Wireless LANs with Centralized Control and Management Petr Grygarek
Advantages of Centralized Control Easy signal coverage implementation configuration-less AP deployment centralized and automated Radio Resource Management Easily trackable data paths (DTLS tunnels) via WLC increased security Centralized security policies authentication, encryption, per-client allowed APs, Easy guest access implementation Mobility support both L2 and L3 including fast roaming crypto key pre-fetch/caching Single point for wireless IPS QoS for voice and video Client location tracking possible (including RFIDs)
Centralized WLAN Components WLAN Controller (Access Controller) Lightweight Access Point (Wireless Transfer Point) CAPWAP protocol (WTP-AC) Optional Location Appliances Clients
Lightweight Access Point Easy AP deployment ( plug and play, no preconfiguratoin needed) Limited risk of network configuration eavesdropping (AP does not maintain almost any config after power-off) Authentication using manufacturer-installed certificate (MIC) Some standalone AP models may be converted to LAP (the opposite may not be true) LAP image (on TFTP server) Conversion tool (Windows) Self-Signed Certificate (SSC)
Control And Provisioning of Wireless Access Points Protocol (CAPWAP)
Prvky centralizované architektury WLAN Wireless Termination Points (WTP) přístupové body Access Controller (AC) centrální řídící prvek (WLAN Controller) zprostředkovává přístup klientů přes WTP do síťové infrastruktury data plane + control plane AC chápe jednotlivá WTP jako vzdálená rádiová rozhraní WTP komunikují s AC přes IP infrastrukturu (L3)
Smysl protokolu CAPWAP Umožňuje centrálními řídícímu prvku (AC) spravovat skupinu přístupových bodů (WTP) bezdrátové sítě Centralizace autentizace a přístupových politik Centralizované přemosťování/směrování uživatelského provozu (volitelně šifrovaného) Omezení zpracování řídících zpráv vyšších vrstev ve WTP a tím jejich zlevnění CAPWAP předpokládá, že konfigurace WTP nebude současně modifikována jiným konfiguračním rozhraním (CLI, WWW, )
CAPWAP Protocol Specification RFC 5416 March 2009 Authors: Calhoun (Cisco) Montemurro (Research In Motion) Stanley (Aruba Networks)
CAPWAP Bindings CAPWAP je generický řídící a tunelovací mechanismus mezi WTP a AC nezávislý na konkrétní rádiové technologii Bindings definují použití CAPWAP na jednotlivých rádiových technologiích konfigurační parametry rádiové vrstvy předávaných mezi AC a WTP udržované parametry ve statistikách informace předávané v Discovery/Join Request při vyhledávání AC podporujícího rádiovou technologii WTP Zatím specifikováno pro 802.11 a 802.16
Módy funkce CAPWAP Local MAC Rámce bezdrátových klientů jsou ve WTP konvertovány na rámce 802.3 a přemosťovány lokálně (Local Bridging Mode) Split MAC Datové i řídící rámce 2. vrstvy příslušné bezdrátové technologie jsou pomocí CAPWAP tunelovány mezi WTP a AC (Native Frame Tunel Mode nebo 802.3 Frame Tunnel Mode) Řídící rámce rádiové technologie jsou zpracovávány/generovány lokálně ve WTP a poté přenášeny k AC Per-VLAN volba režimu Cisco: H-REAP
Kanály CAPWAP Control Channel obousměrný kanál pro výměnu řídících zpráv mezi WTP a AC vždy autentizovaný a šifrovaný Data Channel obousměrný kanál pro tunelování uživatelských dat mezi WTP a AC volitelné šifrování, dle výkonu AC
Řídící kanál Konfigurace WTP, čtení statistik udržovaných WTP, pokyny pro WTP pro řízení jednotlivých stanic Neustále monitorován pomocí keepalives v případě výpadku AC hledá WTP jiný AC Vlastní fragmentace zpráv na aplikační vrstvě z důvodu zamezení problémům s průchodem klasických IP fragmentů některými bezpečnostními zařízeními WTP by mělo provádět Path MTU Discovery pro cestu k AC a předejít IP fragmentaci
Datový kanál Nativní rámce bezdrátové technologie nebo rámce 802.3 tunelované k AC Váže se ke svému řídícímu kanálu pomocí prvku (Message Element) Session ID
Transportní vrstva řídícího a datového kanálu Využívají UDP, příp. UDP Lite (bez kontrolních součtů) nad IPv4 nebo IPv6 Klient-server protokol navazovaný ze strany WTP na kanále vždy nejvýše jedna nevyřízená žádost 2 well-known porty na AC, dynamické porty na WTP Na řídícím kanále vlastní protokol potvrzování limitovaný počet retransmisí do přijetí potvrzení, exponential backoff (jako v TCP) Zohledňuje průchod přes firewall nebo NAT keepalives udržují položky translační tabulky NAT
