无线AP控制和配置(CAPWAP)协议标准

无线AP控制和配置(CAPWAP)协议标准,讲解了如何配置无线的AC/AP4-6-17解密错误报告4-6-18解密错误报告周期46-19删除 MAC ACL条目4-6-20删除站4-6-21发现类型4-6-22重复的IP4地址4-6-23重复的IP6地址4-6-24空闲超时4-625ECN支持4-6-26映像数据4-6-27映像标识符4-6-28映像信息46-29启动下载4-6-30位置数捃46-31最大消息长度4-6-32MTU发现填充4633无线电设备管理状态4-6-34无线电设备运行状态4635结果代码46-36返回的消息要素4-6-37会话D4-6-38统计量计时器46-39特定供应商净荷46-40WTP主板( Board数据4-6-41WTP描述符4-6-42WTP回退4-6-43WTP帧廢道模式4-6-44 WTP MAC类型4-6-45WTP名称4-6-46WIP无线电设备统计量4-6-47WTP重启统计量46-48WTP静态P地址信息47 CAPWAP协议计时器4-7-2 Data ChannekkeepAlie4-7-1 Change StatePendingTim4-7-3 Data Channe lDeadInterval4-7-4 Data CheckTimer4-7-5 DiscoveryInterval4-7-6 DTLSSession Delete4-7-7 EchoIntcryal4-7-8 IdleTimeout4-7-9 Image Data StartTimer4-7-10 Max Discovery Interval4-7-11 ReportInterval4-7-12 RetransmitInterval4-7-13 SilentIntcrval4-7-14 StatisticsTimer4-7-15 WaitDtlS4-7-16 WaitJoin4-8 CAPWAP协议变量4-8-1 Admin statc4-8-2 Discovery Count4-8-3 FailedDTLSAuthFailCount4-8-4 FailedDTLSSession Count4-8-5 Max Discoveries4-8-6 Max FailcdDTLSScSSion Rctry4-8-7 Max Retransmit4-8-8 RetransmitCount4-8-9 WTPFallback4-9WTP保存的变量4-9-1 Admin rebootcount4-9-2 FrameEncap Type4-9-3 LastReboot reason4-9-4 Mac Type4-9-5 Pre ferredACs4-9-6 Rebootcount4-9-7 Static IP Address4-9-8 WTPLink Failure Count4-9-9 WTPLocation4-9-1. WTPName第5章 CAPWAP发现操作5-1发现请求消息5-2发现响应消息5-3主发现请求消息5-4主发现响应消息第6章 CAPWAP加入操作6-1加入请求6-2加入响应第7章控制通道管理7-1回显请求7-2回显响应第8章WIP配置管理8-1配置一致性8-1-1配置灵活性2配置状态请求8-3配置状态响应8-4配置更新请求8-5配置更新响应8-6改变状态事件请求8-7改变状态事件响应8-8清除配置请求8-9清除配置响应笫9章设备管理操作9-1固件管理9-1-1映像数据请求9-1-2映像数据响应92复位请求93复位响应94WTP事件请求95WTP事件响应96数据传送96-1数据传送请求9-6-2数据传送响应第10章站点会话管理10-1站点配置请求10-2站点配置响应第11章NAT考虑第12章安全考虑12-1 CAPWAP安全12-1-1转换受保护数据为不受保护数据12-1-2转换不受保护数据为受保护数据(插入)12-1-3删除受保护记录12-1-4插入不受保护记录12-1-5应用MD512-1-6 CAPWAP分段12-2会话安全12-3发现或DTLS设置攻击12-4伴随DTLS会话的干扰12-5 CAPWAP预配置12-6在 CAPWAP中使用预共享密钥127在 CAPWAP中使用证书12-8在CN字段中使用MAC地址129AAA安全12-10wTP固件13章运行考虑14章传输考虑第15章IANA考虑15-1IP4多播地址15-2IP多播地址15-3UDP端口15-4 CAPWAP消息类型15-5 CAPWAP首部标记15-6 CAPWAP控制消息标记15-7 CAPWAP消息要素类型15-8 