CAPWAP

CAPWAP (Control and Provisioning of Wireless Access Points) är ett IEEE-standardiserat protokoll som möjliggör centraliserad kontroll av åtkomstpunkter (AP) i ett trådlöst nätverk genom en trådlös kontrollant (WLC). Detta innebär att en WLC kan hantera inställningar, uppdateringar och policyer för flera AP, vilket gör det enklare att hantera stora trådlösa nätverk. Genom CAPWAP kan WLC övervaka nätverkstrafik, autentisera användare och distribuera konfigurationer till alla anslutna AP.

CAPWAP är baserat på LWAPP (Lightweight Access Point Protocol), men erbjuder extra säkerhet genom Datagram Transport Layer Security (DTLS). LWAPP är ett protokoll som också används för att styra flera AP från en central WLC, vilket förenklar administrationen av nätverket genom att hantera konfigurationer och uppdateringar.

CAPWAP använder tunnlar över User Datagram Protocol (UDP)-portar och kan arbeta med både IPv4 och IPv6 men använder som standard IPv4.

CAPWAP och UDP-portar för IPv4 och IPv6

Både IPv4 och IPv6 använder UDP-portarna 5246 och 5247 för CAPWAP-kommunikation:

  • Port 5246: Hanterar CAPWAP-kontrollmeddelanden. Dessa meddelanden används av WLC för att konfigurera och styra åtkomstpunkter (AP).
  • Port 5247: Hanterar datapaket från trådlösa klienter som kapslas in och skickas genom CAPWAP-tunneln.

När CAPWAP-tunnlar används, skiljer sig IP-protokollen i paketets header beroende på IP-versionen:

  • IPv4 använder IP-protokoll 17 (för UDP).
  • IPv6 använder IP-protokoll 136.

Detta möjliggör kommunikation mellan WLC och AP oavsett om nätverket kör IPv4 eller IPv6, samtidigt som data och kontrollmeddelanden hålls separata för effektiv hantering.

Split MAC Architecture

En central del i CAPWAP-protokollet är användningen av delad Media Access Control (MAC), där nätverksfunktioner som normalt hanteras av en enskild AP delas upp mellan två komponenter: åtkomstpunkten (AP) och den trådlösa kontrollanten (WLC). Med split MAC kan WLC och AP samarbeta för att effektivt hantera trådlösa nätverksfunktioner.

I split MAC-arkitekturen hanteras vissa funktioner direkt av AP, medan andra sköts centralt av WLC:

  • AP MAC-funktioner: Dessa hanteras direkt av AP och inkluderar grundläggande trådlösa funktioner som att sända ut beacons och probe-svar, bekräfta paket och hantera ompaketering av förlorade paket. AP prioriterar även trafik och hanterar MAC-lagrets datakryptering och dekryptering.

  • WLC MAC-funktioner: Dessa funktioner hanteras av WLC och innefattar mer avancerade nätverkshanteringsuppgifter, såsom autentisering, association och re-association för roaming-klienter och översättning av ramar till andra protokoll. WLC hanterar också anslutningen av 802.11-trafik till det trådbundna nätverket.

Denna uppdelning gör det möjligt för AP att hantera grundläggande trådlösa funktioner lokalt, medan WLC tar hand om centraliserade och säkerhetsrelaterade uppgifter, vilket förbättrar nätverksprestanda och förenklar hanteringen av stora nätverk.

DTLS-kryptering

Datagram Transport Layer Security (DTLS) är ett protokoll som skyddar kommunikationen mellan en åtkomstpunkt (AP) och en trådlös kontrollant (WLC) genom att kryptera data och förhindra avlyssning eller manipulering. Som standard är DTLS aktiverat för att säkra CAPWAP-kontrollkanalen, vilket innebär att all hanterings- och kontrolltrafik mellan AP och WLC är krypterad för att skydda mot avlyssning och man-in-the-middle-attacker (MITM).

Datakryptering i CAPWAP är valfritt och kan aktiveras individuellt för varje AP. Om det behövs kräver datakryptering en särskild DTLS-licens på WLC. När det är aktiverat krypteras all klient-trafik mellan AP och WLC, vilket ökar säkerheten för dataöverföringar.

FlexConnect APs

FlexConnect är en lösning för att fjärrstyra och hantera AP i filialkontor via en WAN-länk utan behov av en lokal kontrollant på varje kontor. Denna lösning passar bra för organisationer som vill hantera fjärrkontor centralt från huvudkontoret.

FlexConnect har två driftlägen:

  • Connected mode (Anslutet läge): När WLC är tillgänglig är AP ansluten och använder CAPWAP-tunneln för att skicka all trafik till WLC. WLC hanterar alla funktioner och styr CAPWAP-trafiken som vanligt.

  • Standalone mode (Frånkopplat läge): Om AP förlorar anslutningen till WLC övergår den till frånkopplat läge. I detta läge kan AP hantera vissa funktioner själv, som att skicka klient-data lokalt och utföra grundläggande autentisering, vilket gör att nätverket kan fungera även utan ständig kontakt med WLC.