公司要做AP和AC，從今天開始學(xué)習(xí)CAPWAP。1CAPWAP的前世今生11胖AP、瘦AP、AC傳統(tǒng)的WLAN網(wǎng)絡(luò)都是為企業(yè)或家庭內(nèi)少量移動(dòng)用戶的接入而組建的。因此，只需要一個(gè)無(wú)線路由器就可以搞定了，就好像現(xiàn)在家用的無(wú)線路由器就是胖AP。胖AP將WLAN的物理層、用戶數(shù)據(jù)加密、用戶認(rèn)證、QOS、網(wǎng)絡(luò)管理、漫游技術(shù)以及其他應(yīng)用層的功能集于一身，功能全，結(jié)構(gòu)復(fù)雜。隨著無(wú)線網(wǎng)絡(luò)的發(fā)展，現(xiàn)在需要部署無(wú)線設(shè)備的地方越來(lái)越多，胖AP的弊端也隨之顯現(xiàn)出來(lái)WLAN建網(wǎng)時(shí)需要對(duì)成百上千的AP進(jìn)行逐一配置網(wǎng)管IP地址、SSID和加密認(rèn)證方式等無(wú)線業(yè)務(wù)參數(shù)、信道和發(fā)射功率等射頻參數(shù)、ACL和QOS等服務(wù)策略，很容易因誤配置而造成配置不一致。為了管理AP，需要維護(hù)大量AP的IP地址和設(shè)備的映射關(guān)系，每新增加一批AP設(shè)備都需要進(jìn)行地址關(guān)系維護(hù)。接入AP的邊緣網(wǎng)絡(luò)需要更改VLAN、ACL等配置以適應(yīng)無(wú)線用戶的接入，為了能夠支持用戶的無(wú)縫漫游，需要在邊緣網(wǎng)絡(luò)上配置所有無(wú)線用戶可能使用的VLAN和ACL。察看網(wǎng)絡(luò)運(yùn)行狀況和用戶統(tǒng)計(jì)時(shí)需要逐一登錄到AP設(shè)備才能完成察看。在線更改服務(wù)策略和安全策略設(shè)定時(shí)也需要逐一登錄到AP設(shè)備才能完成設(shè)定。升級(jí)AP軟件無(wú)法自動(dòng)完成，維護(hù)人員需要手動(dòng)逐一對(duì)設(shè)備進(jìn)行軟件升級(jí)，費(fèi)時(shí)費(fèi)力AP設(shè)備的丟失意味著網(wǎng)絡(luò)配置的丟失，在發(fā)現(xiàn)設(shè)備丟失前，網(wǎng)絡(luò)存在入侵隱患，在發(fā)現(xiàn)設(shè)備丟失后又需要全網(wǎng)重配置。在這種情況下，瘦APAC的組網(wǎng)方式應(yīng)用而生。其中無(wú)線控制器負(fù)責(zé)無(wú)線網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計(jì)、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；瘦AP負(fù)責(zé)80211報(bào)文的加解密、80211的PHY功能、接受無(wú)線控制器的管理、RF空口的統(tǒng)計(jì)等簡(jiǎn)單功能。其組網(wǎng)圖如下所示通過無(wú)線控制器（AC）來(lái)管理多個(gè)AP，AP和AC間采用隧道協(xié)議進(jìn)行通訊，無(wú)線接入報(bào)文的處理在AP和AC間分擔(dān)實(shí)現(xiàn)。瘦APAC的組網(wǎng)方式的優(yōu)點(diǎn)如下瘦AP的配置保存在無(wú)線控制器中，瘦AP啟動(dòng)時(shí)會(huì)自動(dòng)從無(wú)線控制器下載合適的設(shè)備配置信息瘦AP需要能夠自動(dòng)獲取IP地址，同時(shí)瘦AP需要能夠自動(dòng)發(fā)現(xiàn)可接入的無(wú)線控制器，并對(duì)無(wú)線控制器和瘦AP之間的網(wǎng)絡(luò)拓?fù)洳幻舾袩o(wú)線控制器支持瘦AP的配置代理和查詢代理，能夠?qū)⒂脩魧?duì)瘦AP的配置順利傳達(dá)到指定的瘦AP設(shè)備，同時(shí)可以實(shí)時(shí)察看瘦AP的狀態(tài)和統(tǒng)計(jì)信息無(wú)線控制器保存瘦AP的最新軟件，并負(fù)責(zé)瘦AP軟件的自動(dòng)更新為了更加清晰的了解胖AP和瘦APAC的特點(diǎn)，簡(jiǎn)單羅列一下。胖AP的主要特點(diǎn)胖AP是與瘦AP相對(duì)來(lái)講的，胖AP將WLAN的物理層、用戶數(shù)據(jù)加密、用戶認(rèn)證、QOS、網(wǎng)絡(luò)管理、漫游技術(shù)以及其他應(yīng)用層的功能集于一身。胖AP無(wú)線網(wǎng)絡(luò)解決方案可由由胖AP直接在有線網(wǎng)的基礎(chǔ)上構(gòu)成。胖AP設(shè)備結(jié)構(gòu)復(fù)雜，且難于集中管理。瘦AP的主要特點(diǎn)瘦AP是相對(duì)胖AP來(lái)講的，它是一個(gè)只有加密、射頻功能的AP，功能單一，不能獨(dú)立工作。整個(gè)瘦AP無(wú)線網(wǎng)絡(luò)解決方案由無(wú)線控制器和瘦AP在有線網(wǎng)的基礎(chǔ)上構(gòu)成。瘦AP上“零配置”，所有配置都集中到無(wú)線交換機(jī)上。這也促成了瘦AP解決方案更加便于集中管理，并由此具有三層漫游、基于用戶下發(fā)權(quán)限等胖AP不具備的功能。簡(jiǎn)而言之，如果是小規(guī)模使用，胖AP是最好的，如果是要大規(guī)模部署，瘦APAC是明智之選。12CAPWAP的起源既然瘦AP不能單獨(dú)工作，必須和AC配合使用，那么兩者之間總要有一種協(xié)議可以讓它們能夠進(jìn)行互聯(lián)和溝通吧。因此，思科老大哥整了一個(gè)LWAPP協(xié)議，而這個(gè)協(xié)議正是CAPWAP協(xié)議的前身但是請(qǐng)大家注意，LWAPP這個(gè)東西是人家思科的私有的，其他廠商是不能直接使用，否則就要吃官司，于是，其他廠商就按照自己的想法也整了一個(gè)協(xié)議，這樣一來(lái)就亂了，你整個(gè)協(xié)議我也整個(gè)協(xié)議，如果瘦AP和AC都是一樣廠商自然沒問題，如果要是不易廠商的，就沒法通信了于是乎，IETF為了解決隧道協(xié)議不兼容問題造成的A廠家的AP和B廠家的AC無(wú)法進(jìn)行互通，在2005年成立了CAPWAP工作組以標(biāo)準(zhǔn)化AP和AC間的隧道協(xié)議。2初識(shí)CAPWAP21CAPWAP簡(jiǎn)介說了半天CAPWAP，連全稱都還沒說，汗CAPWAPCONTROLANDPROVISIONINGOFWIRELESSACCESSPOINTSPROTOCOLSPECIFICATION。其由兩個(gè)部分組成CAPWAP協(xié)議和無(wú)線BINDING協(xié)議。前者是一個(gè)通用的隧道協(xié)議，完成AP發(fā)現(xiàn)AC等基本協(xié)議功能，和具體的無(wú)線接入技術(shù)無(wú)關(guān)。后者是提供具體和某個(gè)無(wú)線接入技術(shù)相關(guān)的配置管理功能。這么說吧，前者規(guī)定了各個(gè)階段需要干什么事，后者就是具體到在各種接入方式下應(yīng)該怎么完成這些事。CAPWAP協(xié)議在2009年4月的RFC5415中發(fā)布，無(wú)線BINGDING協(xié)議目前只出臺(tái)了接入方式為80211的RFC，也是2009年4月發(fā)布的，RFC編號(hào)為5416。PS漂移一下，順帶提一下80211、80215、80216、80220等無(wú)線接入方式的區(qū)別。