Cisco Cisco 5508 Wireless Controller 디자인 가이드

Enterprise Mobility 8.1 设计指南

第 2 章      思科统一无线技术和架构

CAPWAP 数据加密是可选的，可按 AP 启用。在 AP 上启用数据加密之前，需要在 WLC 上安装一
个 DTLS 许可证。启用后，所有 WLAN 客户端流量在转发到 WLC 之前先在 AP 上进行加密，反
之亦然。 DTLS 数据加密对于 OfficeExtend AP 会自动启用，但是对于所有其他 AP 默认情况下会
禁用。大多数 AP 都部署在安全网络中，这种情况下不必要使用数据加密。相比之下，OfficeExtend 
AP 和 WLC 之间交换的流量是在无保护的公共网络上转发，此时数据加密就非常重要。

注

请查阅当地政府法规，确保允许使用 DTLS 加密。例如，俄罗斯目前就禁止使用 DTLS 数据
加密。

WLC 上的 DTLS 数据加密的可用性如下所述：

思科 5508 - 订购时可选择是否包含 DTLS 数据支持。在 cisco.com 上分别提供了含有以及没有 
DTLS 支持的不同固件映像。

思科 2500、 5520、 8540、 WiSM2、 vWLC - 需要一个单独许可证来激活 DTLS 数据支持。

Cisco Flex 7500 和 8510 - 包括内置的 DTLS 数据支持。无需购买或安装单独的许可证来启用 
DTLS 数据支持。

AP 上 DTLS 数据加密的可用性如下所述：

思科 1130、 1240 系列 - DTLS 数据加密在软件中执行。

思科 1040、 1140、 1250、 1522、 1530、 1550、 1552、 1600、 1700、 1850、 2600、 2700、
3500、 3600 和 3700 系列 - DTLS 数据加密在硬件中执行。

注

启用 DTLS 数据加密将影响 AP 和 WLC 的性能。因此，只应该对那些部署在无保护网络上的 AP 
启用 DTLS 数据加密。

第 3 层隧道

与在第 2 层或第 3 层模式下运行的 LWAPP 不同，CAPWAP 仅在第 3 层运行，因此需要在 AP 和 
WLC 上存在相应 IP 地址。CAPWAP 使用 UDP 进行 IPv4 部署，使用 UDP 或 UDP Lite（默认）
进行 IPv6 部署，促进 AP 和 WLC 之间通过中间网络进行通信。 CAPWAP 可以执行隧道数据包
分片和重组，允许 WLAN 客户端流量使用完整的 1500 字节 MTU，而不必针对任何隧道开销进
行调整。

注

为了优化分片和重组过程， WLC 或 AP 预期收到的分片数量将受到限制。在部署思科统一无线网
络时，理想情况下支持的 MTU 大小为 1500 字节，但是，在 MTU 低至 500 字节的网络上，该解
决方案也能成功运行。

以下各图是 CAPWAP 数据包的截屏，用于说明 IPv4 网络上的 CAPWAP 操作。解码示例是使用 
Wireshark 数据包分析器捕获的。

显示 CAPWAP 控制数据包的部分解码。此数据包源自 WLC，所使用的 UDP 目标端口为 

5246 （与源自 WLC 的所有 CAPWAP 控制数据包一样）。控制类型 12 表示一个配置命令，用于
通过 WLC 将 AP 配置信息传递到 CAPWAP AP。当 AP 加入 WLC 时，默认情况下， CAPWAP 控
制包负载将进行 AES 加密。