Proceso de establecimiento de un túnel CAPWAP

Última respuesta ag. 26, 2019 21:18:45 226 2 2 0

ORIGEN DE CAPWAP


Dado que la arquitectura WLAN tradicional no puede satisfacer las demandas de las redes de gran escala,  IETF estableció el equipo Control And Provisioning of Wireless Access Points (CAPWAP) para crear soluciones  WLAN a gran escala que pueden conectar Access Controller y Access Point.


Se han desarrollado los siguientes protocolos que han tomado como referencia el túnel CAPWAP:


  1. LWAPP: Light Weight Access Point Protocol.

  2. SLAPP: Secure Light Access Point Protocol.

  3. CTP: CAPWAP Tunneling Protocol.

  4. WiCoP: Wireless LAN Control Protocol.


Tabla 1: Características de protocolos CAPWAP

014141xants4sasjssys6f.png?image.png


  • LWAPP tiene una arquitectura de protocolo completa y define una estructura detallada de paquetes  y múltiples mensajes de control.

  • Sin embargo, la efectividad del mecanismo de seguridad recién creado aún no se ha demostrado.

  • Lo más destacado de SLAPP es la tecnología DTLS, que es muy aplaudida en la industria.

  • CTP y WiCoP pueden satisfacer las demandas de la arquitectura WLAN centralizada. Sin embargo, tienen inconvenientes, especialmente en términos de seguridad.



014447vqmf69mfke0k3b93.png?image.png

Fig1: Aspctos importantes de los protocolos CAPWAP


El equipo CAPWAP comparó y evaluó los cuatro protocolos, y extendió el protocolo LWAPP para crear el protocolo CAPWAP, utilizando la tecnología DTLS y los méritos de los otros tres protocolos.


FUNCIONES PRINCIPALES DEL PROTOCOLO CAPWAP

El protocolo Control and Provisioning of Wireless Access Points (CAPWAP) se utiliza para la interconexión entre AP(Access Point) y AC(Access Controller)). 

Permite que un AC(Access Controller)  administre los AP(Access Point) conectados de manera centralizada.


El protocolo CAPWAP proporciona las siguientes funciones:

1. Detección automática de AC. Operación y mantenimiento de la máquina de estado AP y AC.

2. Gestión de AP y entrega de la configuración del servicio.

3. Reenvío de datos STA a través de un túnel CAPWAP.


MODOS DE ENVIO EN WLAN

015348m7zs0levevdx1oxv.png?image.png

Fig2: Modos de envío en WLAN



1. Direct Forwarding (local forwarding): Los datos de servicio de los AP se reenvían localmente y el AC solo administra los AP.

Es decir, los paquetes de administración AP están encapsulados en túneles CAPWAP y destinados a la AC;  mientras que los flujos de servicio AP se envían directamente a los dispositivos de conmutación sin ser encapsulados.


2. Tunnel Forwarding (centralized forwarding): Los datos de servicio de los AP se encapsulan y se envían a la AC a través del túnel CAPWAP. El AC gestiona los AP y reenvía los datos de servicio de los AP a la red de capa superior. 

Tanto los flujos de administración del AP como los flujos de datos se encapsulan en el túnel CAPWAP y se envían al AC. 



Tabla 2: Comparación entre Direct Forwarding y Tunnel Forwarding

015839e1we9vh9hrb5p8p9.png?image.png


FORMATO DEL PAQUETE CAPWAP

CAPWAP es un protocolo de capa de aplicación que utiliza puertos UDP.


CAPWAP transmite dos tipos de paquetes:

  1. Paquetes de datos: encapsulan marcos inalámbricos

  2. Paquetes de control: paquetes de gestión intercambiados entre AP y AC.


Los paquetes de datos y control CAPWAP se transmiten en diferentes puertos UDP:

  1. Los paquetes de control se transmiten en el puerto UDP de 5246.

  2. Los paquetes de datos se transmiten en el puerto UDP de 5247.


020350yfq1qtr7tcmcra7t.png?image.png

Fig3: Encapsulamiento CAPWAP



PROCESO DE ESTABLECIMIENTO DEL TÚNEL CAPWAP

020434xp8ppp7vv6arar9a.png?image.png

Fig4: Etapas para el establecimiento de un túnel CAPWAP


ETAPA DHCP

En esta etapa se lleva a cabo el intercambio de cuatro mensajes DHCP:


021706mckh11vvz3eq4ak4.png?image.png

Fig5: Etapa de establecimiento DHCP


Cuando no hay una lista de direcciones IP de AC preconfigurada, el AP inicia el proceso dinámico de detección automática de AC. 

El AP obtiene la dirección IP a través de DHCP y regresa a la lista de direcciones IP de AC a través de la Opción en los protocolos DHCP.


Primero, el AP envía una solicitud de descubrimiento al servidor DHCP. El servidor DHCP detecta el paquete de solicitud de descubrimiento 

y responde al AP con un paquete de oferta DHCP con una dirección IP no liberada y otra configuración TCP / IP. 