目前，IEEE802旗下的無(wú)線網(wǎng)絡(luò)協(xié)議一共有80211、80215、80216和80220等四大種類，這四大類協(xié)議中又包含各種不同性能的子協(xié)議，顯得很混亂的樣子IEEE80211體系定義的是無(wú)線局域網(wǎng)標(biāo)準(zhǔn)（WLAN，WIRELESSLOCALAREANETWORK），針對(duì)家庭和企業(yè)中的局域網(wǎng)而設(shè)計(jì)，應(yīng)用范圍一般局限在一個(gè)建筑物或一個(gè)小建筑物群（如學(xué)校、小區(qū)等）。IEEE80215定義的其實(shí)是無(wú)線個(gè)人網(wǎng)絡(luò)（WPAN，WIRELESSPERSONALAREANETWORK），主要用于個(gè)人電子設(shè)備與PC的自動(dòng)互聯(lián)，這類設(shè)備包括手機(jī)、MP3播放器、便攜媒體播放器、數(shù)碼相機(jī)、掌上電腦等等。IEEE80216是一種廣帶無(wú)線接入技術(shù)（BROADBANDWIRELESSACCESS，BWA），主要用于遠(yuǎn)距離、高速度的通訊環(huán)境，定義的是城域網(wǎng)絡(luò)（MAN，METROPOLITANAREANETWORK），性能可媲美CABLE電纜、DSL、T1專線等傳統(tǒng)的有線技術(shù)。IEEE80216包含80216和80216A兩項(xiàng)子協(xié)議，前者的作用距離為2公里，傳輸速率在30MBPS至130MBPS之間，而80216A的傳輸距離可達(dá)到50公里，速率也能達(dá)到75MBPS看得出，在上述各種無(wú)線通訊技術(shù)中，還沒有哪項(xiàng)技術(shù)可以在有效范圍和性能標(biāo)準(zhǔn)上都蓋過IEEE80216A。IEEE80220與80216在特性上有些類似，都具有傳輸距離遠(yuǎn)、速度快的特點(diǎn)。不過80220是一項(xiàng)移動(dòng)廣帶接入技術(shù)（MOBILEBROADBANDWIRELESSACCESS，MBWR），他更側(cè)重于設(shè)備的可移動(dòng)性，例如在高速行駛的火車、汽車上都能實(shí)現(xiàn)數(shù)據(jù)通訊（80216無(wú)法做到這一點(diǎn)）。CAPWAP協(xié)議的主要功能AP自動(dòng)發(fā)現(xiàn)AC，AC對(duì)AP進(jìn)行安全認(rèn)證，AP從AC獲取軟件映像，AP從AC獲得初始和動(dòng)態(tài)配置等。此外，系統(tǒng)可以支持本地?cái)?shù)據(jù)轉(zhuǎn)發(fā)和集中數(shù)據(jù)轉(zhuǎn)發(fā)。瘦AP架構(gòu)讓AC具有了對(duì)整個(gè)WLAN網(wǎng)絡(luò)的完整視圖，為無(wú)線漫游、無(wú)線資源管理等業(yè)務(wù)功能的實(shí)現(xiàn)提供了基礎(chǔ)。22一些名詞無(wú)線控制器AC網(wǎng)絡(luò)實(shí)體，在網(wǎng)絡(luò)架構(gòu)的數(shù)據(jù)層，控制層，管理層或者聯(lián)合起來(lái)提供WTP到網(wǎng)絡(luò)的訪問服務(wù)。CAPWAP控制信道一個(gè)雙向信道，由AC的IP地址，WTP的IP地址，AC控制端口，WTP控制端口，傳輸層協(xié)議（UDP或者UDPLITE）定義，在這之上可以收發(fā)CAPWAP的控制報(bào)文。CAPWAP數(shù)據(jù)信道一個(gè)雙向信道，由AC的IP地址，WTP的IP地址，AC數(shù)據(jù)端口，WTP數(shù)據(jù)端口，傳輸層協(xié)議（UDP或者UDPLITE）定義，在這之上可以收發(fā)CAPWAP的數(shù)據(jù)報(bào)文。STATION一個(gè)包含無(wú)線接口的設(shè)備無(wú)線終端WTP物理或者網(wǎng)絡(luò)實(shí)體，包含一個(gè)射頻天線和無(wú)線物理層可以傳輸和接收STA在無(wú)線存取網(wǎng)絡(luò)的數(shù)據(jù)。23CAPWAP的模式CAPWAP協(xié)議支持兩種模式的操作SPLITMAC和LOCALMAC。SPLITMAC在SPLITMAC模式下，所有二層的無(wú)線數(shù)據(jù)和管理幀都會(huì)被CAPWAP協(xié)議封裝，然后在AC和WTP之間交換。如下圖中所示，從一個(gè)STATION收到的無(wú)線幀，會(huì)被直接封裝，然后轉(zhuǎn)發(fā)給AC。LOCALMAC本地轉(zhuǎn)發(fā)模式允許數(shù)據(jù)幀可以用本地橋或者使用8023的幀形式用隧道轉(zhuǎn)發(fā)。在這種情況下，二層無(wú)線管理幀在WTP本地已經(jīng)處理，然后轉(zhuǎn)發(fā)給AC。下圖顯示了本地轉(zhuǎn)發(fā)模式，STATION傳送的無(wú)線幀被封裝成8023數(shù)據(jù)幀，然后轉(zhuǎn)發(fā)給AC。24CAPWAP的負(fù)載類型CAPWAP協(xié)議傳輸層運(yùn)輸兩種類型的負(fù)載數(shù)據(jù)消息封裝轉(zhuǎn)發(fā)無(wú)線幀控制消息管理WTP和AC之間交換的管理消息CAPWAP數(shù)據(jù)和控制報(bào)文基于不同的UDP端口發(fā)送，且可以被分段，因此數(shù)據(jù)和控制報(bào)文可以超過MTU長(zhǎng)度。25CAPWAP會(huì)話創(chuàng)建過程CAPWAP協(xié)議從發(fā)現(xiàn)階段開始。WTPS發(fā)送一個(gè)發(fā)現(xiàn)請(qǐng)求消息，任何接收到這個(gè)請(qǐng)求的AC將會(huì)回應(yīng)一個(gè)發(fā)現(xiàn)響應(yīng)報(bào)文。接收到發(fā)現(xiàn)響應(yīng)報(bào)文，WTP選擇一個(gè)AC來(lái)建立一個(gè)基于DTLS的安全會(huì)話。為了建立DTLS安全連接，WTP將需要一個(gè)預(yù)先提供的數(shù)據(jù)，將在后面說明。CAPWAP協(xié)議報(bào)文將會(huì)被分段成網(wǎng)絡(luò)支持的最大長(zhǎng)度。COMMENT汪汪1一旦WTP和AC完成了DTLS會(huì)話建立，兩者之間會(huì)交換配置，來(lái)在版本信息上達(dá)成一致。在這個(gè)交換過程之間，WTP可能會(huì)接收到規(guī)定設(shè)置，然后會(huì)開啟這些設(shè)置。當(dāng)WTP和AC之間完成版本和設(shè)置的交換，并且WTP已經(jīng)開啟，CAPWAP協(xié)議將被使用來(lái)封裝AC和WTP之間發(fā)送的無(wú)線數(shù)據(jù)幀。如果用戶數(shù)據(jù)或者協(xié)議控制數(shù)據(jù)長(zhǎng)度超過WTP和AC之間的MTU會(huì)導(dǎo)致CAPWAP協(xié)議將L2層幀分片。被分片的CAPWAP報(bào)文將會(huì)被重新組成原來(lái)的封裝報(bào)文。251AC發(fā)現(xiàn)機(jī)制WTP使用AC發(fā)現(xiàn)機(jī)制來(lái)得知哪些AC是可用的，決定最佳的AC來(lái)建立CAPWAP連接。WTP的發(fā)現(xiàn)過程是可選的。