CAPWAP協(xié)議的介紹(二)

CAPWAP介紹

--wendynie

CAPWAP介紹

AC發(fā)現(xiàn)機制WTP使用AC發(fā)現(xiàn)機制來得知哪些AC是可用的，決定最佳的AC來建立CAPWAP連接。WTP的發(fā)現(xiàn)過程是可選的。如果在WTP上靜態(tài)配置了AC，那么WTP并不需要完成AC的發(fā)現(xiàn)過程。

WTP首先發(fā)送一個DiscoveryRequestmessage給受限的廣播地址，或者CAPWAP的多播地址(224.0.1.140)，或者是預(yù)配置的AC的單播地址。在IPV6網(wǎng)絡(luò)中，由于廣播并不存在，因此使用"AllACsmulticastaddress"(FF0X:0:0:0:0:0:0:18C)來代替。當(dāng)接收到DiscoveryRequestmessage消息，AC發(fā)送一個單播DiscoveryResponsemessage給WTP。WTP可以通過DiscoveryResponsemessage中所帶的AC優(yōu)先級，支持的CAPWAPbinding來選擇與哪個AC建立會話。除了上面的發(fā)現(xiàn)機制，WTP還可以使用DNS或者DHCP來發(fā)現(xiàn)AC.

返回AC發(fā)現(xiàn)機制WTP使用AC發(fā)現(xiàn)機制來得知哪些AC是可用的DTLS握手DTLS握手DTLS認證和授權(quán)DTLS支持終端認證方式為：證書（CERTIFICATE）和預(yù)共享密鑰（PRE-SHAREDKEY）。

CAPWAP認證中使用證書支持的算法是TLS_RSA_WITH_AES_128_CBC_SHA[RFC5246]（MUSTSUPPORT）TLS_DHE_RSA_WITH_AES_128_CBC_SHA[RFC5246](SHOULDSUPPORT)TLS_RSA_WITH_AES_256_CBC_SHA[RFC5246](MAYSUPPORT)TLS_DHE_RSA_WITH_AES_256_CBC_SHA[RFC5246]](MAYSUPPORT)

DTLS認證和授權(quán)DTLS支持終端認證方式為：證書（DTLS認證和授權(quán)

在RFC4279中定義了多種預(yù)共享密鑰的認證方式，CAPWAP中主要關(guān)心下面兩種：Pre-SharedKey(PSK)keyexchangealgorithmDHE_PSKkeyexchangealgorithm同樣，CAPWAP定義了預(yù)共享密鑰支持的算法TLS_PSK_WITH_AES_128_CBC_SHA[RFC5246]（MUSTSUPPORT）TLS_DHE_PSK_WITH_AES_128_CBC_SHA[RFC5246]（MUSTSUPPORT）TLS_PSK_WITH_AES_256_CBC_SHA[RFC5246]](MAYSUPPORT)TLS_DHE_PSK_WITH_AES_256_CBC_SHA[RFC5246]](MAYSUPPORT)

DTLS認證和授權(quán)在RFC4279中定義了多種預(yù)共CAPWAPPre-Provisioning由此可以看出，WTP和AC之間要建立安全的連接，必須預(yù)先配置一些數(shù)據(jù)。當(dāng)使用預(yù)共享密鑰，那么就需要在AC與WTP上面配置下面的數(shù)據(jù)：標(biāo)識符（Identity）:對端AC或者WTP的標(biāo)識符。標(biāo)識符可能就是一個IP地址或者主機名（DNS）。密鑰（Key）:建立DTLS會話所需要的預(yù)共享密鑰PSK標(biāo)識符（PSKIdentity）:與密鑰相關(guān)的身份標(biāo)識（Identityhint）。

當(dāng)使用證書的時候，需要配置：設(shè)備證書（DeviceCertificate）:本地設(shè)備的證書信任錨（TrustAnchor）:被信任的根證書鏈（rootcertificatechain），用于驗證從CAPWAP對端收到的證書。CAPWAPPre-Provisioning由此可CAPWAPPre-Provisioning

除了為認證而需要預(yù)先提供的數(shù)據(jù)，CAPWAP還需要配置控制訪問列表（AccessControlList）:控制訪問列表包括了一個或者多個CAPWAP對端的標(biāo)識符，并提供其相關(guān)的規(guī)則。這些規(guī)則用于決定與那些對端建立連接。

