配置CAPWAP协商参数

小乔

背景信息

AP上电获取到AC的IP地址后，开始与AC建立CAPWAP隧道。CAPWAP隧道分为控制隧道和数据隧道。

AC通过控制隧道发送管理报文来集中管理AP，通过数据隧道集中业务报文到AC后转发。为了避免控制隧道在大业务流量冲击下中断，提高链路的可靠性，需要配置CAPWAP管理报文的优先级为高优先级。

CAPWAP隧道支持DTLS加密、敏感信息加密、完整性校验和心跳检测，为CAPWAP隧道提供安全。

• DTLS加密：AP与AC建立CAPWAP隧道时，可以选择是否进行DTLS协商，确认AP与AC间的报文交互是否采用DTLS加密，更好的保证管理报文和业务数据报文的完整性和私密性。目前，设备仅支持通过预共享密钥的方式对管理报文和业务数据报文进行加密。
• 敏感信息加密：AP和AC之间涉及敏感信息传输时，如FTP用户名、FTP用户密码、AP登录用户名、AP登录密码以及业务配置相关的密钥等，可以配置敏感信息加密功能。
• 完整性校验：CAPWAP报文在AC和AP设备间进行传输时，有可能被仿真，篡改，或被攻击者恶意构造畸形报文发起攻击，通过完整性校验更好的保护AC和AP之间的CAPWAP报文。
• 心跳检测：AP与AC之间通过定时交互Echo报文确认控制隧道是否正常，通过定时交互Keepalive报文确认数据隧道是否正常。如果在设定的检测报文次数内未收到对端的响应报文，则认为彼此间的链路已经断开，需要重新建立链路。
  

操作步骤

• 执行命令system-view，进入系统视图。
• 根据实际情况，选择配置CAPWAP隧道参数：
  
  
  

  配置项目	操作步骤	说明
  配置CAPWAP管理报文的优先级	capwap control-link-priority { local | remote } priority-value 缺省情况下，CAPWAP管理报文的优先级为7。	优先级取值越大，优先级越高，链路的可靠性越高。建议使用缺省值。 须知： 配置local priority-value即AC到AP的CAPWAP管理报文优先级时，请注意设置为4～7，以避免管理通道可能在大业务流量冲击下中断。
  配置DTLS加密使用的预共享密钥	capwap dtls psk psk-value 缺省情况下，未配置DTLS加密使用的预共享密钥。	-
  开启控制隧道的DTLS加密功能	capwap dtls control-link encrypt { auto | on | off } 缺省情况下，控制隧道的DTLS加密功能自适应开启。	-
  开启CAPWAP数据隧道DTLS加密功能	capwap dtls data-link encrypt 缺省情况下，CAPWAP数据隧道DTLS加密功能未开启。	CAPWAP数据隧道DTLS加密功能仅在数据转发方式为隧道转发时生效。
  配置禁止CAPWAP的DTLS会话使用预置证书认证方式	undo capwap dtls cert-mandatory-match enable 缺省情况下，关闭DTLS会话使用预置证书认证方式。	如果已开启了CAPWAP的控制隧道DTLS加密功能，增加对接V200R021C00及之后版本的AP时，避免AP无法上线，可以先开启该功能允许AP以预置证书认证方式进行DTLS会话，使AP上线。AP上线后会获取新的DTLS凭证，重新以安全方式进行DTLS会话和上线。为确保网络安全，在AP重新上线后，应立即关闭该功能，避免未授权AP接入网络。
  配置禁止CAPWAP的DTLS会话使用不认证方式	undo capwap dtls no-auth enable 缺省情况下，禁止CAPWAP的DTLS会话使用不认证方式。	如果已开启了CAPWAP的控制隧道DTLS加密功能，增加对接V200R021C00之前版本的AP时，为保证版本兼容，避免AP无法上线，可以先开启该功能允许AP以不认证方式进行DTLS会话，使AP上线。AP上线后会获取新的DTLS凭证，重新以安全方式进行DTLS会话和上线。为确保网络安全，在AP重新上线后，应立即关闭该功能，避免未授权AP接入网络。
  配置敏感信息加密预共享密钥	capwap sensitive-info psk 您可以在《WLAN缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。	-
  开启CAPWAP报文完整性校验功能	undo capwap message-integrity check disable 缺省情况下，CAPWAP报文完整性校验功能已开启。	-
  配置CAPWAP报文完整性校验预共享密钥	capwap message-integrity psk 您可以在《WLAN缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。	-
  配置CAPWAP心跳检测的间隔时间	capwap echo interval interval-value 缺省情况下，CAPWAP心跳检测的间隔时间为25秒。	配置CAPWAP心跳检测的间隔时间即配置Echo报文的发送间隔。 配置CAPWAP心跳检测的次数即配置Echo报文的发送次数。 如果在设定的检测次数内未收到对端的相应报文，则认为AP和AC间的链路已断开。 配置CAPWAP心跳检测间隔时间和次数低于默认值会影响CAPWAP链路可靠性，请谨慎修改，建议使用默认值。 当同时存在WDS和双链路备份场景时，由于开启了双链路备份功能的CAPWAP心跳检测的间隔时间为25秒，心跳检测报文次数为3。此时WDS的链路不稳定，无法保证用户正常接入。需要通过此命令配置最少CAPWAP心跳检测的间隔时间为25秒，心跳检测报文次数为6。 射频流量统计报文随Echo报文一起发送和接收。
  配置CAPWAP心跳检测的次数	capwap echo times times-value 缺省情况下，CAPWAP心跳检测的次数为6。 如果开启了双链路备份功能，则CAPWAP心跳检测的次数为3。	-

  
  

检查配置结果

• 执行命令display capwap configuration，查看CAPWAP的配置信息。
  

thamky

mjt314