如果在WTP上靜態(tài)配置了AC，那么WTP并不需要完成AC的發(fā)現(xiàn)過程。WTP首先發(fā)送一個(gè)DISCOVERYREQUESTMESSAGE給受限的廣播地址，或者CAPWAP的多播地址22401140，或者是預(yù)配置的AC的單播地址。在IPV6網(wǎng)絡(luò)中，由于廣播并不存在，因此使用“ALLACSMULTICASTADDRESS“FF0X00000018C來(lái)代替。當(dāng)接收到DISCOVERYREQUESTMESSAGE消息，AC發(fā)送一個(gè)單播DISCOVERYRESPONSEMESSAGE給WTP。WTP可以通過DISCOVERYRESPONSEMESSAGE中所帶的AC優(yōu)先級(jí)，支持的CAPWAPBINDING來(lái)選擇與哪個(gè)AC建立會(huì)話。除了上面的發(fā)現(xiàn)機(jī)制，WTP還可以使用DNS或者DHCP來(lái)發(fā)現(xiàn)AC。252DTLS握手WTP首先發(fā)送一個(gè)CLIENTHELLO消息來(lái)發(fā)起握手，說明它支持的密碼算法列表、壓縮方法及最高協(xié)議版本和其他一些需要的消息。AC回復(fù)一個(gè)HELLOVERIFYREUQEST消息，CLIENT必須重傳添加了COOKIE的CLIENTHELLO。SERVER然后驗(yàn)證COOKIE，如果有效的話才開始進(jìn)行握手。AC回應(yīng)一個(gè)SERVERHELLO消息，包含服務(wù)器選擇的連接參數(shù)，源自客戶端初期所提供的CLIENTHELLO，確定了這次通信所需要的算法，然后發(fā)過去自己的證書（里面包含了身份和自己的公鑰）。CLIENT在收到這個(gè)消息后會(huì)生成一個(gè)秘密消息，用SSL服務(wù)器的公鑰加密后傳過去，SSL服務(wù)器端用自己的私鑰解密后，會(huì)話密鑰協(xié)商成功，雙方可以用同一份會(huì)話密鑰來(lái)通信了。253DTLS認(rèn)證和授權(quán)DTLS支持終端認(rèn)證方式為證書（CERTIFICATE）和預(yù)共享密鑰（PRESHAREDKEY）。CAPWAP認(rèn)證中使用證書支持的算法是TLS_RSA_WITH_AES_128_CBC_SHARFC5246（MUSTSUPPORT）TLS_DHE_RSA_WITH_AES_128_CBC_SHARFC5246SHOULDSUPPORTTLS_RSA_WITH_AES_256_CBC_SHARFC5246MAYSUPPORTTLS_DHE_RSA_WITH_AES_256_CBC_SHARFC5246MAYSUPPORT在RFC4279中定義了多種預(yù)共享密鑰的認(rèn)證方式，CAPWAP中主要關(guān)心下面兩種PRESHAREDKEYPSKKEYEXCHANGEALGORITHMDHE_PSKKEYEXCHANGEALGORITHM同樣，CAPWAP定義了預(yù)共享密鑰支持的算法TLS_PSK_WITH_AES_128_CBC_SHARFC5246（MUSTSUPPORT）TLS_DHE_PSK_WITH_AES_128_CBC_SHARFC5246（MUSTSUPPORT）TLS_PSK_WITH_AES_256_CBC_SHARFC5246MAYSUPPORTTLS_DHE_PSK_WITH_AES_256_CBC_SHARFC5246MAYSUPPORT254CAPWAP狀態(tài)機(jī)CAPWAP狀態(tài)機(jī)，是被AC和WTP同時(shí)使用的。對(duì)于每個(gè)定義的狀態(tài)，只有特定的消息才被允許收發(fā)。因?yàn)閃TP只會(huì)和單個(gè)AC通訊，因此只會(huì)有一個(gè)CAPWAP的狀態(tài)機(jī)。而AC與WTP有很大差別，因?yàn)锳C同時(shí)和許多WTP通訊。DTLS和CAPWAP的狀態(tài)機(jī)由命令和通告的API接口聯(lián)系起來(lái)。DTLS狀態(tài)機(jī)的變遷由CAPWAP狀態(tài)機(jī)的命令觸發(fā)。CAPWAP狀態(tài)機(jī)的變遷由DTLS狀態(tài)機(jī)的通告觸發(fā)CAPWAP狀態(tài)機(jī)2541CAPWAPTODTLSCOMMANDSDTLSSTART開啟DTLS會(huì)話的建立DTLSLISTEN監(jiān)聽DTLS會(huì)話請(qǐng)求DTLSACCEPT允許DTLS會(huì)話建立DTLSABORTSESSION導(dǎo)致正在進(jìn)行中的DTLS會(huì)話的中斷DTLSSHUTDOWN關(guān)閉DTLS會(huì)話DTLSMTUUPDATE改變DTLS模塊的MTU設(shè)定大小。默認(rèn)大小為1468字節(jié)2542DTLSTOCAPWAPNOTIFICATIONSDTLSPEERAUTHORIZEDTLS會(huì)話建立過程中，通知CAPWAP模塊來(lái)認(rèn)證會(huì)話。DTLSESTABLISHED通知CAPWAP模塊DTLS會(huì)話已經(jīng)成功建立COMMENT汪汪2DTLSESTABLISHFAILDTLS會(huì)話建立失敗DTLSAUTHENTICATEFAILDTLS會(huì)話建立過程由于認(rèn)證失敗而終止。DTLSABORTED通知CAPWAP模塊它要求的DTLS會(huì)話建立過程已經(jīng)終DTLSREASSEMBLYFAILURE通知CAPWAP模塊DTLS分片組裝失敗DTLSDECAPFAILURE通知CAPWAP模塊發(fā)生了一個(gè)解碼錯(cuò)誤DTLSPEERDISCONNECT通知CAPWAP模塊DTLS會(huì)話已經(jīng)關(guān)閉255AC線程AC使用了三個(gè)“線程”（THREAD）的概念。監(jiān)聽線程通過DTLSLISTEN命令，AC監(jiān)聽線程處理DTLS會(huì)話建立請(qǐng)求。創(chuàng)建的時(shí)候,監(jiān)聽線程開啟DTLSSETUP狀態(tài)。當(dāng)狀態(tài)機(jī)進(jìn)入AUTHORIZE狀態(tài)，且DTLS會(huì)話生效之后，監(jiān)聽線程創(chuàng)建一個(gè)指定的WTP指定會(huì)話服務(wù)線程和狀態(tài)空間。發(fā)現(xiàn)線程AC的發(fā)現(xiàn)線程負(fù)責(zé)接收和響應(yīng)發(fā)現(xiàn)請(qǐng)求消息。服務(wù)線程AC的服務(wù)進(jìn)程處理每個(gè)WTP的狀態(tài)和每個(gè)WTP連接的線程。這個(gè)線程在認(rèn)證后被監(jiān)聽線程創(chuàng)建。一旦創(chuàng)建，服務(wù)線程會(huì)繼承監(jiān)聽線程的一份狀態(tài)機(jī)空間的拷貝。當(dāng)與WTP之間的通訊完成后，服務(wù)線程關(guān)閉，所有的資源都會(huì)被釋放。注意，在這里使用了線程這個(gè)術(shù)語(yǔ)，但是并不代表實(shí)現(xiàn)者就必須使用線程。這只是一個(gè)實(shí)現(xiàn)AC狀態(tài)機(jī)的可用的方法256CAPWAP狀態(tài)機(jī)詳解2561STARTTOIDLE這個(gè)狀態(tài)變遷發(fā)生在設(shè)備初始化完成。WTP開啟CAPWAP狀態(tài)機(jī)。AC開啟CAPWAP狀態(tài)機(jī)。