CAPWAP无线绑定标识符15-9AC安全类型15-10 AC DTLS略15-11AC信息类型15-12 CAPWAP传输协议类型15-13数据传送类型15-14数据传送模式15-15发现类型15-16ECN支持15-17无线电设备管理状态15-18无线电设备运行状态15-19无线电设备故障原因15-20结果代码15-21返回的消息要素原因15-22WTP主板数据类型15-23wTP描述符类型15-24WTP回退模式15-25WTP帧強道模式15-26 WTP MAC类型15-27WTP无线电设备统计量故障类型15-28wTP重启统计量故障类型第16章致谢第17章参考文献17-1标准类参考文献17-2信息类参考文献编辑通讯录第1章序言这个文档介绍 CAP WAP协议,·个标准的、互操作协议,它使接入控制器( AccessController,AC能够管理无线终端点( Wireless termination points,wTPs)的集合。 CAPWAP协议的定义与层2(L2)技术无关,满足在“无线接入点的控制和配置目标( Objectives for Controland Provisioning of wireless Access Points( CAPWAP)”[RFC4564]中的目标。集中式TFFE802.1无线局域网( Wireless local area network,WLAN架构的出现,该架构中IEE⑧02. I WTPS由AC轻松管理,喑示基于标准的、可互操作的协议能够极大简化无线网络部岧和管理。wTPs需要一系列动态管理和控制功能,这些功能与WTPs连接无线和有线媒介的主要任务有关。管理wIPs的传统协议或者是通过HITP、通过特定第2层专有方法人工静态配置,或者就根本没有(如果WTPs是自组织的)在[RFC5416中定义的IEEE802.1l绑定,用于支持 CAPWAP协议与IEEE802 L WLAN网络一起应用。CAP WAP假设,网络被配置成由通过IP( (Internet Protocol)与AC通信的多个WTPs构成WTPs被看作是由AC控制的远端无线电没备射频( Radio frequency,RF)接口。 CAPWAP办议支持两和运行模式: Split mac( Mediu access contro)和 Local mac。在 Split mac运行模式,所有第2层无线数据和管理帧由 CAPWAP协议封装,并在AC和WTP间交换。如图1所小,从移动设各(本规范将移动设备称为站( Station,STA)收到的无线帧,直接由WTP封装并转发到AC无线帧无线 PHYMACCAPWAP子层STAWTPAC图1典型 Split MAc CAPWap架构Local mac运行模式可用于本地桥接的数据帧,或用于隧道化为802.3帧的数据帧。后者暗示WTP执行802.1 Integration功能。在每一种情况,第2层无线管理帧由WTP在本地处理,接着转发到AC。图2显示 Local mac模式,在该模式中,站发射无线帧,该无线帧用8023帧封装,并被转发到AC无线帧8023帧无线 PHY/MACCAPWAP子层STAWTPAC图2典型 Local MAC CAPWAP架构提供具有安全证书的WTPs和决定授权哪个wTPs提供业务,传统通过专用解决方案处理。允许以可互操作的方式、从集中的AC执行这些功能增加了可管理性,使网络运营商能够更严密控制他们的无线网络基础架构1-1目标CAP WAP协议的目标是l、为了集中无线网络的认证功能和策略执行功能。AC也可以提供集中的桥接、转发和用户流量加密。通过在无线网络更多使用网络处理芯片能力,类似有线LANs经历的:集中这些功能将降低成本,提高效率。2、为了能够将较高层协议处理从WTP转出。把吋间敏感的无线控制应用和接入应用留在wTP,从而提高WTPs中有限计算能力的使用效率,这些应用现在受到严重成本压力3、为」提供不受限于特定无线技术的可扩展协议。釆用通用的封装和传输机制获得可扩展性,使得将来通过特定无线绑定, CAPWAP协议能够用于许多接入点类型。CAPWAP协议仪关注WIP和AC间的接∏。AC间和站到AC的通信严格讲超出这个文档范围1-2本文档中的约定本文档中出现的术语“MUST”、“ MUST NOT”、“ REQUIRED”、“ SHALL”“ SHALL NOT”、“ SHOULD”、“ SHOULD NOT”、“ RECOMMENDEDmAY和“ OPTIONAL”的含义,遵循RFC2119[RFC2119描述。