capwap學習筆記——初識capwap（五）

標籤：code   http   使用   width   strong   資料   

3. CAPWAP Binding for IEEE 802.11

￠ CAPWAP協議本身並不包括任何指定的無線技術。它依靠綁定協議來擴充對特定無線技術的支援。

￠ RFC5416就是用來擴充CAPWAP對IEEE 802.11網路的支援。其中定義了控制訊息欄位，新的控制訊息，訊息元素。

￠ 注意，這個協議僅支援IEEE 802.11-2007規範，並不支援IEEE 802.11-2007 standard中定義的ad hoc網路模式（即點到點模式，也就是IBSS），也不適用於four-address格式的資料幀（這種資料幀一般用於橋接器，在IEEE 802.11-2007標準中沒有指定這種用法）。協議並不支援IEEE 802.11n。

一些術語：

Basic Service Set (BSS):基礎服務集合(中控型基本服務集)。指由被控制的STA及其控制結構組成的無線網路。

Independent Basic Service Set（IBSS）：獨立基礎服務集，也稱為特別網路，它是由一系列彼此相互串連的，沒有基礎架構的網站組成的一個 802.11 網路，是專為點對點連接。IBSS模式沒有無線基礎設施骨幹,但至少需要2台STA。

3.1 綁定標識符

根據RFC5415中4.3章節對CAPWAP頭部的描述，其中的WBID欄位標識了所綁定的無線技術。針對802.11，該欄位取值為1。

3.2 功能劃分

由於CAPWAP是與協議無關的，因此當綁定802.11時，就需要將802.11所要求實現的功能進行劃分，即將802.11所提供的功能按照提供者（AC還是WTP）來劃分，以明晰各自需要實現的功能。簡而言之，就是AC和WTP需要各自實現哪些802.11中的功能。

3.2.1 Split MAC

￠ Split MAC

在IEEE802.11中，AC與WTP在split MAC中的分工如下：

由此可知，在split MAC中，分布和整合服務都在AC來完成，因此所有的使用者資料都在WTP和AC之間以隧道傳送。但是，所有即時的IEEE802.11服務，包括Beacon和Probe響應幀，都在WTP被處理。

關聯請求等和802.1x的EAP協議和RNSA密鑰管理功能也都在AC上完成。這表明了Authentication, Authorization, 和Accounting (AAA)也都在AC上完成。

IEEE802.11的控制模組都在AC上完成，即時調度和隊列功能都在WTP上完成。注意，這個並不代表AC不能提供額外的策略和調度功能

使用802.1X終端使用者認證和Advanced Encryption Standard-Counter模式與CBC-MAC 協議 (AES-CCMP)加密。

‘( - )‘代表幀是在WTP上處理。

處理過程如下：

WTP產生一個IEEE 802.11 Beacon幀，其中包括Robust Security Network Information Element (RSNIE)，即支援802.1X和AES-CCMP。

WTP處理Probe請求，回應對應的Probe響應。WTP可以選擇是否轉寄這個請求給AC。

WTP轉寄IEEEE 802.11認證和關聯幀給AC。

一旦關聯成功，AC發送一個Station Configuration Request給WTP。

如果WTP提供加密解密服務，一旦用戶端完成IEEE802.11金鑰交換，AC發送另一個 Station Configuration Request。

WTP轉寄所有接收到的IEEE 802.11管理幀給WTP。

所有的IEEE 802.11 station資料幀在WTP和AC之間以隧道傳送。

注意：當802.11的加解密是在WTP完成時，WTP必須將發送給AC的資料幀進行解析，並且保證框架格式和未受保護的802.11框架格式一致。對於AC發送給WTP的資料幀，AC必須將幀中的保護欄位置為0，以保證WTP能夠對幀進行正確處理。當802.11的加解密是在AC完成時，WTP不應該對發送給AC的資料幀進行解析。

3.2.2 Local MAC

￠ Local MAC

在IEEE802.11中，AC與WTP在local MAC中的分工如下：

在local MAC模式，整合服務在WTP上完成，分布服務可以在WTP或者AC上完成。如果位於AC，station產生的報文並不被用原來的格式轉寄給AC，而是被封裝成802.3的幀形式。

