RFC5415(中文)无线AP控制和配置CAPWAP协议标准-添加书签版

CAPWAP协议介绍一、引言CAPWAP（Control and Provisioning of Wireless Access Points）是一种用于管理和配置无线接入点（AP）的协议。

本协议旨在提供一种标准的方法，通过网络将AP与网络控制器（AC）进行连接，实现对AP的集中管理和配置。

本文将详细介绍CAPWAP协议的背景、功能、架构和工作流程。

二、背景随着无线网络的普及和规模的扩大，传统的无线接入点管理方式已经无法满足对大规模AP的集中管理需求。

传统方式需要逐个登录AP进行配置，效率低下且容易出错。

因此，需要一种新的协议来实现对AP的集中管理和配置，提高管理效率和可靠性。

三、功能CAPWAP协议具有以下主要功能：1. AP的自动发现和加入：AC通过广播或组播的方式向网络中的AP发送探测消息，AP收到消息后可以自动加入指定的AC，并与其建立CAPWAP隧道。

2. AP的集中管理：AC可以对所有已加入的AP进行统一管理，包括配置、监控、故障处理等。

3. AP的配置下发：AC可以向AP下发配置信息，包括无线参数、安全策略、QoS设置等。

4. AP的固件升级：AC可以向AP下发固件升级包，并协助AP完成升级过程。

5. AP的状态监控和统计：AC可以实时监控AP的工作状态、网络负载、用户连接数等，并进行统计和分析。

6. AP的故障处理：AC可以检测到AP的故障，并采取相应的措施，如自动切换到备用AP、发送告警通知等。

四、架构CAPWAP协议采用客户端-服务器模式，由AP作为客户端，AC作为服务器。

其架构包括以下组件：1. AP：无线接入点，负责无线信号的发射和接收，通过CAPWAP协议与AC进行通信。

2. AC：网络控制器，负责AP的集中管理和配置，与AP建立CAPWAP隧道。

3. CAPWAP隧道：AP和AC之间的逻辑通道，用于传输CAPWAP消息。

4. CAPWAP消息：AP和AC之间的通信单位，用于传递管理和配置信息。

CAPWAP控制与管理协议CAPWAP（Control and Provisioning of Wireless Access Points）是无线局域网（WLAN）技术中的一种重要协议，用于控制和管理无线接入点（Access Point，AP）。

本文将就CAPWAP控制与管理协议的特点、功能及其在无线网络中的应用进行探讨。

一、CAPWAP协议简介CAPWAP协议是由IETF（Internet Engineering Task Force，互联网工程任务组）定义的一种网络协议，用于实现无线接入点与网络控制器（Wireless LAN Controller，WLC）之间的通讯。

它定义了一套标准化的消息传递机制和协议格式，使得无线接入点能够与网络控制器进行有效地通信和管理。

二、CAPWAP协议的特点1. 灵活性：CAPWAP协议支持多种无线接入点与网络控制器之间的通讯方式，如以太网、无线局域网等，具有很强的灵活性和可扩展性。

2. 安全性：CAPWAP协议提供了多种安全机制，如数据加密、身份认证等，确保无线接入点与网络控制器之间的通讯过程安全可靠。

3. 高效性：CAPWAP协议通过优化消息传递机制和协议格式，实现了高效的无线网络管理和控制，提高了系统性能和用户体验。

4. 可管理性：CAPWAP协议定义了丰富的管理接口和命令，使得网络管理员能够对无线接入点进行集中管理和配置。

三、CAPWAP协议的功能1. 网络发现与配置：CAPWAP协议支持无线接入点的自动发现和配置，简化了网络的部署和管理流程。

2. 无线接入点的管理和控制：CAPWAP协议允许网络控制器对接入点进行集中管理和控制，包括配置参数、固件升级、性能监测等。

3. 用户身份认证：CAPWAP协议支持多种用户身份认证方式，如预共享密钥（PSK）、802.1X认证等，确保无线网络的安全性。

4. 无线接入点的状态监测：CAPWAP协议能够实时监测接入点的运行状态和性能指标，帮助网络管理员及时发现和解决问题。

频段我们说频段是由一定的频率范围组成，通常我们会说AP工作在2.4G或者5.8G 频段上，这里说的 2.4G是指工作在 2.4GHz~2.4835GHz之间。

而目前802.11n标准规定了这两个工作频段，其中每个工作频段又包括了多个信道。

每个AP的一个无线信号（WIFI信号）最终都是工作在某个频段的某个信道上。

如果两个信道叠加，就会产生干扰。

信道将频段分为不同的频率区间，每个区间一个信道。

1当AP工作在2.4GHz频段时，此频段范围内又划分出14个信道。

每个信道的中心频率相隔5MHz，每个信道可供占用的带宽为22MHz，如下图示信道 1的中心频率为2412MHz，信道 6的中心频率为2437MHz,信道 11的中心频率为2462MHz。