1-3特约作者这一节呈上对木标准重要内容和概念做出贡献的作者,并向他们致谢CAPWAP Working Group选择 ightwcight Acccss Point Protocol(LWAP)[WAPP]为CAPWAP办议规范的基础。 LWAPP文档的作者为:Bob oharaEmail: bob ohara@compuler. orgPat Calhoun. Cisco Systems Inc170 West Tasman Drive. San Jose. CA 95134Phone:+1408-902-3240,Email:pcalhoun(@cisco.comRohit Suri, Cisco Systems, Inc.170 West Tasman Drive. San Jose.CA 95134Phone:+1408-853-5548,Email:rsuri@cisco.comNancy cam winget, Cisco Syslems, Inc170 West Tasman drive. San Jose. CA 95134Phone:+l408-853-0532,Email:ncamwing(acisco.comScott Kelly, Aruba Networks1322 Crossman Ave, Sunnyvale, CA 94089Phone:+1 408-754-8408, Email: skelly@arubanetworks comMichael Glenn Williams. Nokia Inc313 Fairchild Drive Mounta in View. CA 94043Phone:+l650-714-7758,Email:Michael.g.Williams(anokia.comSue hares Green hills software825 Victors Way, Suite 100, Ann Arbor, MI 48108Phone:+I 734 222 1610. Email: shares andzh comDatagram Transport Layer Security(DTLS)[RFC4347]被用作 CAPWAP协议的安全解决方案。本文档中与DILS有关的重要内容的作者为Scott Kelly, Aruba Nctworks1322 Crossman Ave, Sunnyvale, Ca 94089Phone:+1408-754-8408Email:skelly@arubanetworks.comEric rescorla Network resonance2483 El Camino Rcal #212. Palo alto CA. 94303Email: ekranetworkresonance comDILS概念的使用确保 CAP WAP协议戊为 Secure light Access point protocol( SLAPP)建议[SLAP門]的一部分。 SLAPP建议的作者为artha Narasimhan. Aruba Networks1322 Crossman Ave, Sunnyvale, CA94089Phone:+1408-480-4716Email:parthaaarubanetworks.comDan Harkins, Trapeze Networks5753 W. Las positas blvd. pleasanton Ca 94588Phone:+1-925-474-2212EmaIl:dharkins(@trpz.comSubbu ponnuswamy Aruba networks1322 Crossman Ave, Sunnyvale, CA 94089Phone:+l408-754-1213Email: subbu(Carubanetworks com为撰写[RFC5418]文档所涉及安全部分内容作出重要贡献的人士有T. Charles Clancy, laboratory for Telecommunications Sciences8080 Greenmead Drive, College Park, MD 20740Phone:+1240-373-5069,Email:clancy@Itsnet.netScott Kelly, Aruba networks1322 Crossman Ave, Sunnyvale, CA 94089Phone: +1 408-754-8408, Email: scott(hyperthought. com1-4语Access Controller (AC)访问控制。