CAPWAP的几个阶段

CAPWAP的几个阶段

• 通过DHCP的四步交互过程，获取AC的IP地址：
▫ 在没有预配置AC的IP列表时，则启动AP动态AC发现机制。通过DHCP获取IP地
址，并通过DHCP协议中的Option返回AC地址列表（IPv4报文通过在DHCP服务
器上配置DHCP响应报文中携带Option 43，且Option 43携带AC的IP地址列
表）。
▫ 首先是AP发送DHCP Discover广播报文，请求DHCP Server响应，在DHCP服务
器侦听到DHCP Discover报文后，它会从没有租约的地址范围中，选择最前面
的闲置IP，连同其他TCP/IP设定，响应AP一个DHCP Offer报文，该报文中会包
含一个租约期限的信息。
▫ 由于DHCP Offer报文既可以是单播报文，也可以是广播报文，当AP端收到多台
DHCP Server的响应时，只会挑选其中一个Offer(通常是最先抵达的那个)，然
后向网络中发送一个DHCP Request广播报文，告诉所有的Offer，并重新发送
DHCP，将指定接收哪一台服务器提供的IP地址。
▫ 当DHCP Server接收到AP的Request报文之后，会向AP发送一个DHCP Ack响应，
该报文中携带的信息包括了AP的IP地址，租约期限，网关信息，以及DNS
Server IP等，以此确定租约的正式生效，就此完成DHCP的四步交互工作。
• 通过AC发现机制，与AC关联：
▫ AP通过DHCP服务获取AC的IP地址后，使用AC发现机制来获知哪些AC是可用的，
决定与最佳AC来建立CAPWAP的连接。
▫ AP启动CAPWAP协议的发现机制，以单播或广播的形式发送发现请求报文试图
关联AC，AC收到AP的Discovery Request以后，会发送一个单播Discover
Response 给AP，AP可以通过Discover Response中所带的AC优先级或者AC上
当前AP的个数等，确定与哪个AC建立会话。

• DTLS握手：
▫ AP根据此IP地址与AC协商，AP接收到响应消息后开始与AC建立CAPWAP隧道，
这个阶段可以选择CAPWAP隧道是否采用DTLS加密传输UDP报文。
▫ DTLS: Datagram Transport Layer Security（数据报传输层安全协议）

• AC判断AP是否能够接入的流程：
▫ 第一，首先查看AP是否被列入了黑名单，如果在黑名单中能匹配上AP，则不允
许AP接入，然后就没有然后了。如果很幸运，没有匹配上黑名单，那么将进入
第二关。
▫ 第二，判断AP的认证模式，如果AC上对AP上线要求不严格，认证方式为不认
证，则到这一关的AP都将闯关成功，允许接入。实际使用场景还是建议使用
MAC或SN认证，严格控制AP的接入。如果是MAC或SN认证，还需要继续闯关。
▫ 第三，本关MAC或SN认证分别要验证MAC或SN对应的AP是否离线添加，如果
已添加，则允许AP接入，否则进入下一关。
▫ 第四，查看AP的MAC或SN是否能在白名单中匹配上，如果匹配上，则允许接
入，否则AP被放入到未认证列表中。
▫ 第五，未认证列表中的AP可以通过手动配置的方式，允许其接入，如果不对其
进行手动确认，AP也无法接入。

• 1.判断AP是否在黑名单中。
▫ 如果是，则不允许该AP上线。AC拒绝AP接入，实际上就是不响应AP的
1)discovery或2）join请求。对于1）AP不会收到响应报文，根本不知道有这个
AC，AP会继续去发现其他AC（根据预配置或动态获得的AC列表）；对于2）
AP等待Join阶段超时，重新走AP发现AC流程。
▫ 如果否，则执行下一步。
• 2.判断AP的MAC或SN是否已经在预配置列表中（离线添加或曾经上线过）。
▫ 如果是，则该AP直接上线。
▫ 如果否，则执行下一步。
• 3.判断该AP是否需认证才能上线。
▫ 如果否，则该AP直接上线。
▫ 如果是，则执行下一步。
• 4.判断该AP是否在白名单中。
▫ 如果是，则系统经过核对待上线AP的MAC/SN与白名单中的记录，在认证通过
后，AP直接上线。
▫ 如果否，则系统把该AP放入“未认证列表”。并且，如果用户希望该AP上线，
则执行下一步。

• 5.输入待上线AP的MAC或SN，启动手工确认，使AP上线。

• AP收到前一阶段AC回应的报文后，如果发现里面有指定了AP的版本，并且指定的版
本与AP当前的版本不一致，会进行AP版本升级。升级完成后，AP自动重新启动，并
且重复之前的所有上线过程。如果AP发现AC回应的报文里面指定的AP版本和自身的
版本一致，或者没有指定AP的版本，则AP不需要进行版本升级。直接进入下一个阶
段。

• AP发送数据心跳报文keepalive，AC收到后标志数据隧道建立，AP进入normal状态。
• AP 数据心跳报文，定期发送（默认25 s），用于检测数据链路是否正常。
• AP控制心跳报文，定期发送（默认25 s），用于检测控制链路是否正常。

• AP上线后，会主动向AC发送Configuration Status Request报文，该信息中包含了现
有AP的配置，为了做AP的现有配置和AC设定配置的匹配检查。当AP的当前配置与AC
要求不符合时，AC会通过Configuration Status Response通知AP。
• 说明：AP上线后，首先会主动向AC获取当前配置，而后统一由AC对AP进行集中管理
和业务配置下发。