|
APとWLC間でやりとりされているCAPWAPプロトコルは以下のLWAPPプロトコルを基に開発されました。
従って、以下解説の「LWAPP」をそのまま「CAPWAP」に置き換えて理解して頂いて概ね問題ありません。
◆ LWAPPとは
LWAPP(Lightweight Access Point Protocol)は、集中管理型APと無線LANスイッチ間でやりとりされる
制御プロトコルです。このLWAPPを使用してAPとWLCはLWAPPトンネル接続を行います。そして無線LAN
クライアントからデータパケットをLWAPPカプセル化を行った上で、APとWLC間でやりとりされます。
| LWAPP - 2種類のトラフィック |
| LWAPP制御メッセージ |
APとWLCとでやりとりする、WLAN制御用のLWAPPパケット( Discovery, Joinなど)。
LWAPP制御メッセージはAES-CCMPにより暗号化される。
|
| LWAPPデータ |
APとWLCとでやりとりする、LWAPPでカプセル化されたWLAN端末からのデータパケット。
LWAPPデータは暗号化されない。
|
※ CiscoのAPには購入時にX.509証明書というものがプリインストールされています。WLCとAPとの通信は、この証明書により
接続を確立して暗号鍵をダイナミックに変更しているため、不正APが集中管理型のAPになりすまして、WLCと通信はできません。
LWAPPのトラフィックがどのようにカプセル化されて、非カプセル化されるのかは以下のパケットフロー通り。
※ LWAPPデータで使用するUDPポート番号 ( 送信元ポート:1024、宛先ポート:12222 )
※ LWAPP制御メッセージにて使用するUDPポート番号 ( 送信元ポート:1024、宛先ポート:12223 )
※ 上図のパケットフロー通り、LWAPP制御メッセージとLWAPPデータがLWAPPでカプセル化が行われていることが分かります。
◆ LWAPP - 無線LAN通信ができる状態までのフロー( 概要 )
APの電源がONになり、APはWLCとLWAPPトンネルを形成して、APがWLCから設定情報を得ることにより
APは無線LANクライアントに無線LAN通信を提供できる状態に移行します。詳細なフローは以下の通りです。
| APが無線LAN通信できる状態までのフロー |
| @ |
APが起動 : APに対してコンセントによる電源供給、またはPoEによる電源供給を行う。 |
| A |
APがIPアドレスの取得 : APがDHCPサーバからIPアドレスを取得する。固定設定の場合は不要。 |
| B |
APがWLCの候補を探索 : APの遷移状態はDiscoveryとなる ( LWAPP Discovery Request ) |
| C |
WLCがAPに対して応答 : LWAPP Discovery Requestを受信したWLCが応答する( LWAPP Discovery Response ) |
| D |
APが候補からWLCを選定 : このWLCの選定基準は WLAN Controller Selection Algorithm に従う。 |
| E |
APがWLCに接続要求 : WLCの選定基準に従い選定したWLCに対して接続要求をする ( LWAPP Join Request ) |
| F |
WLCがAPを管理下に置く : ※1 WLCが応答する ( LWAPP Join Response )。APの遷移状態はJoinとなる。 |
| G |
※2 WLCからAPがIOSイメージをダウンロード : APの遷移状態はImage Dataとなる。 |
| H |
WLCからAPが設定情報をダウンロード : APの遷移状態はConfigとなる。 |
| I |
APがWLAN端末に無線LANサービスを提供できる状態になり、ここからWLAN端末とWLCと認証やAssociationが始まる。 |
※1
APからのLWAPP Join RequestにはX.509証明書
が含まれており、その証明書が有効である場合は
LWAPP Join Responseを返します。
※2
WLCが保持するファームウェアのversionとAP自身
の保持するファームウェアのversionを比較し相違が
ある場合にはダウンロードします。
|
|
※ CAPWAPでは制御メッセージで使用するポート番号は 5246、データで使用するポート番号は 5247 です。
|