2当AP工作在5.8GHz频段的时候，我国允许的AP信道为149、153、157、161、165共5个信道。

我国wlan工作的频率范围是5.725GHz~5.850GHz。

在此频率范围内又划分出5个信道。

每个信道的中心频率相隔20MHz。

2.4GHZ互不干扰的信道：1、6、11；5.8GHZ互不干扰的信道:149、153、157、161、165；功率AP发射信号的强度，单位时间内转移或转换的能量定义为功率，单位是W。

比如RAP210设备标称功率为100mW，是指AP通过天线可以每秒辐射出100mW 的能量。

锐捷设备主要是100mw（室内放装型设备），500mw（室内分布式与室外设备）+3db功率增加一倍、+10db功率增加10倍-3db功率减少一倍、-10db功率减少10倍门限值信号强度一个界限 (简称RSSI)，RSSI指的是接收信号强度，范围0～100（对应的无线用户信号强度在此基础上-95，例如配置值25，对应的无线用户信号强度为25-95 = -70dBm）1.AP密集场景：当终端接入无线网络时，如果终端与待接入的AP距离比较近，但终端还是关联信号较弱的AP上导致体验不好。

1.项目简介及使用地点随着网络信息技术的高速发展，无线网络技术已经越来越普遍的用于各企业办公区域，办公无线网络的主要应用是将大家从有线的束缚中解放出来，随时随地都可以连接到网络获取相关资讯，提高工作效率。

随着笔记本、平板电脑、智能手机、WiFi通讯等终端设备对无线网络的需求，办公无线网络将取代有线网络成为企业办公网络的主流。

我单位办公楼宇内现有有线网络由于建设时间比较长，线路老化较多，加上现在每个办公室内网络终端设备较多，而且大多都是笔记本，现有有线网络已经无法满足办公需求。

且我矿院区没有无线网络覆盖，井下wifi手机没有办法在地面使用，使 wifi手机的使用范围极大限制。

基于以上情况，我单位计划建设矿区无线办公网络。

本项目着重于考虑我单位利用无线AP技术对整个办公区域及工业广场的无线信号全覆盖，实现我矿地面wifi无线手机通讯和楼宇办公室无线网络办公，为我单位网络智能化、办公自动化的建设打下夯实基础。

2.货物名称及供货范围3.系统建设要求3.1项目建设要求➢设备接入：支持笔记本电脑，USB无线网卡，智能手机，WIFI手机，平板电脑，PDA手持终端等无线WIFI上网和通讯功能。

➢网络服务：稳定地浏览网页，收发电子邮件，VOIP语音，在线视频播放服务，视讯聊天，企业远程OA办公等上网应用。

➢准入认证：支持强大的安全认证接入方式，作为一个开放的无线网络，无线接入支持WPA/WPA2-AES个人/企业应用、802.11x，Radius服务器等多种加密认证方式。

支持多SSID功能，可以分配不同的用户组，领导，管理人员，普通员工定制不同的加密认证方式，访问控制权限，而且满足不同终端设备不同的安全等级。

➢与现有的有线网络互为补充，扩展网络使用范围，使本单位内部网络的接入部署更为灵活。

3.2项目设计规划3.2.1机房部分采用原有核心交换机+原有无线wifi交换机（井下无线通讯）+无线控制器+楼层交换机+AP的网络架构；无线控制器部署在网络中心机房，控制器与网络核心、无线wifi。

初“设”WLAN（WLAN转发模式与网关位置设计）要用好WLAN，光知道一些功能和配置是没用的，其实其他一些特性也一样。

为什么呢？举个栗子。

我自己刚刚开始做一个WLAN项目的时候，就遇到了本篇文章所讨论的两个问题：转发模式选哪个、网关位置放在哪。

当我去查阅相关产品文档的时候，我看到了两种转发模式的对比，里面很清楚地写到：集中转发模式优点是“集中管理流量，安全性好”，缺点是“AC性能压力大”；直接转发模式优点是“AC性能压力小”，缺点是“不能集中管理流量，安全性不好”。