2562IDLETODISCOVERY這個(gè)狀態(tài)變遷發(fā)生是為了支持CAPWAP發(fā)現(xiàn)進(jìn)程。WTPWTP進(jìn)入發(fā)現(xiàn)狀態(tài)是為了優(yōu)先去傳輸?shù)谝粋€(gè)DISCOVERYREQUESTMESSAGE。在進(jìn)入這個(gè)狀態(tài)之前，WTP設(shè)置發(fā)現(xiàn)DISCOVERYINTERVALTIMER，將DISCOVERYCOUNTCOUNTER為0同時(shí)清理以前的發(fā)現(xiàn)過程中可能會(huì)從AC收到的所有信息。AC由發(fā)現(xiàn)線程執(zhí)行，且發(fā)生在收到一個(gè)發(fā)現(xiàn)請(qǐng)求報(bào)文的時(shí)候。此時(shí)，AC需要給這個(gè)報(bào)文響應(yīng)一個(gè)DISCOVERYRESPONSEMESSAGE。2563DISCOVERYTODISCOVERY在這個(gè)發(fā)現(xiàn)狀態(tài)，WTP決定連接哪個(gè)AC。WTP這個(gè)狀態(tài)變遷發(fā)生在發(fā)現(xiàn)DISCOVERYINTERVALTIMER觸發(fā)的時(shí)候。對(duì)于這個(gè)事件的每次變遷，DISCOVERYCOUNTCOUNTER會(huì)遞增。一旦WTP發(fā)送了DISCOVERYREQUESTMESSAGE，WTP重啟DISCOVERYINTERVALTIMER。AC對(duì)于AC來(lái)說，這個(gè)狀態(tài)變遷是無(wú)效的。2564DISCOVERYTOIDLE當(dāng)發(fā)現(xiàn)過程完畢的時(shí)候，AC的發(fā)現(xiàn)線程將會(huì)觸發(fā)這個(gè)變遷。WTP對(duì)于WTP來(lái)說，這個(gè)狀態(tài)變遷是無(wú)效的。AC這個(gè)狀態(tài)變遷由AC發(fā)現(xiàn)線程執(zhí)行，當(dāng)發(fā)現(xiàn)線程傳輸了一個(gè)給DISCOVERYREQUEST回送了一個(gè)DISCOVERYRESPONSE的時(shí)候，就會(huì)觸發(fā)這個(gè)過程。2565DISCOVERYTOSULKING當(dāng)WTP發(fā)現(xiàn)AC失敗的時(shí)候會(huì)觸發(fā)這個(gè)狀態(tài)變遷。WTP發(fā)生在DISCOVERYINTERVALTIMER超時(shí)的時(shí)候。且此時(shí)DISCOVERYCOUNT變量等于MAXDISCOVERIES。在進(jìn)入這個(gè)狀態(tài)之前，WTP必須開啟SILENTINTERVALTIMER。當(dāng)在SULKING狀態(tài)的時(shí)候，所有收到的CAPWAP協(xié)議報(bào)文都會(huì)被忽略。AC對(duì)于AC來(lái)說，這個(gè)狀態(tài)變遷是無(wú)效的。2566SULKINGTOIDLE這個(gè)狀態(tài)變遷發(fā)生在WTP需要重新啟動(dòng)發(fā)現(xiàn)過程的時(shí)候。WTP當(dāng)SILENTINTERVALTIMER觸發(fā)，WTP進(jìn)入到這個(gè)狀態(tài)。FAILEDDTLSSESSIONCOUNT,DISCOVERYCOUNT和FAILEDDTLSAUTHFAILCOUNT計(jì)數(shù)器被清零。AC對(duì)于AC來(lái)說，這是一個(gè)無(wú)效的狀態(tài)變遷。2567SULKINGTOSULKINGSULKING狀態(tài)提供安靜時(shí)段，最小化DOS攻擊的危險(xiǎn)。WTP在SULKING狀態(tài)收到的所有來(lái)自AC得報(bào)文都會(huì)被忽略。AC對(duì)于AC來(lái)說，這是一個(gè)無(wú)效的狀態(tài)變遷2568IDLETODTLSSETUP這個(gè)狀態(tài)變遷發(fā)生在跟對(duì)端建立安全的DTLS會(huì)話的時(shí)候。WTPWTP通過調(diào)用DTLSSTART命令來(lái)初始化這個(gè)狀態(tài)變遷，開始與選定AC進(jìn)行DTLS會(huì)話，且開啟WAITDTLSTIMER。此時(shí)，忽略了發(fā)現(xiàn)過程，假設(shè)WTP有本地配置的AC。AC從START狀態(tài)進(jìn)入IDLE狀態(tài)，監(jiān)聽線程自動(dòng)變遷至DTLSSETUP狀態(tài)，調(diào)用DTLSLISTEN命令，并且開啟WAITDTLSTIMER。COMMENT汪汪32569DISCOVERYTODTLSSETUPWTPWTP調(diào)用DTLSSTART命令來(lái)初始化這個(gè)變遷，開始與指定AC建立DTLS會(huì)話。AC對(duì)于AC來(lái)說，這是一個(gè)無(wú)效的狀態(tài)變遷。25610DTLSSETUPTOIDLE當(dāng)DTLS連接失敗的時(shí)候發(fā)生這個(gè)狀態(tài)變遷。WTP此時(shí)WTP接收到DTLSESTABLISHFAIL通知，并且FAILEDDTLSSESSIONCOUNT或者FAILEDDTLSAUTHFAILCOUNTCOUNTER沒有達(dá)到MAXFAILEDDTLSSESSIONRETRY值。這個(gè)錯(cuò)誤通知終止了DTLS會(huì)話的建立。當(dāng)接收到這個(gè)通知，F(xiàn)AILEDDTLSSESSIONCOUNT計(jì)時(shí)器會(huì)遞增。這個(gè)狀態(tài)變遷也會(huì)發(fā)生在WAITDTLSTIMER超時(shí)的情況下。AC對(duì)于AC來(lái)說，這是一個(gè)無(wú)效的狀態(tài)變遷。25611DTLSSETUPTOSULKING當(dāng)重復(fù)嘗試建立DTLS連接失敗的時(shí)候，會(huì)發(fā)生此狀態(tài)變遷。WTP當(dāng)FAILEDDTLSSESSIONCOUNT或者FAILEDDTLSAUTHFAILCOUNT到達(dá)最大值MAXFAILEDDTLSSESSIONRETRY的時(shí)候，WTP進(jìn)入此狀態(tài)變遷。進(jìn)入這個(gè)狀態(tài)，WTP必須開啟SILENTINTERVAL定時(shí)器，且所有接收到的CAPWAP和DTLS協(xié)議報(bào)文將會(huì)被忽略。AC對(duì)于AC來(lái)說，這是一個(gè)無(wú)效的狀態(tài)變遷。25612DTLSSETUPTODTLSSETUP當(dāng)DTLS會(huì)話建立失敗的時(shí)候會(huì)發(fā)生這個(gè)狀態(tài)變遷。WTP對(duì)于WTP來(lái)說，這是一個(gè)無(wú)效的狀態(tài)變遷COMMENT汪汪4AC當(dāng)接收到一個(gè)來(lái)自DTLS的DTLSESTABLISHFAIL通知，AC監(jiān)聽線程初始化這個(gè)狀態(tài)變遷。當(dāng)收到這個(gè)通告，F(xiàn)AILEDDTLSSESSIONCOUNT會(huì)遞增，監(jiān)聽線程然后調(diào)用DTLSLISTEN命令。25613DTLSSETUPTOAUTHORIZE這個(gè)狀態(tài)變遷發(fā)生在當(dāng)一個(gè)正在建立DTLS會(huì)話需要認(rèn)證才能繼續(xù)進(jìn)行的時(shí)候。