IEEE 802.1X [IEEE.802-1X.2004], EAP, and IEEE RSNA Key Management [IEEE.802-11.2007]功能都處於AC。因此，WTP必須轉寄所有的IEEE 802.1X, EAP, and RSNA Key Management報文給AC，並且轉寄AC的響應給station。

使用AES-CCMP用於加密：

WTP產生IEEE 802.11 Beacon報文

WTP處理Probe Request，並回答一個Probe Response

WTP轉寄IEEE 802.11 Authentication和Association給AC。

一旦關聯成功，AC發送一個Station Configuration Request給WTP。

WTP轉寄所有的EEE 802.1X and IEEE 802.11 key exchange報文給AC。

WTP轉寄所有的IEEE 802.11 Management Action報文給AC。

WTP也可以使用802.3報文格式或者802.11報文格式把用戶端資料報文用隧道發送給AC。

3.3 STA漫遊

Once a client has successfully associated with the network in a

secure fashion, it is likely to attempt to roam to another WTP.

Figure 6 shows an example of a currently associated station moving

from its "Old WTP" to a "New WTP". The figure is valid for multiple

different security policies, including IEEE 802.1X and Wireless

Protected Access (WPA) or Wireless Protected Access 2 (WPA2) [WPA].

如果一個已經成功串連到WTP的STA想要移動到新的WTP，稱這種行為為“漫遊”。

3.4 Group Key Refresh

由於BSS的Group Key (GTK)需要間隔重新整理。在Split MAC的情況下，AC需要複製所有的廣播報文，更新key的索引，讓報文以當前和新的GTK的方式重複發送，來保證BSS上所有的station都能收到廣播包。在Local MAC的時候，這個過程由WTP來完成。

Basic Service Set(BSS): A set of stations controlled by a single coordination function.

AC用IEEE 802.11 Configuration Request作為訊號，表明需要更新GTK。然後，AC開始對每個station更新GTK。在這個過程中，AC（split MAC）或者WTP（Local MAC）必須複製廣播報文，用新的和當前的GTK加密。當AC完成GTK更新，AC傳輸一個IEEE 802.11 Configuration Request帶有新的GTK。

3.5 CAPWAP Data Channel QoS Behavior

CAPWAP IEEE 802.11 binding規範提供了WTP對IEEE802.11資料報文的QOS支援。

3.5.1 IEEE 802.11 Data Frames

當WTP上建立WLAN的時候，會使用一個預設的QOS服務策略，使得WTP對每個關聯的station使用預設的QOS值。

AC可以通過發送Update Station QoS message修改這個QOS策略。

除了預設的策略，IEEE 802.11協議也允許每個station要求自己有特別的QOS策略，具體是通過TSPEC資訊元素來實現。

WTP使用Differentiated Services Code Point (DSCP)或者802.1p來實現QOS機制，但是這兩種方式並不是不能共存的，AC可以要求WTP不使用，使用其中的任何一種，或者兩種同時使用。

802.11 WTP Quality of Service message的Tagging Policy欄位用來標示選擇何種QOS策略，如下所示：

0 1 2 3 4 5 6 7

+-+-+-+-+-+-+-+-+

|Rsvd |P|Q|D|O|I|

+-+-+-+-+-+-+-+-+

P表示WTP使用的是802.1p機制來實現QOS，D表示WTP使用的是DSCP機制來實現QOS，其餘三個欄位的意思請參考RFC 5416的2.6.1.1章節和2.6.1.2章節。

DSCP

DSCP差異服務代碼點（Differentiated Services Code Point）,IETF於1998年12月發布了Diff-Serv（Differentiated Service）的QoS分類標準. 它在每個資料包IP頭部的服務類別TOS標識位元組中，利用已使用的6位元和未使用的2位元位元組，通過編碼值來區分優先順序.

