转发模式，分支办公网络使用本地转发模式两种模式下的用户认证均由AC集中处理AP/AC支持跨二、三层组网APDHCP服务器集中转发用户DHCP服务器AP参数统一配置用户策略统一配置用户认证控制点PolicyCenter•Portal认证服务器•Radius服务器•MAC认证服务器•PPPoE服务器ACWeb页面网管eSight•AC/AP网管•AP位置拓扑显示应用场景AC部署用户认证网络管理CAPWAP控制隧道CAPWAP数据隧道配置信息9目录总体介绍1组网场景2原理介绍3性能对比410CAPWAP隧道—帧结构CAPWAP头结构CAPWAP报文结构（未DTLS加密）IP头+UDP头+CAPWAP头+无线数据CAPWAP报文结构（DTLS加密）IP头+UDP头+DTLS头+CAPWAP头+无线数据+DTLS尾11CAPWAP隧道建立—总体视图discoveryofferrequestackdiscoverrequestdiscoverresponseAPDHCPserverACDHCPDTLSjoinrequestjoinresponseconfigurationstatusrequestconfigurationstatusresponsechangestateeventrequestchangestateeventresponseechorequestechoresponsekeepalivekeepalivediscoveryjoinDTLSconnectconfiguredatacheckrunrundiscoveryjoinDTLSconnectconfiguredatacheckrunrunconfigurationupdaterequestconfigurationupdateresponseconfigconfigimagedataimagedataimagedata12CAPWAP隧道建立—DHCP阶段discoveryofferrequestackAPDHCPserverACDHCP过程在DHCPack报文中携带:•APIP地址•租期时间•【可选】通过option43携带ACIPlist，用于APCAPWAP单播发现AC•【可选】通过option15携带DNS服务器域名13CAPWAP隧道建立—Discovery阶段discoverrequestdiscoverresponseAPDHCPserverACdiscoverydiscoveryAPCAPWAP发现AC•单播发现（根据DHCPACK回的ACIPlist或从DNS服务器获取的ACIP地址发送单播报文）——L2/L3网络•广播发现（当没有ACIPlist或单播没有回应时发送广播报文）——L2网络AC收到discoverrequest•分配链路号(LinkID)——APIP+APUDPPort唯一标示该链路•迁移状态机状态AP决策选择AC的因素（当收到多个AC回应的discoverresponse时）•AC的优先级•AC上当前AP个数14CAPWAP隧道建立—DTLS阶段（可选）APWLANiPSIFSMDTLSFWDSOCKETDTLSDTLSACWLANiPSIFSMDTLSFWDSOCKETDTLS建链DTLS加解密（控制报文）•加密若开启：从join开始的CAPWAP控制报文都会经过DTLS加解密•DTLS数据报文加解密：当前不支持15CAPWAP隧道建立—Join阶段joinrequestjoinresponseAPDHCPserverACjoinjoinAP发送joinrequest•当AP决策选择AC后（有DTLS时先建立DTLS链路）开始join阶段•携带AP版本信息、MAC信息、胖瘦模式信息等AC收到joinrequest•黑白名单校验•迁移状态并回应joinresponse（携带期望AP使用的版本信息）AP收到joinresponse•根据AP版本信息看是否需要在线加载AP版本，并迁移到对应状态16CAPWAP隧道建立—Imagedata（可选）•AP根据joinresponse中携带的AP版本在APflash中不存在，则开始升级•升级方式：FTP升级（推荐）和AC升级•升级粒度：基于AP域、AP类型、单个AP三种粒度升级•AP升级成功后，重新启动，重新建立CAPWAP链路APWLANMAPFSMLBMFWDSOCKETimagedatarequestimagedataresponseimagedataACWLANMAPFSMLBMFWDSOCKETimagedataimagedata17CAPWAP隧道建立—Configure阶段configurationstatusrequestconfigurationstatusresponseAPDHCPserverACconfigureconfigure•对AP现有配置和AC设定的配置做匹配检查•目前此阶段没有下发配置，都是在run状态之后统一下发18CAPWAP隧道建立—DataCheck阶段changestateeventrequestchangestateeventresponseAPDHCPserverACdatacheckdatacheck•Datacheck阶段发送changestateeventrequest（携带错误码等信息）•Datacheck后，标志管理隧道已经建立完毕，进入Run状态19CAPWAP隧道维护—Run阶段keepalivekeepaliveAPDHCPserverACrunrun•AP发送数据心跳报文，AC收到后标志数据隧道建立，AP进入normal状态•数据心跳报文，定期发送（默认25s），用于检测数据链路是否正常echorequestechoresponseAPDHCPserverACrunrun•AP控制心跳报文，定期发送（默认25s），用于检测控制链路是否正常20CAPWAP隧道—支持静态多级NAT穿越PAT：多对1转换，例如192.168.0.2:4444----202.116.100.5:50003192.168.0.3:5555----202.116.100.5:50004192.168.0.7:1233----202.116.100.5:50005NAT：1对1转换，例如192.168.0.2:4444----202.116.100.5:4444192.168.0.3:5555----202.116.100.6:5555192.168.0.7:1233----202.116.100.5:123321CAPWAP备份——1+1热备(HSB+VRRP)主ACeSightPolicyCenter备ACHSB备份通道用户用户123接入交换机APHSB业务实时备份用户数据信息备份CAPWAP隧道信息备份AP表项备份1+1热备切换检测①AP/AC间链路检测②AC整机之间检测③AC上行链路检测VRRP热备机制AC地址虚拟：面向AP,主备AC使用VRRP协议虚拟出一个AC地址上下行链路监控：监控指定接口状态，上下行链路监控均支持BFD+VRRP22CAPWAP备份——1+1热备(HSB+双链路)主ACeSightPolicyCenter备ACHSB备份通道用户用户2接入交换机AP1+1热备切换检测①AP/AC间CAPWAP链路状态检测②AC整机之间检测HSB业务实时备份用户数据信息备份CAPWAP隧道信息备份AP表项备份CAPWAP双链路机制AP分别与主备AC建立CAPWAP隧道，通过AC优先级确立主备AC负载均衡：AC优先级相同的情况下，根据AC负载（AP和STA个数）确立主备AC双链路热备相对于双链路冷备优势：备AC存在用户信息，用户不掉线，而冷备用户要重新关联AP上线CAPWAP主链路CAPWAP备链路123CAPWAP备份——1+1冷备(双链路)1.AC1工作在主用状态，并为AP1、AP2提供服务；AC2工作在备用状态，各AP通过备用信道链路连接到AC2。