capwap学习笔记——初识capwap（二）

2.5.1 AC发现机制

WTP使用AC发现机制来得知哪些AC是可用的，决定最佳的AC来建立CAPWAP连接。

WTP的发现过程是可选的。如果在WTP上静态配置了AC，那么WTP并不需要完成AC的发现过程。

WTP首先发送一个 Discovery Request message给受限的广播地址，或者CAPWAP的多播地址(224.0.1.140)，或者是预配置的AC的单播地址。在IPV6网络中，由于广播并不存在，因此使用"All ACs multicast address" (FF0X:0:0:0:0: 0:0:18C)来代替。

当接收到Discovery Request message消息，AC发送一个单播Discovery Response message给WTP。

WTP可以通过Discovery Response message中所带的AC优先级，支持的CAPWAP binding来选择与哪个AC建立会话。

除了上面的发现机制，WTP还可以使用DNS或者DHCP来发现AC。

2.5.2 DTLS握手

WTP首先发送一个ClientHello消息来发起握手，说明它支持的密码算法列表、压缩方法及最高协议版本和其他一些需要的消息。

AC回复一个HelloVerifyReuqest 消息，client必须重传添加了cookie的ClientHello。server然后验证cookie，如果有效的话才开始进行握手。

AC回应一个ServerHello消息，包含服务器选择的连接参数，源自客户端初期所提供的ClientHello，确定了这次通信所需要的算法，然后发过去自己的证书（里面包含了身份和自己的公钥）。

Client在收到这个消息后会生成一个秘密消息，用SSL服务器的公钥加密后传过去，SSL服务器端用自己的私钥解密后，会话密钥协商成功，双方可以用同一份会话密钥来通信了。

2.5.3 DTLS认证和授权

DTLS支持终端认证方式为：证书（certificate）和预共享密钥（pre-shared key）。

CAPWAP认证中使用证书支持的算法是

¢   TLS_RSA_WITH_AES_128_CBC_SHA [RFC5246]（MUST SUPPORT）

¢   TLS_DHE_RSA_WITH_AES_128_CBC_SHA [RFC5246](SHOULD SUPPORT)

¢   TLS_RSA_WITH_AES_256_CBC_SHA [RFC5246](MAY SUPPORT)

¢   TLS_DHE_RSA_WITH_AES_256_CBC_SHA [RFC5246] ](MAY SUPPORT)

在RFC4279中定义了多种预共享密钥的认证方式，CAPWAP中主要关心下面两种：

¢  Pre-Shared Key (PSK) key exchange algorithm

¢  DHE_PSK key exchange algorithm

同样，CAPWAP定义了预共享密钥支持的算法

¢  TLS_PSK_WITH_AES_128_CBC_SHA [RFC5246] （MUST SUPPORT）

¢  TLS_DHE_PSK_WITH_AES_128_CBC_SHA [RFC5246] （MUST SUPPORT）

¢  TLS_PSK_WITH_AES_256_CBC_SHA [RFC5246] ](MAY SUPPORT)

¢  TLS_DHE_PSK_WITH_AES_256_CBC_SHA [RFC5246] ](MAY SUPPORT)

2.5.4 CAPWAP状态机

CAPWAP状态机，是被AC和WTP同时使用的。对于每个定义的状态，只有特定的消息才被允许收发。

因为WTP只会和单个AC通讯，因此只会有一个CAPWAP的状态机。而AC与WTP有很大差别，因为AC同时和许多WTP通讯。

DTLS和CAPWAP的状态机由命令和通告的API接口联系起来。

DTLS状态机的变迁由CAPWAP状态机的命令触发。

CAPWAP状态机的变迁由DTLS状态机的通告触发

CAPWAP状态机：

2.5.4.1 CAPWAP to DTLS Commands

¢  DTLSStart

开启DTLS会话的建立

¢  DTLSListen

监听DTLS会话请求

¢  DTLSAccept

允许DTLS会话建立

¢  DTLSAbortSession

导致正在进行中的DTLS会话的中断

¢  DTLSShutdown

关闭DTLS会话

¢  DTLSMtuUpdate

改变DTLS模块的MTU设定大小。默认大小为1468字节

2.5.4.2 DTLS to CAPWAP Notifications

¢  DTLSPeerAuthorize

DTLS会话建立过程中，通知CAPWAP模块来认证会话。

¢  DTLSEstablished

通知CAPWAP模块DTLS会话已经成功建立

¢  DTLSEstablishFail

DTLS会话建立失败

¢  DTLSAuthenticateFail

DTLS会话建立过程由于认证失败而终止。

¢  DTLSAborted

通知CAPWAP模块它要求的DTLS会话建立过程已经终

¢  DTLSReassemblyFailure

通知CAPWAP模块DTLS分片组装失败

¢  DTLSDecapFailure

通知CAPWAP模块发生了一个解码错误

¢  DTLSPeerDisconnect

通知CAPWAP模块DTLS会话已经关闭

2.5.5 AC线程

AC使用了三个“线程”（thread）的概念。

¢  监听线程：

通过DTLSlisten命令，AC监听线程处理DTLS会话建立请求。创建的时候,监听线程开启DTLS Setup状态。当状态机进入Authorize状态，且DTLS会话生效之后，监听线程创建一个指定的WTP指定会话服务线程和状态空间。

¢  发现线程：

AC的发现线程负责接收和响应发现请求消息。

¢  服务线程：

AC的服务进程处理每个WTP的状态和每个WTP连接的线程。这个线程在认证后被监听线程创建。一旦创建，服务线程会继承监听线程的一份状态机空间的拷贝。当与WTP之间的通讯完成后，服务线程关闭，所有的资源都会被释放。

注意，在这里使用了线程这个术语，但是并不代表实现者就必须使用线程。这只是一个实现AC状态机的可用的方法。