WTP當(dāng)WTP接收到DTLSPEERAUTHORIZE通告的時(shí)候，開始這個(gè)狀態(tài)變遷。在進(jìn)入這個(gè)狀態(tài)之前，WTP對(duì)AC的證書執(zhí)行一個(gè)認(rèn)證檢查。AC當(dāng)DTLS模塊初始化DTLSPEERAUTHORIZE通告的時(shí)候，AC監(jiān)聽線程處理這個(gè)狀態(tài)變遷。監(jiān)聽線程FORK一個(gè)服務(wù)線程和一個(gè)狀態(tài)機(jī)內(nèi)容的拷貝，然后，服務(wù)線程會(huì)對(duì)WTP證書執(zhí)行認(rèn)證。25614AUTHORIZETODTLSSETUP當(dāng)監(jiān)聽線程對(duì)新進(jìn)入的會(huì)話開始監(jiān)聽的時(shí)候，發(fā)生這個(gè)狀態(tài)變遷。WTP對(duì)于WTP來(lái)說，這是個(gè)無(wú)效的狀態(tài)變遷AC當(dāng)AC監(jiān)聽線程創(chuàng)建WTP內(nèi)容空間和服務(wù)線程后，發(fā)生這個(gè)狀態(tài)變遷。監(jiān)聽線程然后調(diào)用DTLSLISTEN命令。25615AUTHORIZETODTLSCONNECT當(dāng)通知DTLS棧會(huì)話將要建立的時(shí)候發(fā)生這個(gè)狀態(tài)變遷。WTP當(dāng)AC證書被WTP認(rèn)證成功的時(shí)候，會(huì)發(fā)生這個(gè)狀態(tài)變遷。調(diào)用DTLSACCEPT命令來(lái)完成。AC當(dāng)WTP證書成功通過AC認(rèn)證的時(shí)候發(fā)生這個(gè)狀態(tài)變遷。調(diào)用DTLSACCEPT來(lái)完成。25616DTLSCONNECTTODTLSTEARDOWN當(dāng)DTLS會(huì)話建立失敗的時(shí)候發(fā)生。WTP當(dāng)WTP接收到一個(gè)DTLSABORTED或者DTLSAUTHENTICATEFAIL通告，告知這個(gè)DTLS會(huì)話建立不成功的時(shí)候，發(fā)生這個(gè)狀態(tài)變遷。當(dāng)因?yàn)镈TLSAUTHENTICATEFAIL通告發(fā)生的狀態(tài)變遷，F(xiàn)AILEDDTLSAUTHFAILCOUNT會(huì)增加，否則，F(xiàn)AILEDDTLSSESSIONCOUNT計(jì)數(shù)器增加。這個(gè)狀態(tài)變遷也在WAITDTLS定時(shí)器超時(shí)的時(shí)候發(fā)生，此時(shí)WTP開啟DTLSSESSIONDELETE定時(shí)器。AC當(dāng)WTP接收到一個(gè)DTLSABORTED或者DTLSAUTHENTICATEFAIL通告，告知這個(gè)DTLS會(huì)話建立不成功，此時(shí)FAILEDDTLSAUTHFAILCOUNT和FAILEDDTLSSESSIONCOUNT不等于MAXFAILEDDTLSSESSIONRETRY的時(shí)候，發(fā)生這個(gè)狀態(tài)變遷。這個(gè)狀態(tài)變遷也在WAITDTLS定時(shí)器超時(shí)的時(shí)候發(fā)生。25617DTLSCONNECTTOJOIN當(dāng)會(huì)話成功建立的時(shí)候發(fā)生。WTP當(dāng)WTP接收到一個(gè)DTLSESTABLISHED通告，表明這個(gè)DTLS會(huì)話成功建立的時(shí)候，發(fā)生這個(gè)狀態(tài)變遷。當(dāng)接收到這個(gè)通告FAILEDDTLSSESSIONCOUNT計(jì)時(shí)器被設(shè)置為0WTP進(jìn)入JOIN狀態(tài)，傳輸JOINREQUEST給AC。WTP停止WAITDTLS定時(shí)器。AC當(dāng)AC接收到DTLSESTABLISHED通告，表明這個(gè)DTLS會(huì)話成功建立的時(shí)候，發(fā)生這個(gè)狀態(tài)變遷。當(dāng)接收到這個(gè)通告，F(xiàn)AILEDDTLSSESSIONCOUNT計(jì)時(shí)器被設(shè)置為0AC停止WAITDTLS定時(shí)器，開啟WAITJOIN定時(shí)器。25618JOINTODTLSTEARDOWN當(dāng)JOIN過程失敗的時(shí)候發(fā)生。WTP當(dāng)WTP接收到一個(gè)帶有錯(cuò)誤代碼消息單元的JOIN響應(yīng)消息，或者在JOIN響應(yīng)中由AC提供的IMAGE與WTP現(xiàn)在運(yùn)行的版本不一樣，且WTP的NONVOLATILEMEMORY中有這個(gè)請(qǐng)求的版本號(hào)這個(gè)導(dǎo)致WTP初始化DTLSSHUTDOWN命令。當(dāng)WTP接收到下面任何一個(gè)通告的時(shí)候，也會(huì)發(fā)生這個(gè)過程DTLSABORTED,DTLSREASSEMBLYFAILURE,ORDTLSPEERDISCONNECTWTP開啟DTLSSESSIONDELETE定時(shí)器。AC發(fā)生在WAITJOIN超時(shí)或者AC傳送了一個(gè)帶有錯(cuò)誤碼的JOINRESPONSE的時(shí)候。AC初始化DTLSSHUTDOWN命令。當(dāng)AC收到下面任何一個(gè)DTLS通告的時(shí)候，也會(huì)發(fā)生這個(gè)過程DTLSABORTED,DTLSREASSEMBLYFAILURE,DTLSPEERDISCONNECT。此時(shí)，AC開啟DTLSSESSIONDELETE定時(shí)器。25619JOINTOIMAGEDATAWTP和AC下載可執(zhí)行的FIRMWARE時(shí)使用這個(gè)狀態(tài)變遷。WTP當(dāng)WTP收到了一個(gè)成功的JOINRESPONSEMESSAGE，告知它當(dāng)前運(yùn)行的版本與要求的不一樣的時(shí)候，發(fā)生這個(gè)狀態(tài)變遷。且此時(shí)，WTP的NONVOLATILESTORAGE中也沒有要求的IMAGE版本。WTP初始化ECHOINTERVAL計(jì)時(shí)器。AC當(dāng)AC發(fā)送一個(gè)JOINRESPONSE給WTP之后，從WTP接受到一個(gè)IMAGEDATAREQUEST報(bào)文，發(fā)生這個(gè)狀態(tài)變遷。AC停止WAITJOIN定時(shí)器，發(fā)送一個(gè)IMAGEDATARESPONSEMESSAGE給WTP。25620JOINTOCONFIGUREWTP和AC使用這個(gè)狀態(tài)變遷來(lái)交換配置信息。WTP當(dāng)WTP收到了一個(gè)SUCCESSFULJOINRESPONSEMESSAGE，且此時(shí)當(dāng)前運(yùn)行的版本與要求的一致。WTP發(fā)送一個(gè)CONFIGURATIONSTATUSREQUESTMESSAGE給AC，消息中包含了當(dāng)前配置信息。AC當(dāng)從WTP接收到CONFIGURATIONSTATUSREQUESTMESSAGE，且消息中包含指定消息元素需要覆蓋WTP的配置。