非常完美的两句话，都是以己之长，攻彼之短。

但是实际情况是：客户的无线流量并不大，一主一备至少两个AC，完全可以承担所有的无线流量，所以AC性能压力大不大客户完全无所谓。

因为设备已经买了，流量是否经过它客户并不关心——完全不存在“流量不经过AC可以省点电费，而客户为了这点几乎算不出来的电费而决定采用直接转发”的情况。

而对于安全性的问题，事实上当时我并不能明白“为什么流量经过一个AC统一转发，安全性就高了呢？走直接转发流量不也一样必定经过核心交换机的集中转发么”。

类似的对比，也在网关位置到底是放汇聚还是放核心的描述中出现。

但是这样“完全正确”的话并不能指导我在真实的项目中转发模式和网关位置的选择。

这也是促使我下决心写出这样一篇小短文的原因。

事实上，由于篇幅所限，这里所阐述的是一个很理想化的园区网络，结构非常清晰简单。

但是就是这样一个标准的园区，在WLAN设计时也有很多问题：简化管理员的配置管理，提高网络的安全性和稳定性，易于网络规模的扩展，以及实现WLAN的漫游，这些因素都直接影响到了转发模式和网关位置的选择。

可想而知，一些情况更加复杂的网络就更难以抉择了。

1.1 问题在园区网方案中，无线流量的转发模式与网关位置的设计决定了WLAN的基本网络架构。

同时这两个关键点的设计又决定了WLAN漫游所能实现的效果，在设计时需要综合考虑。

但是在以往的设计文档中这三者都是被分开讨论，所以本文档主要解决的就是在实际设计中应该如何综合考虑设计这三个问题。

4CAPWAP组播配置4.1理解CAPWAP组播4.1.1CAPWAP组播概述在阅读本配置指南之前，请先了解WLAN(Wireless Local Area Network，无线局域网)和CAPWAP协议(Control And Provisioning of Wireless Access PointsProtocol Specification)；因为理解CAPWAP组播，需要具备WLAN和CAPWAP协议的基本知识。

在无线局域网的部署中，当前有两种部署方式：瘦AP(Access Point，无线接入点)模式和胖AP模式。

其中，瘦AP模式逐渐成为主流的部署方式。

在瘦AP模式的部署中，有两类无线设备：AC(Access Controller，无线控制器)和AP；AP需要与AC建立连接，然后用户在AC上进行统一配置，AC就会把相关配置下发给所有AP。

AC和AP通过协作，从而为用户提供无线局域网的服务。

关于AC和AP间的协作规范，定义在RFC5415，即CAPWAP协议。

在CAPWAP协议中规定：当AC与AP建立了CAPWAP连接后，AC与每台AP间都会建立一条CAPWAP通信隧道，AC发送给AP的每个报文，都必须通过CAPWAP通信隧道；而AP发给AC的每个报文，也必须通过CAPWAP通信隧道。

CAPWAP通信隧道是一种点到点的隧道，是一种单播隧道。

如图1所示。

图 1.AC与AP的CAPWAP通信隧道示意图当在AC上进行组播时，AC要把一份组播报文发送给与本AC建立CAPWAP连接的所有AP，此时，AC需要往每个AP都单播一份组播报文，如图2所示。

从图2中，可以看到：给每个AP独自单播发送组播报文，加重了AC的负担，而且多份相同的组播报文在网络内传输，浪费了AC与AP间的网络带宽。

图 2.AC上进行组播的示意图为了解决上述中描述的问题，引入了CAPWAP组播技术。

CAPWAP组播技术的基本思想，就是在AC与关联此AC的所有AP间建立一个CAPWAP组播隧道(CAPWAP组播隧道的概念，在下述的基本概念章节中阐述)，这样，当AC往AP 发送组播报文时，AC只要发送一份组播报文就行了，即使用组播方式的单次发送代替单播方式的多次发送，从而减轻AC的负担，提高AC与AP间的网络带宽利用率。

