CAPWAP (Control and Provisioning of Wireless Access Points) är ett IEEE-standardiserat protokoll designat för att möjliggöra centraliserad kontroll och hantering av åtkomstpunkter (APs) i ett trådlöst nätverk (WLAN) genom en trådlös kontrollant (Wireless LAN Controller, WLC). Det innebär att en WLC kan administrera inställningar, uppdateringar, och policyer över flera APs, vilket gör det enklare att skala och säkra stora trådlösa nätverk effektivt. Genom CAPWAP kan WLC hantera nätverkstrafik, autentisera användare, och distribuera konfigurationer till alla anslutna APs.
CAPWAP bygger på LWAPP men tillför ytterligare säkerhet genom Datagram Transport Layer Security (DTLS). LWAPP står för Lightweight Access Point Protocol. Det är ett nätverksprotokoll som används för att styra flera åtkomstpunkter (APs) från en central kontrollant. LWAPP möjliggör centraliserad hantering av flera APs, vilket förenklar konfiguration och administration av ett trådlöst nätverk. Protokollet används för att kommunicera mellan åtkomstpunkterna och den trådlösa kontrollanten och hanterar aspekter som konfiguration, kontroll av trafik och hantering av firmware-uppdateringar.
CAPWAP etablerar tunnlar över User Datagram Protocol (UDP)-portar. CAPWAP kan operera antingen över IPv4 eller IPv6, som visas i figuren, men använder som standard IPv4.
IPv4 och IPv6 använder båda UDP-portarna 5246 och 5247. Port 5246 används för CAPWAP-kontrollmeddelanden som WLC använder för att hantera AP. Port 5247 används av CAPWAP för att inkapsla datapaket som reser till och från trådlösa klienter. Dock använder CAPWAP-tunnlarna olika IP-protokoll i paketets header. IPv4 använder IP-protokoll 17 och IPv6 använder IP-protokoll 136.
Split MAC Architecture
En viktig komponent i CAPWAP är konceptet med en delad medieåtkomstkontroll (Media Access Control, MAC). Konceptet med delad MAC i CAPWAP utför alla funktioner som normalt utförs av individuella APs och distribuerar dem mellan två funktionella komponenter:
- AP MAC-funktioner
- WLC MAC-funktioner
Tabellen nedan visar några av MAC-funktioner.
AP MAC Functions | WLC MAC Functions |
---|---|
Beacons and probe responses | Authentication |
Packet acknowledgements and retransmissions | Association and re-association of roaming clients |
Frame queueing and packet prioritization | Frame translation to other protocols |
MAC layer data encryption and decryption | Termination of 802.11 traffic on a wired interface |
.
DTLS-kryptering
DTLS är ett protokoll som ger säkerhet mellan åtkomstpunkten (AP) och den trådlösa kontrollanten (WLC). Det möjliggör krypterad kommunikation mellan dem och förhindrar avlyssning eller manipulering.
DTLS är som standard aktiverat för att säkra CAPWAP-kontrollkanalen men är avaktiverat som standard för datakanalen, som visas i figuren. All CAPWAP-hanterings- och kontrolltrafik som utbyts mellan en AP och WLC är krypterad och säkrad som standard för att ge sekretess på styrsignaler och förhindra attacker med Man-In-the-Middle (MITM).
Kryptering av CAPWAP-data är valfritt och aktiveras per AP. Datakryptering kräver en DTLS-licens installerad på WLC innan den aktiveras på en AP. När den är aktiverad krypteras all WLAN-klienttrafik vid AP innan den vidarebefordras till WLC och tvärtom.
FlexConnect APs
FlexConnect är en trådlös lösning för filialkontor och avlägsna kontorsinstallationer. Det låter dig konfigurera och kontrollera åtkomstpunkter i ett filialkontor från huvudkontoret via en WAN-länk, utan att behöva en kontrollant i varje kontor.
Det finns två driftlägen för FlexConnect AP.
- Connected mode (Anslutet läge) – I detta läge är den trådlösa kontrollanten (WLC) tillgänglig. FlexConnect-AP bibehåller CAPWAP-anslutning till sin WLC och kan därmed överföra trafik genom CAPWAP-tunneln, som visas i figuren. Under dessa förhållanden hanterar WLC alla CAPWAP-relaterade funktioner.
- Standalone mode (Frånkopplat läge) – Om FlexConnect-AP förlorar eller inte kan upprätta en CAPWAP-anslutning med sin trådlösa kontrollant (WLC), övergår den till ett frånkopplat läge. I detta läge kan åtkomstpunkten självständigt hantera vissa av WLC uppgifter, som att lokalt hantera växling av klientdatatrafik och utföra autentisering av klienter.