AC停止WAITJOIN定時(shí)器，發(fā)送CONFIGURATIONSTATUSRESPONSEMESSAGE，并且開啟CHANGESTATEPENDINGTIMER定時(shí)器。COMMENT汪汪525621CONFIGURETORESET這個(gè)狀態(tài)變遷被用來(lái)重啟連接。這個(gè)可能被配置階段發(fā)生的錯(cuò)誤導(dǎo)致，或者是WTP決定它有需要來(lái)重啟讓新的配置生效。CAPWAPRESET命令用來(lái)告訴對(duì)端它將會(huì)初始化一個(gè)DTLSTEARDOWN。WTPWTP接收到CONFIGURATIONSTATUSRESPONSEMESSAGE告訴它有錯(cuò)誤發(fā)生或者覺得有需要重新讓新配置生效的時(shí)候，WTP進(jìn)入RESET狀態(tài)。ACAC接收到一個(gè)來(lái)自WTP的CHANGESTATEEVENTMESSAGE，當(dāng)這個(gè)消息包含了因?yàn)锳C的策略而不允許WTP提供服務(wù)的錯(cuò)誤的時(shí)候，AC變遷到RESET狀態(tài)。這個(gè)狀態(tài)變遷也會(huì)在CHANGESTATEPENDINGTIMER定時(shí)器超時(shí)的時(shí)候發(fā)生。25622AUTHORIZETODTLSTEARDOWN這個(gè)狀態(tài)變遷為了通知DTLS會(huì)話將要終止。WTP當(dāng)WTP認(rèn)證失敗的時(shí)候，發(fā)生這個(gè)狀態(tài)變遷。WTP然后調(diào)用DTLSABORTSESSION命令終止這個(gè)DTLS會(huì)話。這個(gè)狀態(tài)變遷也會(huì)發(fā)生在WAITDTLS定時(shí)器超時(shí)的情況下。WTP開啟DTLSSESSIONDELETE定時(shí)器。AC這個(gè)狀態(tài)變遷發(fā)生在AC認(rèn)證失敗的時(shí)候。AC調(diào)用DTLSABORTSESSION命令終止DTLS會(huì)話。這個(gè)狀態(tài)變遷也會(huì)發(fā)生在WAITDTLS定時(shí)器超時(shí)的時(shí)候。AC開啟DTLSSESSIONDELETE定時(shí)器。25623CONFIGURETODTLSTEARDOWN這個(gè)變遷發(fā)生在因?yàn)镈TLS錯(cuò)誤導(dǎo)致的配置過程終止的時(shí)候。WTP當(dāng)接收到下列任一DTLS通告DTLSABORTED,DTLSREASSEMBLYFAILURE,或者DTLSPEERDISCONNECT，WTP進(jìn)入這個(gè)狀態(tài)。如果它接收到頻繁的DTLSDECAPFAILURE通告，WTP也有可能會(huì)終止DTLS會(huì)話。此時(shí)，WTP開啟DTLSSESSIONDELETE定時(shí)器。AC當(dāng)接收到下列任一DTLS通告DTLSABORTED,DTLSREASSEMBLYFAILURE，或者DTLSPEERDISCONNECT，AC進(jìn)入這個(gè)狀態(tài)。如果它接收到頻繁的DTLSDECAPFAILURE通告，WTP也有可能會(huì)終止DTLS會(huì)話。AC開啟DTLSSESSIONDELETE定時(shí)器。25624IMAGEDATATOIMAGEDATAIMAGE數(shù)據(jù)狀態(tài)在WTP和AC在FIRMWARE下載階段的時(shí)候使用。WTP當(dāng)WTP接收到一個(gè)表明AC有更多數(shù)據(jù)要發(fā)送的IMAGEDATARESPONSEMESSAGE的時(shí)候，WTP進(jìn)入IMAGEDATASTATE。WTP接收到頻繁的IMAGEDATAREQUESTS，此時(shí)，它將會(huì)重新設(shè)置IMAGEDATASTARTTIMER的時(shí)間來(lái)保證它接收到下一個(gè)來(lái)自AC的IMAGEDATAREQUEST。WTP的ECHOINTERVAL超時(shí)的時(shí)候，這會(huì)導(dǎo)致WTP傳輸一個(gè)ECHOREQUESTMESSAGE，并且重新設(shè)置它的ECHOINTERVAL定時(shí)器。WTP接收到一個(gè)來(lái)自AC的ECHORESPONSE。AC當(dāng)AC在IMAGE數(shù)據(jù)狀態(tài)下接收到來(lái)自WTP的IMAGEDATARESPONSEMESSAGE。當(dāng)AC接收到一個(gè)來(lái)自WTP的ECHOREQUEST。這個(gè)會(huì)導(dǎo)致AC用一個(gè)ECHORESPONSE來(lái)進(jìn)行響應(yīng)，然后重新設(shè)置ECHOINTERVAL定時(shí)器。25625IMAGEDATATORESETWTP下載IMAGE后重啟，重新設(shè)置DTLS連接WTP當(dāng)IMAGE的下載完成，或者IMAGEDATASTARTTIMER定時(shí)器超時(shí),WTP進(jìn)入RESET狀態(tài)。接收到一個(gè)來(lái)自AC的IMAGEDATARESPONSEMESSAGE消息的時(shí)候轉(zhuǎn)入這個(gè)狀態(tài)。AC當(dāng)IMAGE傳輸成功完成，或者在傳輸過程中發(fā)生了一個(gè)錯(cuò)誤的時(shí)候，AC進(jìn)入RESET狀態(tài)。25626IMAGEDATATODTLSTEARDOWNCOMMENT汪汪6當(dāng)FIRMWARE下載過程由于DTLS錯(cuò)誤而終止時(shí)發(fā)生WTP接收到下面任一DTLS通告DTLSABORTED,DTLSREASSEMBLYFAILURE,或者DTLSPEERDISCONNECT的時(shí)候收到頻繁的DTLSDECAPFAILURE通告的時(shí)候關(guān)閉DTLS會(huì)話。此時(shí)WTP開啟DTLSSESSIONDELETE計(jì)時(shí)器。AC當(dāng)AC接收到下面任一DTLS通告DTLSABORTED,DTLSREASSEMBLYFAILURE,或者DTLSPEERDISCONNECT的時(shí)候收到頻繁的DTLSDECAPFAILURE通告的時(shí)候關(guān)閉DTLS會(huì)話。此時(shí)AC開啟DTLSSESSIONDELETE計(jì)時(shí)器。25627CONFIGURETODATACHECK當(dāng)WTP與AC確認(rèn)配置信息的時(shí)候WTP從AC接收到一個(gè)成功的CONFIGURATIONSTATUSRESPONSEMESSAGE的時(shí)候，WTP轉(zhuǎn)入DATACHECK狀態(tài)。此時(shí)WTP發(fā)送一個(gè)CHANGESTATEEVENTREQUESTMESSAGE。AC當(dāng)AC接收到來(lái)自WTP的CHANGESTATEEVENTREQUESTMESSAGE時(shí)發(fā)生。然后，AC回應(yīng)一個(gè)CHANGESTATEEVENTRESPONSEMESSAGE。此時(shí)，AC必須開啟DATACHECKTIMER定時(shí)器，關(guān)閉CHANGESTATEPENDINGTIMER定時(shí)器。25628DATACHECKTODTLSTEARDOWN當(dāng)WTP沒有完成DATACHECK交互的時(shí)候。WTP當(dāng)CAPWAP重傳定時(shí)器超時(shí)，WTP仍沒有接收到CHANGESTATEEVENTRESPONSEMESSAGE。