CAPWAP（瘦AP）技术概述大型无线网络的挑战–管理、监测及控制大量AP所产生的挑战–对大量AP的配置及升级–无线局域网的空口传输不稳定，易受干扰，因而需要对多个AP之间的无Page2线干扰、信道转换、功率调整等进行集中控制，从而避免干扰，防止入侵，稳定整体性能–无线局域网的安全要求规模化的组网运营下必须采用瘦AP的架构–集中化完成配置更改、监控和管理，增强对用户和业务的控制–在各种组网模式下完成对AP的统一管理，去除了胖AP到BAS缺省路由的限制。

网络组网设计可以更为灵活。

–整体降低了网络故障率FAT AP 方案FIT AP 方案技术模式传统主流新生方式，增强管理安全性传统加密、认证方式，普通安全性增加射频环境监控，基于用户位置安全策略，高安全性Page 3网络管理对每AP 下发配置文件AC 上分组批量配置，AP 本身零配置WLAN 组网规模适合小规模组网拓扑无关性，适合大规模组网增值业务能力实现简单数据接入可扩展更多丰富业务LWAPP：Airspace（被Cisco收购）、Nexthop Technologies提出，Split MAC方式，使用UDP隧道，UDP12222和UDP12223传输数据报文和控制报文。

SLAPP：Aruba、Trapeze提出，支持桥接和隧道两种本地MAC模式，支持WTP端加解密和AC端加解密2种分离MAC机制，支持直连、2层和3层3种连接方式。

数据信道使用GRE技术，控制信道则使用安全的DTLS技术。

Page4CTP(CAPWAP Tunneling Protocol)：Chantry Networks（被Siemens收购）、Propagate Networks（改名叫AutoCell Laboratories了），，利用扩展的SNMP对WTP进行配置和管理，虽然实现了AP与WTP互相认证及一套基于AES-CCM的加密规则，但是并不完善。

CTP的控制消息着重于STA 连接状态、WTP配置和状态几方面。

1.项目简介及使用地点随着网络信息技术的高速发展，无线网络技术已经越来越普遍的用于各企业办公区域，办公无线网络的主要应用是将大家从有线的束缚中解放出来，随时随地都可以连接到网络获取相关资讯，提高工作效率。

随着笔记本、平板电脑、智能手机、WiFi通讯等终端设备对无线网络的需求，办公无线网络将取代有线网络成为企业办公网络的主流。

我单位办公楼宇内现有有线网络由于建设时间比较长，线路老化较多，加上现在每个办公室内网络终端设备较多，而且大多都是笔记本，现有有线网络已经无法满足办公需求。

且我矿院区没有无线网络覆盖，井下wifi手机没有办法在地面使用，使 wifi手机的使用范围极大限制。

基于以上情况，我单位计划建设矿区无线办公网络。

本项目着重于考虑我单位利用无线AP技术对整个办公区域及工业广场的无线信号全覆盖，实现我矿地面wifi无线手机通讯和楼宇办公室无线网络办公，为我单位网络智能化、办公自动化的建设打下夯实基础。

2.货物名称及供货范围3.系统建设要求3.1项目建设要求➢设备接入：支持笔记本电脑，USB无线网卡，智能手机，WIFI手机，平板电脑，PDA手持终端等无线WIFI上网和通讯功能。

➢网络服务：稳定地浏览网页，收发电子邮件，VOIP语音，在线视频播放服务，视讯聊天，企业远程OA办公等上网应用。

➢准入认证：支持强大的安全认证接入方式，作为一个开放的无线网络，无线接入支持WPA/WPA2-AES个人/企业应用、802.11x，Radius服务器等多种加密认证方式。

支持多SSID功能，可以分配不同的用户组，领导，管理人员，普通员工定制不同的加密认证方式，访问控制权限，而且满足不同终端设备不同的安全等级。

➢与现有的有线网络互为补充，扩展网络使用范围，使本单位内部网络的接入部署更为灵活。

3.2项目设计规划3.2.1机房部分采用原有核心交换机+原有无线wifi交换机（井下无线通讯）+无线控制器+楼层交换机+AP的网络架构；无线控制器部署在网络中心机房，控制器与网络核心、无线wifi。