返回

CAPWAPPre-Provisioning除了為認證TLS（TransportLayerSecurity）協(xié)議的局限性

TLS是最為廣泛部署的協(xié)議，它用來保障網(wǎng)絡(luò)安全通信。TLS用來保護Web通信和email協(xié)議（諸如IMAP，POP）。TLS的主要優(yōu)勢是它通過向應(yīng)用層和網(wǎng)絡(luò)層之間（即OSI模型中的會話層）插入TLS來保證應(yīng)用的安全。然而，TLS要求一個可靠的傳輸信道—典型的是TCP—因此不能用來保證數(shù)據(jù)報通信的安全。當(dāng)部署TLS的時候，大家還沒有充分認識到這個局限性的嚴(yán)重程度，因為當(dāng)時大多數(shù)應(yīng)用運行在TCP之上。即使今天也是這樣。然而情況正在改變。

TLS（TransportLayerSecurity）協(xié)DTLS協(xié)議的出現(xiàn)

在過去幾年中，不斷增長的應(yīng)用層協(xié)議，比如SIP(sessioninitialprotocol)，RTP(realtimeprotocol),MGCP(theMediaGatewayControlProtocol)，還有許多游戲協(xié)議都基于UDP傳輸而設(shè)計。這些應(yīng)用的設(shè)計者面對著許多用來保證安全性的選擇，但卻無法令人滿意。

首先，他們可以使用IPsec。然而，IPsec不適合于Client-Server應(yīng)用模型，且難以同應(yīng)用程序結(jié)合，因為IPsec運行在系統(tǒng)內(nèi)核。有很多文獻詳細討論了為什么IPsec為什么不是一個令人滿意的選擇。

其次，他們自己設(shè)計一個特有的應(yīng)用層安全協(xié)議。例如，SIP使用了S/MIME的一個變體來保證安全通信。將S/MIME嫁接到SIP中比使用TLS上的TCP版本的SIP變體更費盡。

第三，可以把應(yīng)用移植到TCP之上，然后使用TLS。不幸的是，許多這樣的應(yīng)用依賴于UDP語義，當(dāng)運行在諸如TCP之類的流協(xié)議上性能將無法令人接受。DTLS協(xié)議的出現(xiàn)在過去幾年中，不斷增長的應(yīng)用層DTLS協(xié)議的出現(xiàn)

最為明顯的選擇是設(shè)計一個通用的信道安全協(xié)議，它可以使用數(shù)據(jù)報傳輸，就像TCP上的TLS。這樣一個協(xié)議可以在用戶空間中實現(xiàn)，這樣便于安裝，但是要足夠靈活和通用，能夠許多面向數(shù)據(jù)報的應(yīng)用程序提供安全。盡管認為這個方案將是一個巨大和困難的規(guī)劃項目。但是構(gòu)造一個可以工作的協(xié)議相當(dāng)直接，尤其是有了TLS的起點和IPsec的參考。因此設(shè)計出了這個新的協(xié)議，我們稱為“DatagramTLS“,DTLS是TLS的一個修改版本，這樣函數(shù)能夠運行在數(shù)據(jù)報通信上。相對于上面的方案，該方法有兩個主要優(yōu)勢：

首先，既然DTLS非常類似于TLS，可以重用以前的協(xié)議架構(gòu)和實現(xiàn)方法。

其次，既然DTLS向通用安全層提供了相似的接口，就易于調(diào)整協(xié)議來使用它。TLS的經(jīng)驗顯示，這種易于調(diào)整性是擴大部署的關(guān)鍵。DTLS協(xié)議的出現(xiàn)最為明顯的選擇是設(shè)計一個通用的信道DTLS的特點可靠會話建立DTLS必須提供一個機制來認證對端，進行可靠密鑰建立、算法協(xié)商合參數(shù)傳遞。既然DTLS完全運行在不可靠的數(shù)據(jù)報通信之上，必須實現(xiàn)重傳機制來保證握手信息的可靠傳遞。然而，重傳機制必須簡單和輕量，能夠盡量使得DTLS的可移植。注意，要求創(chuàng)建一個會話意思是DTLS是適合于長期的“面向連接的“協(xié)議，而不是類似于DNS的完全無連接。無連接協(xié)議最好應(yīng)用層的對象安全協(xié)議提供。安全服務(wù)DTLS必須保證數(shù)據(jù)傳輸?shù)臋C密性和完整性，能夠檢測出被替代的數(shù)據(jù)包。易于部署在用戶空間中實現(xiàn)，不依賴于操作系統(tǒng)。語義借鑒TLS的優(yōu)點，DTLS的語義應(yīng)該模仿UDP語義，其借口模仿UDPAPI。最小的改動由于TLS已經(jīng)非常成熟，最小化改動能夠減少引入未知脆弱性的可能性。返回DTLS的特點可靠會話建立DTLS必須提供一個機制來認證CAPWAP狀態(tài)機