當(dāng)RETRANSMITCOUNT達(dá)到MAXRETRANSMIT的時(shí)候。此時(shí)，WTP開啟DTLSSESSIONDELETE定時(shí)器。AC當(dāng)DATACHECKTIMER定時(shí)器超時(shí)的時(shí)候進(jìn)入這個(gè)狀態(tài)。COMMENT汪汪7此時(shí)，AC開啟DTLSSESSIONDELETE定時(shí)器。25629DATACHECKTORUN當(dāng)控制和數(shù)據(jù)通道建立的時(shí)候WTP條件當(dāng)接收到來(lái)自AC的成功CHANGESTATEEVENTRESPONSEMESSAGE。動(dòng)作WTP初始化一個(gè)數(shù)據(jù)通道，這個(gè)數(shù)據(jù)通道可選擇是否由DTLS加密。開啟DATACHANNELKEEPALIVE定時(shí)器，發(fā)送一個(gè)DATACHANNELKEEPALIVE報(bào)文。然后，WTP開啟ECHOINTERVAL定時(shí)器和DATACHANNELDEADINTERVAL定時(shí)器。AC條件當(dāng)AC接收到DATACHANNELKEEPALIVE報(bào)文，報(bào)文中的SESSIONID與WTP在JOINREQUEST中設(shè)定的一致。動(dòng)作AC關(guān)閉DATACHECKTIMER定時(shí)器。注意，如果AC要求數(shù)據(jù)通道要加密，那么將會(huì)建立一個(gè)數(shù)據(jù)通道的DTLS會(huì)話。在接收到DATACHANNELKEEPALIVE報(bào)文之前，AC就會(huì)發(fā)送一個(gè)自己的DATACHANNELKEEPALIVE報(bào)文。25630RUNTODTLSTEARDOWN當(dāng)DTLS發(fā)生錯(cuò)誤的時(shí)候WTP條件接收到下面任何一個(gè)DTLS通告DTLSABORTED,DTLSREASSEMBLYFAILURE,或者DTLSPEERDISCONNECT。接收到頻繁的DTLSDECAPFAILURE通告。RETRANSMITCOUNT達(dá)到MAXRETRANSMIT值。動(dòng)作開啟DTLSSESSIONDELETE定時(shí)器。AC條件接收到下面任何一個(gè)DTLS通告DTLSABORTED,DTLSREASSEMBLYFAILURE,或者DTLSPEERDISCONNECT。接收到頻繁的DTLSDECAPFAILURE通告。RETRANSMITCOUNT達(dá)到MAXRETRANSMIT值。ECHOINTERVAL定時(shí)器觸發(fā)。動(dòng)作開啟DTLSSESSIONDELETE定時(shí)器。25631RUNTORUNCAPWAP的常態(tài)。WTP這是WTP常態(tài)。在這個(gè)狀態(tài)中，WTP每次發(fā)送一個(gè)請(qǐng)求給AC的時(shí)候，都會(huì)設(shè)置ECHOINTERVAL定時(shí)器。在這個(gè)狀態(tài)中可以發(fā)生下面的事件CONFIGURATIONUPDATEWTP接收到一個(gè)CONFIGURATIONUPDATEREQUESTMESSAGE。此時(shí)，WTP必須回應(yīng)一個(gè)CONFIGURATIONUPDATERESPONSE。CHANGESTATEEVENTWTP接收到一個(gè)CHANGESTATEEVENTRESPONSE，或者WTP需要初始化一個(gè)CHANGESTATEEVENTREQUEST。ECHOREQUESTWTP發(fā)送一個(gè)ECHOREQUEST或者接受到對(duì)應(yīng)的ECHORESPONSE。CLEARCONFIGREQUESTWTP接收到一個(gè)CONFIGURATIONREQUEST，必須產(chǎn)生一個(gè)對(duì)應(yīng)的CLEARCONFIGURATIONRESPONSE。WTPEVENTWTP發(fā)送一個(gè)WTPEVENTREQUEST，用于發(fā)送一些消息給AC。然后，WTP接收到來(lái)自AC的WTPEVENTRESPONSE。DATATRANSFERWTP發(fā)送一個(gè)DATATRANSFERREQUEST或者DATATRANSFERRESPONSE給AC。STATIONCONFIGURATIONREQUESTWTP接收到一個(gè)STATIONCONFIGURATIONREQUEST，需要回應(yīng)一個(gè)STATIONCONFIGURATIONRESPONSEAC這是AC常態(tài)。在這個(gè)狀態(tài)中，AC每次發(fā)送一個(gè)請(qǐng)求給WTP的時(shí)候，都會(huì)設(shè)置ECHOINTERVAL定時(shí)器。CONFIGURATIONUPDATEAC發(fā)送一個(gè)CONFIGURATIONUPDATEREQUESTMESSAGE給WTP用以更新WTP的配置。然后接收到來(lái)自WTP的CONFIGURATIONUPDATERESPONSE。CHANGESTATEEVENTAC接收到一個(gè)CHANGESTATEEVENTREQUEST，需要回應(yīng)一個(gè)CHANGESTATEEVENTRESPONSE。ECHOREQUESTAC接收到一個(gè)ECHORESPONSE需要回應(yīng)一個(gè)對(duì)應(yīng)的ECHOREQUEST。CLEARCONFIGREQUESTAC發(fā)送一個(gè)CONFIGURATIONREQUEST給WTP來(lái)清理WTP的配置，然后接收到來(lái)自WTP的CLEARCONFIGURATIONRESPONSE。WTPEVENTAC接收到一個(gè)來(lái)自WTP的WTPEVENTREQUEST，需要回應(yīng)一個(gè)對(duì)應(yīng)的WTPEVENTRESPONSE。DATATRANSFERAC發(fā)送DATATRANSFERREQUEST或者DATATRANSFERRESPONSE。AC接收到DATATRANSFERREQUEST或者DATATRANSFERRESPONSE。STATIONCONFIGURATIONREQUESTAC發(fā)送STATIONCONFIGURATIONREQUEST或者接收到STATIONCONFIGURATIONRESPONSE25632RUNTORESET當(dāng)AC或者WTP關(guān)閉連接的時(shí)候發(fā)生。可以有正常操作導(dǎo)致，也可能由錯(cuò)誤導(dǎo)致。WTPWTP接收到來(lái)自AC的RESETREQUESTACAC發(fā)送一個(gè)RESETREQUEST給WTP。25633RESETTODTLSTEARDOWNCAPWAPRESET關(guān)閉DTLS會(huì)話。WTP條件WTP發(fā)送RESETRESPONSE。動(dòng)作WTP不調(diào)用DTLSSHUTDOWN命令，開啟DTLSSESSIONDELETE定時(shí)器。AC條件當(dāng)AC接收到RESETRESPONSE。動(dòng)作初始化DTLSSHUTDOWN命令，開啟DTLSSESSIONDELETE定時(shí)器。25634DTLSTEARDOWNTOIDLEDTLS會(huì)話關(guān)閉WTPWTP成功清理控制層DTLS會(huì)話所關(guān)聯(lián)的所有資源，或者DTLSSESSIONDELETE定時(shí)器超時(shí)。