附件2-5.3中国移动W L A N A C-A P接口互通规范（设备功能分册）C M C C W L A N A C-A P I n t e r o p e r a b i l i t yS p e c i f i c a t i o n版本号：0.0.5╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施前言11范围22规范性引用文件23术语及缩略语44AP设备功能要求54.1设备及接入地编号支持64.1.1支持接入设备的编号和接入点（AP）的设备编号64.1.2支持接入设备SSID编码64.2负载均衡支持能力64.2.1用户负载均衡64.2.2流量负载均衡94.2.3支持用户数量阀值及流量阀值的灵活配置114.3切换支持能力114.3.1支持二层切换,切换中保证业务不间断114.3.2支持三层跨子网切换124.4自动频点设置能力（抗干扰）124.5功率控制134.6IP V4/V6支持能力134.6.1支持IPv4，IPv6双栈134.6.2瘦AP必须支持和AC通过IPv4/v6地址建立隧道连接134.6.3瘦AP必须支持IPv4/v6数据包穿越数据隧道144.7IP地址设置（适用于IP V4及IP V6）144.7.1静态地址设置，支持手动设置AP地址，包括IP、网关、子网掩码、DNS等。

14 4.7.2支持DHCP自动获取地址154.8安全要求154.8.1数据加密154.8.2加密兼容性154.8.3防DoS攻击164.13网络接口214.13.1空中接口214.14支持的协议214.15接入控制214.15.1简单接入控制能力224.15.2SSID信息保密：支持SSID信息的广播功能的打开和关闭功能224.15.3最大用户数限制224.15.4多SSID能力234.15.5话音准入控制234.16用户隔离功能234.17自适应动态速率控制244.18VLAN支持能力244.19Q O S支持能力254.20带宽控制304.21AP和AC间支持基于NTP的时间同步315AC设备功能要求325.1IP地址分配325.2设备及接入地编号325.3网管功能325.4Q O S支持325.5安全要求335.5.1网络访问安全要求335.5.2加密兼容性335.5.3二层隔离要求345.5.4WLAN防非法攻击能力355.5.5非法AP检测355.5.6防止假冒能力365.5.7支持防DoS攻击能力385.6认证功能385.6.1支持WEB、PPPoE、EAP等认证方式385.6.2支持配置相同或不同的SSID来区分不同认证方式395.6.3不同认证方式支持与中国移动RADIUS服务器互通、不同认证方式支持与3GPP AAA服务器互通395.6.4支持按照认证方式到指定的Radius服务器/3GPP AAA服务器上认证、支持按照不同SSID 指向不同Portal/Radius服务器、支持主备Radius服务器倒换395.7接入控制405.7.1连接时长控制405.7.2欠费风险控制405.7.3ACL415.7.4长账号认证415.7.5自动断开用户网络连接415.7.6实时断开用户网络425.7.7认证区域控制425.7.8基于空闲流量检测自动断开用户网络连接425.8计费功能425.9P ORTAL功能445.10EAP认证方式相关要求445.11VLAN功能455.12NAT/PAT功能465.13带宽控制465.14IP V6支持能力465.15同步要求475.16射频资源管理功能475.16.1自动频点设置能力475.16.2功率控制485.16.2.1固定功率调整485.16.2.2自适应功率动态调整485.16.3负载均衡支持能力485.17切换要求495.17.1切换要求495.18AP管理功能495.19安全要求505.19.1网络访问安全要求505.19.2加密兼容性515.19.3二层隔离要求515.19.4WLAN防非法攻击能力515.19.5非法AP检测与切断525.19.6防止假冒能力555.19.7支持防DoS攻击能力565.20VLAN功能要求565.20.1AC支持VLAN Trunk功能565.20.2AC支持同一SSID下，不同AP配置不同业务VLAN的能力575.21二层功能要求575.22QOS功能要求575.22.1支持将用户优先级映射到隧道优先级，端到端支持QoS575.22.2支持将用户优先级映射到隧道优先级，端到端支持QoS585.22.3支持基于SSID的优先级，不同SSID可映射为不同的优先级，确保优先级高的业务质量得到保证585.22.4支持基于SSID的用户带宽限制595.23802.11N功能要求595.24其他功能要求595.24.1支持AC定期关断指定AP的射频口功能605.24.2支持AC定期添加/删除指定SSID功能605.25双隧道热备功能要求60修订历史65前言本标准的目的是制定中国移动WLAN AC-AP接口互通规范本标准包括的主要内容，或修订的主要内容。