Cisco Cisco 5508 Wireless Controller 디자인 가이드
2-5
Enterprise Mobility 8.1 设计指南
第 2 章 思科统一无线技术和架构
CAPWAP
•
监控其他 AP 的联机状态。
•
802.11 帧的加密和解密。
其他功能也由 WLC 处理。 WLC 提供的 MAC 层功能包括:
•
802.11 身份验证
•
802.11 关联和重新关联 (移动)
•
802.11 帧转换和桥接
•
802.1X/EAP/RADIUS 处理
•
对有线接口上的 802.11 流量进行终端传输,使用 FlexConnect AP 的情况 (本指南稍后会讨
论)除外
论)除外
CAPWAP 隧道支持两类流量:
•
CAPWAP 控制消息 - 用于在 WLC 和 AP 之间传递控制、配置和管理信息。
•
无线客户端数据封装 - 将 IP EtherType 封装数据包中的第 2 层无线客户端流量从 AP 传输到
WLC。
WLC。
当封装的客户端流量到达 WLC 时,它映射到 WLC 的一个相应接口 (VLAN) 或接口组 (VLAN
池)。此接口映射在 WLC 上的 WLAN 配置设置过程中定义。此接口映射通常是静态的,但是也
可根据身份验证成功时从上游 AAA 服务器转发的 WLC 或 RADIUS 返回属性上定义的本地策略,
将 WLAN 客户端动态地映射到特定 VLAN。
池)。此接口映射在 WLC 上的 WLAN 配置设置过程中定义。此接口映射通常是静态的,但是也
可根据身份验证成功时从上游 AAA 服务器转发的 WLC 或 RADIUS 返回属性上定义的本地策略,
将 WLAN 客户端动态地映射到特定 VLAN。
除了 VLAN 分配之外,其他常见的 WLAN 配置参数包括:
•
SSID 名称
•
运行状态
•
射频策略
•
身份验证和安全方法
•
QoS/应用可视性与可控性
•
策略映射
加密
版本 6.0 及更高版本支持使用 DTLS 对 AP 和 WLC 之间交换的 CAPWAP 控制数据包和数据数据
包进行加密。 DTLS 是基于 TLS 的 IETF 协议。思科的所有无线接入点和控制器都随附了制造安
装证书 (MIC),默认情况下由 AP 和 WLC 用于相互身份验证和加密密钥生成。思科还支持本地有
效证书 (LSC),为想要从自己的证书颁发机构 (CA) 颁发证书的企业提供额外的安全性。
包进行加密。 DTLS 是基于 TLS 的 IETF 协议。思科的所有无线接入点和控制器都随附了制造安
装证书 (MIC),默认情况下由 AP 和 WLC 用于相互身份验证和加密密钥生成。思科还支持本地有
效证书 (LSC),为想要从自己的证书颁发机构 (CA) 颁发证书的企业提供额外的安全性。
注
默认情况下, DTLS 使用 RSA 128 位 AES/SHA-1 密码套件,该套件使用 config ap
dtls-cipher-suite 命令进行全局定义。替代密码套件包括采用 SHA-1 或 SHA-256 的 256 位 AES。
dtls-cipher-suite 命令进行全局定义。替代密码套件包括采用 SHA-1 或 SHA-256 的 256 位 AES。
DTLS 在默认情况下将启用以保护 CAPWAP 控制信道,但是对于数据信道在默认情况下是禁用
的。保护控制信道并不需要获得 DTLS 许可证。默认情况下,对 AP 和 WLC 之间交换的所有
CAPWAP 管理和控制流量进行加密和保护,以提供控制平面隐私,防止中间人攻击 (MIM)。
的。保护控制信道并不需要获得 DTLS 许可证。默认情况下,对 AP 和 WLC 之间交换的所有
CAPWAP 管理和控制流量进行加密和保护,以提供控制平面隐私,防止中间人攻击 (MIM)。