DSCP 是“IP 優先”和“服務類型”欄位的組合。為了利用只支援“IP 優先”的舊路由器，會使用 DSCP 值，因為 DSCP 值與“IP 優先”欄位相容。

每一個DSCP編碼值都被映射到一個已定義的PHB（Per-Hop-Behavior）標識碼。

通過鍵入DSCP值，電話、Windows客戶和伺服器等終端裝置也可對流量進行標識。

IEEE 802.1P

IEEE 802.1P：有關流量優先順序的 LAN 第二層 QoS/CoS 協議

IEEE 802.1p：LAN Layer 2 QoS/CoS Protocol for Traffic Prioritization

IEEE 802.1P 規範使得第二層交換器能夠提供流量優先順序和動態組播過濾服務。優先順序規範工作在媒體存取控制（MAC）幀層（OSI 參考模型第二層）。802.1P 標準也提供了組播流量過濾功能，以確保該流量不超出第二層交換網路範圍。

802.1P 協議頭包括一個3位優先順序欄位，該欄位支援將資料包分組為各種流量種類。IEEE 極力推薦網路系統管理員實施這些流量種類，但它並不要求強制使用。流量種類也可以定義為第二層服務品質（QoS）或服務類（CoS），並且在網路介面卡和交換器上實現，而不需要任何預留設定。802.1P 流量被簡單分類並發送至目的地，而沒有頻寬預留機制。

802.1P 是 IEEE 802.1Q （VLAN 標籤技術）標準的擴充協議，它們協同工作。IEEE 802.1Q 標準定義了為乙太網路 MAC 幀添加的標籤。VLAN 標籤有兩部分：VLAN ID （12位元）和優先順序（3位元）。 IEEE 802.1Q VLAN 標準中沒有定義和使用優先順序欄位，而 802.1P 中則定義了該欄位。

802.1P 中定義的優先順序有8種。儘管網路系統管理員必須決定實際的映射情況，但 IEEE 仍作了大量建議。最高優先順序為7，應用於關鍵性網路流量，如路由選擇資訊協議（RIP）和先開啟最短的路徑（OSPF）協議的路由表更新。優先順序6和5主要用於延遲敏感（delay-sensitive）應用程式，如互動式視頻和語音。優先順序4到1主要用於受控負載（controlled-load）應用程式，如流式多媒體（streaming multimedia）和關鍵性業務流量（business-critical traffic） － 例如，SAP 資料 － 以及 "loss eligible" 流量。優先順序0是預設值，並在沒有設定其它優先順序值的情況下自動啟用。

3.6 Run State Operation

Run狀態是AC和WTP的正常狀態。

當WTP收到一個WLAN Configuration Request message，它必須回應一個WLAN Configuration Response message，並且繼續停留在run狀態；

當AC發送一個WLAN Configuration Request message或者從WTP收到該訊息的應答，它也必須繼續停留在run狀態。

PS：WLAN Configuration Request message和WLAN Configuration Response message的作用和格式，請參考3.7章節。

3.7 IEEE 802.11 Specific CAPWAP Control Messages

該章節定義了一些CAPWAP的控制訊息，這些訊息僅僅適用於802.11綁定時。

IEEE 802.11 WLAN Configuration Request

￠ 由AC發送給WTP，用於改變WTP上提供的服務。這個報文可以用於建立，升級或者刪除WTP上的WLAN。

￠ 該訊息可能由手動的管理配置導致（比如，刪除一個WLAN），也可能是自動在WTP上建立一個WLAN。如果是後者，那麼這個報文將會在AC收到CAPWAP Configuration Update Response(參考[RFC5415] 8.5章節)後發送。

￠ 收到這個控制報文之後，WTP將會作出要求的修改，然後發送一個IEEE 802.11 WLAN Configuration Response。

￠ WTP可能提供多個WLAN，因此，每個WLAN用一個數字索引來定義。例如，一個支援16個SSID的WTP，可以接受16個IEEE 802.11 WLAN Configuration Request來建立一個WLAN。

￠ 索引是WLAN的基本標識符，AC可能嘗試來做到它管理的所有WTP上相同的WLAN用相同的索引號來定義。AC如果不支援這種方法的話，必須使用其他的方法來維持一個WLAN-Identifier-to-SSID映射表。

IEEE 802.11 WLAN Configuration Response

由WTP發送給AC，用於響應IEEE 802.11 WLAN Configuration Request，告訴請求的配置是否成功，或者發生了錯誤。