El paquete contiene información sobre la duración del arrendamiento.


Dado que los paquetes de oferta de DHCP pueden ser paquetes de unidifusión o multidifusión. Cuando el AP recibe respuestas de múltiples

servidores DHCP, elige la oferta recibida por primera vez y envía una solicitud de DHCP para requerir que todos los servidores envíen 

paquetes de oferta de DHCP.  El servidor DHCP especifica qué dirección IP se utilizará. 

El AP envía un paquete ARP para verificar si la dirección IP es utilizada por otro dispositivo. 

Si se utiliza la dirección, el AP envía un paquete de rechazo de DHCP al servidor DHCP para rechazar el paquete de descubrimiento 

de DHCP.


Cuando el servidor DHCP recibe el paquete de solicitud AP, responde con un paquete DHCP ACK, que contiene la dirección IP del AP, 

la duración del arrendamiento, la información de la puerta de enlace y la dirección IP del servidor DNS. 

En este momento, el contrato de arrendamiento entra en vigencia y se completa el intercambio de cuatro mensajes de DHCP.


ETAPA DISCOVERY (Descubrimiento AC)

El AP encuentra las AC disponibles a través del mecanismo de descubrimiento de AC y decide asociarse con la mejor AC a través del túnel CAPWAP. 

El mecanismo de descubrimiento es opcional. Si hay AC preconfigurada en el AP, no es necesario realizar el proceso de descubrimiento.


El AP activa el mecanismo de descubrimiento del protocolo CAPWAP y envía paquetes de solicitud de difusión o unidifusión para intentar asociar un AC.

El AC responde a las solicitudes con paquetes de respuesta de descubrimiento de unidifusión, que contienen la información sobre el nivel de prioridad de AC y el número de AP. 

El AP determina asociarse con el AC apropiado según el nivel de prioridad de AC y el número de AP.


021953lki0r03yiqq3yrq1.png?image.png

Fig6: Etapa de descubrimiento de AC



ETAPA DTLS HANDSHAKE


Después de que el AP obtiene la dirección IP de AC, desencadena la negociación con el AC. 

Después de que el AP recibe un mensaje de respuesta del AC, comienza a establecer un túnel CAPWAP con el AC. 

El protocolo Datagram Transport Layer Security (DTLS) se puede usar para encriptar y transmitir paquetes del Protocolo de Datagramas de Usuario (UDP).



022426g0xczyu0yon383yl.png?image.png

Fig7: Etapa DTLS Handshake


ETAPA JOIN

Después de que se completa el protocolo de enlace DTLS, el AC y el AP establecen el canal de control. El AC envía un paquete de respuesta de combinación que contiene información sobre el número de versión de actualización del usuario, el intervalo / tiempo de espera del paquete de protocolo de enlace y el nivel de prioridad de los paquetes de control. 

El AC verifica la versión del AP actual. Si la versión AP no puede cumplir con las demandas de la AC, la AP y la AC ingresan al estado de los datos de imagen para la actualización del hardware AP. 

Si la versión AP cumple con los requisitos, los dos ingresan al estado de configuración.

024715e1v5avk75177c7zk.png?image.png

Fig8: Etapa Join



ETAPA IMAGE DATA

El AP verifica si está ejecutando la última versión del software en función de los parámetros de negociación. 

Si la versión actual no es la última, el AP obtiene la última versión del software de la CA utilizando el túnel CAPWAP.


Después de actualizar la versión del software, el AP se reinicia, descubre la AC, establece un túnel CAPWAP con la AC 

y se une a la AC nuevamente.

024758q99s9jh9cq313qnr.png?image.png

Fig9: Etapa Image Data



ETAPA CONFIGURE


El estado de configuración es para la coincidencia de la configuración AP actual y la configuración requerida por el AC.

El AP envía una solicitud de configuración al AC, que contiene información sobre la configuración actual del AP. 

Cuando la configuración AP actual no cumple con el requisito de la AC, la AC envía un paquete de respuesta de 

configuración para notificar al AP.


024855pgg24k1i1m641m41.png?image.png

Fig10: Etapa Configure




ETAPA DATA CHECK 


Cuando se completa la configuración, el AP envía un mensaje de solicitud de evento de estado de cambio, que contiene 

información sobre la radio, el resultado y el código.  Cuando el AC recibe el mensaje, responde con un mensaje de respuesta de 

evento de estado de cambio.


El túnel de gestión se establece cuando se completa la verificación de datos y el AP entra en estado de ejecución.


024942m2kku2zw682a8ojf.png?image.png

Fig10: Etapa Data Check


ETAPA RUN (Data)

El AP envía un mensaje de Keepalive al AC para establecer un túnel de datos. 

Cuando el AC recibe el mensaje Keepalive, se establece el túnel de datos. 

El AC luego responde con un mensaje de Keepalive. El AP ingresa al estado normal y comienza a funcionar cuando recibe el mensaje Keepalive del AC.