CAPWAP狀態(tài)機，是被AC和WTP同時使用的。對于每個定義的狀態(tài)，只有特定的消息才被允許收發(fā)。因為WTP只會和單個AC通訊，因此只會有一個CAPWAP的狀態(tài)機。而AC與WTP有很大差別，因為AC同時和許多WTP通訊。DTLS和CAPWAP的狀態(tài)機由命令和通告的API接口聯(lián)系起來。DTLS狀態(tài)機的變遷由CAPWAP狀態(tài)機的命令觸發(fā)

CAPWAP狀態(tài)機的變遷由DTLS狀態(tài)機的通告觸發(fā)

CAPWAP狀態(tài)機Sulking

StartIdlediscoveryAuthorizeDeadDTLSSetupDTLSConnectDTLSTDJoinConfigureImageDataDataCheckRunReset返回SulkingStartIdlediscoveryAuth

StartIdleDTLSSetupdiscoveryAuthorizeSulkingDTLSConnectDTLSTDDeadJoinConfigureImageDataDataCheckRunResetStartIdleDTLSSetupdiscoveryAAC線程

AC使用了三個“線程”（thread）的概念。監(jiān)聽線程：

通過DTLSlisten命令，AC監(jiān)聽線程處理DTLS會話建立請求。創(chuàng)建的時候,監(jiān)聽線程開啟DTLSSetup狀態(tài)。當(dāng)狀態(tài)機進入Authorize狀態(tài)，且DTLS會話生效之后，監(jiān)聽線程創(chuàng)建一個指定的WTP指定會話服務(wù)線程和狀態(tài)空間。發(fā)現(xiàn)線程：

AC的發(fā)現(xiàn)線程負責(zé)接收和響應(yīng)發(fā)現(xiàn)請求消息。服務(wù)線程：

AC的服務(wù)進程處理每個WTP的狀態(tài)和每個WTP連接的線程。這個線程在認證后被監(jiān)聽線程創(chuàng)建。一旦創(chuàng)建，服務(wù)線程會繼承監(jiān)聽線程的一份狀態(tài)機空間的拷貝。當(dāng)與WTP之間的通訊完成后，服務(wù)線程關(guān)閉，所有的資源都會被釋放。

注意，在這里使用了線程這個術(shù)語，但是并不代表實現(xiàn)者就必須使用線程。這只是一個實現(xiàn)AC狀態(tài)機的可用的方法。AC線程AC使用了三個“線程”（thread）的概念StarttoIdle這個狀態(tài)變遷發(fā)生在設(shè)備初始化完成。WTP:開啟CAPWAP狀態(tài)機。AC:開啟CAPWAP狀態(tài)機。

返回StarttoIdleIdletoDiscovery

這個狀態(tài)變遷發(fā)生是為了支持CAPWAP發(fā)現(xiàn)進程。

WTP:

WTP進入發(fā)現(xiàn)狀態(tài)是為了優(yōu)先去傳輸?shù)谝粋€DiscoveryRequestmessage。在進入這個狀態(tài)之前，WTP設(shè)置發(fā)現(xiàn)DiscoveryIntervaltimer，將DiscoveryCountcounter為0.同時清理以前的發(fā)現(xiàn)過程中可能會從AC收到的所有信息。

AC：

由發(fā)現(xiàn)線程執(zhí)行，且發(fā)生在收到一個發(fā)現(xiàn)請求報文的時候。此時，AC需要給這個報文響應(yīng)一個DiscoveryResponsemessage。

返回IdletoDiscovery這個狀態(tài)變遷發(fā)生是為DiscoverytoDiscovery

在這個發(fā)現(xiàn)狀態(tài)，WTP決定連接哪個AC。

WTP：

這個狀態(tài)變遷發(fā)生在發(fā)現(xiàn)DiscoveryIntervaltimer觸發(fā)的時候。對于這個事件的每次變遷，DiscoveryCountcounter會遞增。一旦WTP發(fā)送了DiscoveryRequestmessage，WTP重啟DiscoveryIntervaltimer。AC:

對于AC來說，這個狀態(tài)變遷是無效的。

返回DiscoverytoDiscovery在這個發(fā)現(xiàn)DiscoverytoIdle

當(dāng)發(fā)現(xiàn)過程完畢的時候，AC的發(fā)現(xiàn)線程將會觸發(fā)這個變遷。WTP:

對于WTP來說，這個狀態(tài)變遷是無效的。AC:

這個狀態(tài)變遷由AC發(fā)現(xiàn)線程執(zhí)行，當(dāng)發(fā)現(xiàn)線程傳輸了一個給DiscoveryRequest回送了一個DiscoveryResponse的時候，就會觸發(fā)這個過程。