Zabezpečení zpráv CAPWAP Šifrovaný kanál pro přenos zpráv CAPWAP zřizován nezávislou technologií (DTLS) řídící kanál šifrován povinně, datový volitelně autentizace certifikáty nebo předsdílenými klíči každé zařízení by mělo mít unikátní autentizační informaci Lze vyžadovat oboustrannou vzájemnou autentizaci WTP a AC Využití Datagram Transport Layer Security (DTLS, RFC 4347) jako zabezpečovací podvrstvy ve specifikaci CAPWAP definována provázanost stavových automatů CAPWAP a DTLS, řídící příkazy DTLS vrstvy (API) a notifikační zprávy DTLS pro CAPWAP
Objevování AC - Discovery Phase (1) Discovery Request (WTP) Na 255.255.255.255 (IPv4) nebo vyhrazenou multicastovou skupinu (IPv4/IPv6) Discovery Response (AC) může volitelně obsahovat seznam alternativních AC (v daném pořadí priorit) Obsahuje identifikátor očekávané verze firmware v WTP Jediné nešifrované řídící zprávy Další alternativy vyhledávání AC WTP může mít AC konfigurován staticky Získání adresy AC z DHCP (vyhrazená volba) Získání adresy resolvováním jména v DNS CAPWAP-AC-Address.localdomain
Objevování AC - Discovery Phase (2) WTP vybere jedno z nabízených AC, s ním zřídí DTLS relaci může zohlednit obsah informačních elementů popisující schopnosti AC s ohledem na obsluhu rádiové technologie daného WTP Join Request/Join Response již po šifrovaném kanále Join Response oznamuje očekávanou verzi firmware WTP Následuje případný upload vyžadované verze firmware WTP informuje AC o své konfiguraci a obdrží aktualizaci Úplnou nebo jen změny oproti implicitním nastavením Zprávy Configuration Status Request, Configuration Status Response
Provozní stav Periodické Echo Request/Echo Response na řídícím kanále v případě výpadku keepalives s aktuálním AC může WTP automaticky vyhledat jiný AC pokud AC tuto možnost předtím dovolil tzv. WTP fallback existuje zpráva pro ověření dostupnosti primárního (tj. staticky nakonfigurovaného) AC Event Request od WTP v případě změny stavu (změna stavu rádia, bezdrátové stanice apod.) AC potvrzuje Event Response
Procedura Firmware Download Na základě Image ID z Join Response Stop-and-wait protokol potvrzovaného přenosu pomocí zpráv Image Data Request/Response Lze uskutečnit i za běhu WTP AC vyžádá pomocí Configuration Update Request a vhodných prvků message elements Initiate Download a Image ID AC po ukončení přenosu vyžádá reset WTP
Řídící zprávy CAPWAP (1) Discovery Join Control Channel Management Echo Request/Echo Response, Ostatní zprávy slouží jako implicitní keepalives WTP Configuration Management WTP posílá svou konfiguraci na AC AC zasílá aktualizovanou konfiguraci pro WTP AC může poslat novou konfiguraci na WTP při jeho plné funkci a pak vyžádat reset Možnost vyžádat vymazání konfigurace WTP do továrního nastavení Čteni statistik WTP
Řídící zprávy CAPWAP (2) Station Session Management AC zasílá VTP politiky pro jednotlivé stanice Station Configuration Request Add/Delete Station Další binding-specific message elements Device Management Operations WTP načítá firmware verze, kterou vyžaduje AC v Join Response Binding Specific CAPWAP Management
Formát řídících zpráv CAPWAP IP/UDP header CAPWAP DTLS Header Identifikuje, že je zpráva chráněna DTLS DTLS Header Informace pro autentizaci a šifrování (podle RFC 4347) CAPWAP Header WTP Radio ID Binding Identifier (802.11, 802.16, ), volitelné Wireless Specific Information Native/802.3 frame v poli payload Fragment flag, Last Fragment flag,fragment ID, Fragment Offset Volitelná MAC adresa WTP rádia Control Header Hlavička společná pro všechny řídící zprávy CAPWAP Typ řídící zprávy (request/response) Sequence number váže konkrétní request a příslušný response Message Element(s) Type/Length/Value DTLS Trailer
Formát datových zpráv CAPWAP IP/UDP Header CAPWAP DTLS Header (volitelně) DTLS Header (volitelně) CAPWAP Header Wireless Payload (nativní nebo 802.3) DTLS Trailer (volitelně) Payload packets, Keepalive Packets
CAPWAP Message Elements (příklady) AC Descriptor Popisuje aktuální stav AC AC Name, počet a limit obsluhovaných stanic, počet připojených WTP, podporovaný typ autentizace, politiku pro datový kanál (DTLS/cleartext), Vendor/HW/SW ID, seznam dostupných AC (IPv4/IPv6), TimeStamp, WTP Descriptor Popisuje aktuální HW a SW konfiguraci WTP Udržování MAC ACL na WTP Debug/log hlášení od WTP na AC Určení timeoutů MTU, fyzické umístění zařízení, popis stavů rádiových rozhraní Session ID umožňuje identifikovat související řídící a datový kanál pokud je více WTP za NAT/PAT prvkem