(可选)配置CAPWAP协商参数
背景信息
AP上电获取到AC的IP地址后,开始与AC建立CAPWAP隧道。CAPWAP隧道分为控制隧道和数据隧道。
AC通过控制隧道发送管理报文来集中管理AP,通过数据隧道集中业务报文到AC后转发。为了避免控制隧道在大业务流量冲击下中断,提高链路的可靠性,需要配置CAPWAP管理报文的优先级为高优先级。
- DTLS加密:AP与AC建立CAPWAP隧道时,可以选择是否进行DTLS协商,确认AP与AC间的报文交互是否采用DTLS加密,更好的保证管理报文的完整性和私密性。目前,设备仅支持通过预共享密钥的方式对管理报文进行加密。
- 敏感信息加密:AP和AC之间涉及敏感信息传输时,如FTP用户名/密码、AP登录用户名/密码、业务配置的PSK等,可以配置敏感信息加密。
- 完整性校验:CAPWAP报文跨AC和AP设备进行传输时,有可能被仿真,篡改或被攻击者恶意构造机型报文发起攻击,通过完整性校验更好的保护AC和AP之间的CAPWAP报文。
- 心跳检测:AP与AC之间通过定时交互Echo报文确认控制隧道是否正常,通过定时交互Keepalive报文确认数据隧道是否正常。如果在设定的检测报文次数内未收到对端的响应报文,则认为彼此间的链路已经断开,需要重新建立链路。
操作步骤
- 执行命令system-view,进入系统视图。
- 根据实际情况,选择配置CAPWAP隧道参数:
配置项目
操作步骤
说明
配置CAPWAP管理报文的优先级
capwap control-link-priority { local | remote } priority-value
缺省情况下,CAPWAP管理报文的优先级为7。
优先级取值越大,优先级越高,链路的可靠性越高。建议使用缺省值。
须知:配置local priority-value即AC到AP的CAPWAP管理报文优先级时,请注意设置为4~7,以避免管理通道可能在大业务流量冲击下中断。
配置DTLS加密
配置允许AP以默认预共享密钥与AC进行DTLS会话
capwap dtls psk-mandatory-match enable
缺省情况下,禁止AP以默认PSK密钥与AC进行DTLS会话。
AP支持只以默认预共享密钥与AC进行DTLS会话或通过新配置的预共享密钥进行DTLS会话。
如果既配置了允许AP以默认预共享密钥与AC进行DTLS会话,同时又配置了DTLS加密使用的预共享密钥,则可能存在以下两种场景:- AP上线时使用默认预共享密钥,只有在重启AP后才使用新配置的预共享密钥上线;
- 当AP与AC的预共享密钥不相同时,AP在连续三次DTLS会话失败后使用默认密钥进行DTLS会话。
为保证用户设备安全,建议修改预共享密钥。
配置DTLS加密使用的预共享密钥
capwap dtls psk psk-value
您可以在《AR 路由器缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
使能控制隧道的DTLS加密功能
capwap dtls control-link encrypt
缺省情况下,控制隧道DTLS加密功能使能。
敏感信息加密
配置敏感信息加密预共享密钥
capwap sensitive-info psk
缺省情况下,使用设备默认的敏感信息加密密钥。
-
完整性校验
配置CAPWAP报文完整性校验预共享密钥
capwap message-integrity psk
缺省情况下没有配置CAPWAP报文完整性校验预共享密钥。
-
配置CAPWAP心跳检测
配置CAPWAP心跳检测的间隔时间
capwap echo interval interval-value
缺省情况下,CAPWAP心跳检测的间隔时间为25秒。
配置CAPWAP心跳检测的间隔时间即配置Echo报文的发送间隔。
配置CAPWAP心跳检测的次数即配置Echo报文的发送次数。
如果在设定的检测次数内未收到对端的相应报文,则认为AP和AC间的链路已断开。
配置CAPWAP心跳检测间隔时间和次数低于默认值会影响CAPWAP链路可靠性,请谨慎修改,建议使用默认值。如果发现有AP异常下线,可以适当将CAPWAP心跳检测间隔时间和次数再配置大一些。
当同时存在WDS和双链路备份场景时,由于开启了双链路备份功能的CAPWAP心跳检测的间隔时间为25秒,心跳检测报文次数为3。此时WDS的链路不稳定,无法保证用户正常接入。需要通过此命令配置最少CAPWAP心跳检测的间隔时间为25秒,心跳检测报文次数为6。
射频流量统计报文随Echo报文一起发送和接收。
配置CAPWAP心跳检测的次数
capwap echo times times-value
缺省情况下,CAPWAP心跳检测的次数为6。
如果开启了双链路备份功能,则CAPWAP心跳检测的次数为3。