在数据平面、控制平面、管理平面,或它们的组合中,将WTP接入到网终基础设施的网络实体CAPWAP Control channelCAPWAP控制通道。由 AC IP Address、 WTP IP Address y、AC控制端凵、wTP控制端口和传输层协议(UDP或LDP-Lie)定义的双向流,在其上发送和接收 CAPWAP Control分组CAPWAP Data ChanneCAPWAP数据通道。由 AC IP Address、 WtP IP Address、AC数据端口、WTP数据端口和传输层协议(UDP或UDP-Lte)定义的双向流,在其上发送和接收 CAP WAP Data分组Station(STA)沾(STA)。包含到无线媒介( Wireless mcdium,WM接口的设备。Wireless Termination Point (WTP)无线终端点(WTP)。包括射频天线和无线物理层(PHY)的物理或网络实体,主要功能是发送和接收无线接入网络的站流量。木文档使用[RFC3753]中定义的补充术语。第2章协议综述CAPWAP协议是通用协议,它定义通过 CAPWAP协议传输机制,进行AC和WTP控制和数据平面通信。 CAPWAP Contro消息,和可选的 CAPWAP Data消息,使用 DatagramTransport Layer Securily(DTLS)[RFC4347]进行安全保护。DTLS是源」TLS的标准跟踪ITF协议。TIS的基础安全相关协议机制已经成功部署许多年。CAPWAP协议传输层携带两类净付, CAPWAP Data消息和 CAPWAP Control消息CAPWAP Data消息封装转发的无线帧。 CAPWAP Control消息是WTP和AC间交换的管理消息。 CAPWAP Data分组和 Control分组在分开的UDP端凵上发送。因为数据分组和控制分组可能都超过 Maximum transmission unit(MTU长度, CAPWAP Data或 Control消息的浄荷可能需要分段。第3章定义分段处理CAPWAP Protocol由 Discovery阶段开始。WTPs发送 Discovery Request消息,诱发任何收到该消息的AC用 Discovery Response消息响应。根据收到的 Discovery response消息WTP用与其建立安全的DTLS会话来近择一个AC。为了建立安全的DTLS连接,WTP需要做某些预酩置,预配置在第12-5节介绍。根据发现的、网络能支持的最大长度,分段CAPWAP协办议消息旦WIP和AC完成DTLS会话建立,开始配置交换,其间两个设备对采用的版本达成一致。在这个交换中,wTP可以接收配置设置。然后,WTP开始运行当WTP和AC完成版本和配置交换并启动WTP后, CAPWAP协议用于封装在WTP和AC见发送的无线数据帧。如果被封装的无线用户数据(Data)帧或协议控制( Management)帧的长度引起最终的 CAPWAP协议分组超过WTP和AC间支持的MTU, CAPWAP协议将分段第2层帧。为了重建原始封装的浄荷,被分段的 CAPWAP分组被重组。 MTUDiscoveryand fragmentation在第3章介绍CAPWAP Protocol由 Discovery阶段开始。WTPs发送 Discovery Request消息,诱发任何收到该消息的AC用 Discovery Response消息响应。根据收到的 Discovery Response消息,WTP用与其建立安全的DTLS会话来选择一个AC。为了建立安全的DTLS连接,WTP需要一些预配置,预配置在第12-5节介绍ε根据发现的、网络能支持的最大长度,分段 CAPWAP办议消息。一日WIP和AC完成DTIS会话建立,开始配置交换,其间两个设备对采用的版本达成致。在这个交换中,WTP可以接收配置设置。然后,WTP丌始运行当WTP和AC完成版本和配置交换并启动WTP后, CAPWAP协议用于封装在WTP和AC间发送的无线数据帧。如果被封装的无线用户数据(Data)帧或协议控制( Management)帧的长度引起最终的 CAPWAP协议分组超过WTP和AC间支持的MTU, CAPWAP协议将分段第2层帧。为了重建原始封裝的净荷,分段的 CAPWAP分组被重组。 MTU Discovcryand Fragmentation在第3章介绍。CAPWAP协议提供从AC到WTP的指令传送,这些指令用于管理与WTP通信的站。这可以包括在wIP中建立这些站的本地数据结构,以及收集有关WIP与这些站间通信的统计信息。 CAPWAP协议为AC提供机制,以便获待由WTP收集的统计信息、。