如果存在數(shù)據(jù)層DTLS會(huì)話，那么也需要關(guān)閉，被釋放所有資源。為這個(gè)狀態(tài)機(jī)設(shè)置的所有定時(shí)器都要被重置。AC對(duì)AC來(lái)說是無(wú)效狀態(tài)。25635DTLSTEARDOWNTOSULKING重復(fù)嘗試建立DTLS連接失敗WTP條件當(dāng)FAILEDDTLSSESSIONCOUNT或者FAILEDDTLSAUTHFAILCOUNT計(jì)時(shí)器達(dá)到MAXFAILEDDTLSSESSIONRETRY值動(dòng)作開啟SILENTINTERVAL定時(shí)器，在SULKING狀態(tài)，所有接收到的CAPWAP和DTLS協(xié)議報(bào)文都必須忽略AC對(duì)AC來(lái)說是無(wú)效狀態(tài)。25636DTLSTEARDOWNTODEADDTLS會(huì)話被關(guān)閉WTP對(duì)WTP來(lái)說是無(wú)效狀態(tài)ACAC成功清理控制層DTLS會(huì)話所關(guān)聯(lián)的所有資源，或者DTLSSESSIONDELETE定時(shí)器超時(shí)。如果存在數(shù)據(jù)層DTLS會(huì)話，那么也需要關(guān)閉，被釋放所有資源。為這個(gè)狀態(tài)機(jī)設(shè)置的所有定時(shí)器都要被重置。257CAPWAP傳輸機(jī)制WTP和AC之間使用標(biāo)準(zhǔn)的UDP客戶端/服務(wù)器模式來(lái)建立通訊。CAPWAP協(xié)議支持UDP和UDPLITERFC3828。在IPV4上，CAPWAP控制和數(shù)據(jù)通道使用UDP。此時(shí)CAPWAP報(bào)文中的UDP校驗(yàn)和必須設(shè)置為0。AC上的CAPWAP控制報(bào)文端口為UDP眾所周知端口5246，數(shù)據(jù)報(bào)文端口為UDP眾所周知端口5247，WTP可以隨意選擇CAPWAP控制和數(shù)據(jù)端口。在IPV6上，CAPWAP控制通道一般使用UDP，而數(shù)據(jù)通道可以使用UDP或者UDPLITE。UDPLITE為默認(rèn)的數(shù)據(jù)通道傳輸協(xié)議。當(dāng)使用UDPLITE協(xié)議的時(shí)候，校驗(yàn)和必須為8UDPLITE使用的端口與UDP一致。258分片、重組、MTU發(fā)現(xiàn)CAPWAP協(xié)議在應(yīng)用層上提供IP報(bào)文的分配和重組服務(wù)，由于使用隧道機(jī)制，報(bào)文分片中間的傳輸媒介來(lái)說是透明的。因此可以在任何網(wǎng)絡(luò)架構(gòu)（防火墻，NAT等）上使用CAPWAP協(xié)議。CAPWAP實(shí)現(xiàn)的分片機(jī)制也有局限和不足，協(xié)議RFC4963中詳細(xì)描述。CAPWAP執(zhí)行MTU發(fā)現(xiàn)來(lái)避免分片。一旦WTP發(fā)現(xiàn)AC，且想要與這個(gè)AC建立一個(gè)CAPWAP會(huì)話，它必須執(zhí)行一個(gè)PATHMTUPMTU發(fā)現(xiàn)。IPV4的PMTU發(fā)現(xiàn)過程在RFC1191中詳細(xì)描述。IPV6使用RFC4821。259報(bào)文格式CAPWAP協(xié)議可靠機(jī)制要求消息必須成對(duì)，由請(qǐng)求和響應(yīng)組成。所有的請(qǐng)求消息的消息類型值都為奇數(shù)，所有的響應(yīng)消息類型值都為偶數(shù)。如果WTP或者AC接收到了一個(gè)不認(rèn)識(shí)的消息，消息類型是奇數(shù)，那么會(huì)將消息類型值加一，然后響應(yīng)給發(fā)送者，并且在響應(yīng)中帶有“不認(rèn)識(shí)的消息類型”元素。如果不認(rèn)識(shí)的消息類型為偶數(shù)，那么這個(gè)消息將會(huì)被忽略。2591UDPLITE協(xié)議的簡(jiǎn)單介紹UDPLITE協(xié)議更加適應(yīng)于網(wǎng)絡(luò)的差錯(cuò)率比較大，但是應(yīng)用對(duì)輕微差錯(cuò)不敏感的情況，例如實(shí)時(shí)視頻的播放等。那么它與傳統(tǒng)的UDP協(xié)議有什么不同呢傳統(tǒng)的UDP協(xié)議是對(duì)其載荷（PAYLOAD）進(jìn)行完整的校驗(yàn)的，如果其中的一些位（哪怕只有一位）發(fā)生了變化，那么整個(gè)數(shù)據(jù)包都有可能被丟棄，在某些情況下，丟掉這個(gè)包的代價(jià)是非常大的，尤其當(dāng)包比較大的時(shí)候。在UDPLITE協(xié)議中，一個(gè)數(shù)據(jù)包到底需不需要對(duì)其載荷進(jìn)行校驗(yàn)，或者是校驗(yàn)多少位都是由用戶控制的，并且UDPLITE協(xié)議就是用UDP協(xié)議的LENGTH字段來(lái)表示其CHECKSUMCOVERAGE的，所以當(dāng)UDPLITE協(xié)議的CHECKSUMCOVERAGE字段等于整個(gè)UDP數(shù)據(jù)包（包括UDP頭和載荷）的長(zhǎng)度時(shí)，UDPLITE產(chǎn)生的包也將和傳統(tǒng)的UDP包一模一樣。事實(shí)上，LINUX對(duì)UDPLITE協(xié)議的支持也是通過在原來(lái)的UDP協(xié)議的基礎(chǔ)上添加了一個(gè)SETSOCKOPT選項(xiàng)來(lái)實(shí)現(xiàn)控制發(fā)送和接受的CHECKSUMCOVERAGE的。2592CAPWAP報(bào)文的簡(jiǎn)單介紹CAPWAP控制協(xié)議包括兩個(gè)永遠(yuǎn)不會(huì)被DTLS保護(hù)的消息DISCOVERYREQUEST和DISCOVERYRESPONSE。報(bào)文格式如下其余的CAPWAP控制協(xié)議報(bào)文必須被DTLS協(xié)議加密，因此包括一個(gè)CAPWAPDTLSHEADER。CAPWAP協(xié)議對(duì)數(shù)據(jù)報(bào)文的DTLS加密是可選的。CAPWAP頭部格式UDP頭所有的CAPWAP報(bào)文都被封裝在UDP或者UDPLITE（IPV6）中。CAPWAPDTLS頭所有的被DTLS加密的CAPWAP報(bào)文都有該頭部前綴。DTLS頭DTLS頭部為CAPWAP的載荷提供認(rèn)證和加密服務(wù)。DTLS在RFC4347中定義。CAPWAP頭所有的CAPWAP協(xié)議報(bào)文都用同一個(gè)頭部，該頭部位于CAPWAP預(yù)判碼或者DTLS頭之后。無(wú)線載荷包含無(wú)線載荷的CAPWAP協(xié)議報(bào)文稱為CAPWAP數(shù)據(jù)報(bào)文。CAPWAP協(xié)議并沒有對(duì)無(wú)線載荷的格式做強(qiáng)制要求，而是由無(wú)線協(xié)議標(biāo)準(zhǔn)決定?？刂祁^CAPWAP協(xié)議包含一個(gè)信號(hào)元件，稱為CAPWAP控制協(xié)議。所有的CAPWAP控制報(bào)文都包含一個(gè)控制頭，CAPWAP數(shù)據(jù)報(bào)文則不包含該頭部。消息元素CAPWAP控制報(bào)