025018w9lt66y6td5zgo88.png?image.png

Fig10: Etapa Run (Data)




ETAPA RUN (Control)


Cuando el AP está en estado de ejecución, envía un paquete de solicitud de eco al AC para demostrar que el túnel de administración 

CAPWAP está establecido y activa el temporizador de envío de eco y el temporizador de monitoreo de túnel para monitorear el túnel 

de administración.


Cuando el AC recibe el paquete de solicitud de eco, entra en estado de ejecución, responde con el paquete de respuesta de eco y activa

el temporizador de tiempo de espera del túnel.


Cuando el AP recibe el paquete de respuesta de eco, restablece el temporizador de detección de tiempo de espera del túnel.


025113fawaqghxwzbxgkas.png?image.png

Fig11: Etapa Run (Control)




APLICACIÓN DE UN TUNEL DE DATOS CAPWAP

Como se muestra en la figura, los dos AP izquierdos pertenecen a la región 101 y se agregan a la VLAN 11. 

Su SSID es Huawei 101 y está vinculado al servicio VLAN 101. 

Las STA obtienen la dirección IP 10.1.101.51. Los AP correctos pertenecen a la región 102 y se agregan a la VLAN 12. 

Su SSID es Huawei102 y está vinculado a la WLAN 102. 

Las STA obtienen la dirección IP 10.1.102.51. El AC usa la VLAN 100 de administración para administrar todos los AP.


Las puertas de enlace de la VLAN del dispositivo, la VLAN de administración y las VLAN de servicio residen en el conmutador central. 

La dirección IP de origen del AC es 10.1.100.100. Para garantizar comunicaciones normales, el AC crea una interfaz VLANIF para

cada servicio.

En la AC, la interfaz que conecta el AC al conmutador central está configurada como una interfaz troncal y está configurada para 

permitir la VLAN de gestión 100,  las VLAN de servicio 101 y 102. La AC funciona como un dispositivo de capa 2 y utiliza el modo 

de reenvío de túnel.


023758x7u9plvjpvlpfupu.png?image.png

Fig12: Topología con un túnel CAPWAP




FLUJO DE PAQUETES: DHCP Request


 A continuación se muestra cómo se transmiten los flujos de datos sobre este modo de implementación.  

Tome la transmisión de paquetes de datos DHCP como ejemplo (Ver figura 13). Después de que un terminal inalámbrico se conecta 

a la red inalámbrica, envía una solicitud de DHCP. El paquete de solicitud DHCP lleva la dirección IP de origen 0.0.0.0. 

El terminal inalámbrico aún no ha obtenido una dirección IP. La dirección IP de destino será 255.255.255.255.


                                024003qctepz7qp1tiav17.png?image.png

Fig13: Transmisión de paquetes de datos DHCP



Después de que el paquete de datos llega al AP, el AP encapsula el paquete en un paquete CAPWAP. El paquete encapsulado lleva 

la dirección IP de origen 10.1.11.101.  Esta dirección IP es la dirección IP del AP. El paquete está destinado a la dirección IP 10.1.100.100,

que es la dirección IP de la AC. Como el paquete es un paquete de datos CAPWAP,  su puerto UDP es 5247. (Ver fig14)


024201pes33jbshk1nkknk.png?image.png


Fig14: DHCP Request en túnel CAPWAP


Después de recibir el paquete, la AC desencapsula el paquete y obtiene los datos originales enviados por el terminal. 

Dado que la red utiliza un servidor DHCP independiente, el AC enviará esta solicitud al servidor DHCP. (Ver fig15)

024601xiu2ibzffflvuxlj.png?image.png


Fig15: Flujo de paquetes DHCP Request






FLUJO DE PAQUETES: DCHP Offer


El servidor DHCP recibe el paquete de solicitud y envía un paquete de oferta de DHCP al AC. 

El paquete de oferta de DHCP contiene información como la dirección IP, la máscara, la dirección IP de la puerta de enlace y 

la dirección IP de DNS. Luego, el AC encapsula los datos de la oferta en el túnel CAPWAP y los envía al AP. 

El AP desencapsula el paquete después de recibirlo y envía el paquete de oferta al terminal.  

El terminal finalmente obtiene la dirección IP solicitada.


024633xfh7ofgjofgn100o.png?image.png


Fig16: Flujo de paquetes DHCP Offer



  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-8-26 08:17:13 Útil(0) Útil(0)
Hola @ersbm98 publicación muy completa sobre el establecimiento de los diferentes tipos de conexión entre los AC y AP. Gracias por compartir esta información en el foro. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
Marban
VIP Publicado 2019-8-26 21:18:45 Útil(0) Útil(0)
Gracias por el aporte, muy ludico
  • x
  • convención:

Me%20gusta%20compartir%20informaci%C3%B3n%20y%20experiencias%2C%20aprender%20nuevos%20temas%20y%20conocer%20gente%20con%20el%20mismo%20inter%C3%A9s

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje