CAPWAP协议培训初稿

1.3 CAPWAP协议概述

CAPWAP 是一个定义AC和WTP控制和数据报文交互的框架性协议。CAPWAP的控制消息以及部分的CAPWAP数据消息，使用UDP层的加密机制（DTLS:Datagram Transport Layer Security）。DTLS是基于TLS的标准IETF协议。

CAPWAP传输层携带两种载荷：CAPWAP数据消息和控制消息。数据消息被封装成无线帧，控制消息作为管理消息在WTP与AC间进行交互。数据和控制消息分别传输在不同的UDP端口（AC上的CAPWAP控制报文端口为5246，数据报文端口为5247，WTP可

以随意选择CAPWAP控制和数据端口）。当数据和控制报文超出了MTU值的长度，这

些报文可以分片,CAP 中定义了这种分片机制。 1.3.1

CAPWAP工作原理

WTP 被连接到网络时即进入发现 AC 的过程。WTP 使用广播、组播或单播方式发送“发现请求”，当使用单播方式时，需首先通过 DHCP 或 DNS 获得 AC 的 IP 地址列表。收到请求的 AC 返回“发送应答”给 WTP，WTP 在应答的 AC 中，选择一个建立 DTLS 连接。 DTLS 连接建立成功后，WTP 发送“加入请求”，AC 回复“加入应答”确认 WTP 加入该 AC 的管理范围。若 WTP的固件版本过期，则进入升级固件过程，WTP 从 AC 下载最新版本的固件，升级成功以后重启，重新进入发现过程；若WTP 固件为最新版本，则从 AC 下载配置参数，随后进入运行阶段。下图为工作原理示意图。

发现AC建立DTLS加入AC重启版本过期NO下载配置YES升级固件运行 图1.3 CAPWAP工作原理示意图

在运行状态中，AC 通过控制报文动态更改 WTP 配置，获取 WTP 运行状态、STA 信息、射频信息等，由于所有数据都集中在 AC 进行处理，因此可以很容易实施全网级的 QoS、动态射频管理等策略。

1.3.2 AP发现AC的过程

我们如何得知AC的IP地址呢？ 1. 在WTP 内静态配置

WTP的发现过程是可选的。如果在WTP上静态配置了AC，那么WTP并不需要完成AC的发现过程。

2. 通过CAP获得（广播不能跨网段）

WTP首先发送一个 Discovery Request message给受限的广播地址，或者CAPWAP的多播地址(224.0.1.140)，或者是预配置的AC的单播地址。在IPV6网络中，由于广播并不存在，因此使用\来代替。 3. Option 43通过DHCP获得（如现在已经可用的DHCP Option43）

没有配置静态AC IP地址，且通过DHCP获取自己的IP地址，则可以通过OPTION 43选项获取AC IPv4地址和/或OPTION 52获取AC IPv6地址 4. 通过DNS解析获得

如果AP获取到了DNS服务器地址，则AP可以通过DNS方式来获取AC地址。

1.3.3

WTP callout for AC authorization DTLS session now begin optional discoveryend optional discoverybegin DTLS handshakeDTLS 握手（DTLS:Datagram Transport Layer Security RFC4347）

Discovery requestDiscovery responseClient HelloHelloVerifyRequest (with cookie) ClientHello (with cookie)ServerHello,Certificate,ServerHelloDone*Certificate,ClientKeyExchange,CertificateVerify,ChangeCipherSpec, Finished* ChangeCipherSpec, Finished*Join RequestJoin ResponseAC callout for WTP authorization is established

assume image is up to date

1. WTP首先发送一个ClientHello消息来发起握手，说明它支持的密码算法列表、压缩方

法及最高协议版本和其他一些需要的消息。

2. AC回复一个HelloVerifyReuqest 消息，client必须重传添加了cookie的ClientHello。server

然后验证cookie，如果有效的话才开始进行握手。

3. AC回应一个ServerHello消息，包含服务器选择的连接参数，源自客户端初期所提供的

ClientHello，确定了这次通信所需要的算法，然后发过去自己的证书(里面包含了身份和自己的公钥)。

4. Client在收到这个消息后会生成一个秘密消息，用SSL服务器的公钥加密后传过去，SSL

服务器端用自己的私钥解密后，会话密钥协商成功，双方可以用同一份会话密钥来通信了。 1.3.4

下面简要介绍一下CAPWAP会话建立的流程，对于DTLS连接过程在本文中暂不涉及，交互流程见图1.4：

CAP建立过程