CAPWAP:无线接入点的控制和配置访问控制器 DHCP 选项

本文涉及的产品
访问控制,不限时长
简介: 本文件受 BCP 78 和 IETF 信托关于 IETF 文件的法律规定的约束,该法律规定自本文件发布之日起生效 (http://trustee.ietf.org/license-info)。请仔细阅读这些文件,因为它们描述了您对本文件的权利和限制。

640.gif


RFC5417:Control And Provisioning of Wireless Access Points (CAPWAP) Access Controller DHCP Option,March 2009


本备忘录的状态


本文档为 Internet 社区指定了 Internet 标准跟踪协议,并请求讨论和改进建议。本协议的标准化状态和现状请参考当前版本的《互联网官方协议标准》(STD 1)。本备忘录的分发不受限制。


版权声明


版权所有 (c) 2009 IETF Trust 和确定为文档作者的人员。版权所有。


本文件受 BCP 78 和 IETF 信托关于 IETF 文件的法律规定的约束,该法律规定自本文件发布之日起生效 (http://trustee.ietf.org/license-info)。请仔细阅读这些文件,因为它们描述了您对本文件的权利和限制。


本文档可能包含来自于 2008 年 11 月 10 日之前发布或公开提供的 IETF 文档或 IETF 贡献的材料。控制本材料某些版权的人可能未授予 IETF 信托允许修改此类材料的权利在 IETF 标准流程之外。如果没有从控制此类材料版权的人那里获得足够的许可,则不得在 IETF 标准流程之外修改本文档,并且不得在 IETF 标准流程之外创建其衍生作品,除非将其格式化为作为 RFC 发布或将其翻译成英语以外的语言。


梗概


无线接入点协议的控制和配置允许无线终端点使用 DHCP 来发现它要连接的接入控制器。本文档描述了 CAPWAP 协议要使用的 DHCP 选项。


1、 介绍


无线接入点协议的控制和配置(Control And Provisioning of Wireless Access Points,CAPWAP) [RFC5415] 允许无线终端点 (Wireless Termination Point,WTP) 使用 DHCP 来发现它要连接的接入控制器 (Access Controllers,AC)


在 CAPWAP 发现过程之前,WTP 可以使用多种方法中的一种来识别与它建立 CAPWAP 连接的正确 AC。其中一种方法是通过 DHCP 协议。这是通过 CAPWAP AC DHCPv4 或 CAPWAP AC DHCPv6 选项完成的。


1.1、 本文档中使用的约定


本文档中的关键词“必须”、“不得”、“需要”、“应该”、“不应”、“应该”、“不应该”、“推荐”、“可以”和“可选”是按照 RFC 2119 [RFC2119] 中的描述进行解释。


1.2、 术语


本文档使用 [RFC3753]、[RFC2131]、[RFC3315] 和 [RFC5415] 中定义的术语。


2、 CAPWAP AC DHCPv4 选项


本节定义了一个 DHCPv4 选项,它携带一个 32 位(二进制)IPv4 地址列表,指示 WTP 可用的一个或多个 CAPWAP AC。


CAPWAP 的 DHCPv4 选项格式如下图所示:


640.png


option-code:选项代码,OPTION_CAPWAP_AC_V4 (138)


option-length: “options”字段的长度,以八位字节表示;必须是四 (4) 的倍数。


AC IPv4 Address:AC的IPv4 地址,WTP 可能使用的 CAPWAP AC 的 IPv4 地址。AC 按 WTP 使用的优先顺序列出。


代表 CAPWAP WTP 的 DHCPv4 客户端必须在参数请求列表选项中请求 CAPWAP AC DHCPv4 选项,如 [RFC2131] 和 [RFC2132] 中所述。


如果服务器策略配置正确并且服务器配置了 CAPWAP AC 地址列表,则 DHCPv4 服务器将 CAPWAP AC 选项返回给客户端。


作为 DHCPv4 客户端的 CAPWAP WTP 接收 CAPWAP AC DHCPv4 选项可以使用(列表)IP 地址来定位 AC。CAPWAP 协议 [RFC5415] 为 WTP 的发现过程提供了指导。


作为 DHCPv4 客户端的 WTP,应该按照从 DHCPv4 服务器接收的 CAPWAP AC DHCPv4 选项中列出的顺序尝试记录。


3、 CAPWAP AC DHCPv6 选项


本节定义了一个 DHCPv6 选项,该选项携带一个 128 位(二进制)IPv6 地址列表,指示 WTP 可用的一个或多个 CAPWAP AC。


CAPWAP 的 DHCPv6 选项格式如下图所示:


640.png


option-code:选项代码,OPTION_CAPWAP_AC_V6 (52)


option-length:“options”字段的长度,以八位字节表示;必须是十六 (16) 的倍数。


AC IPv6 Address:AC IPv6 地址,WTP 可能使用的 CAPWAP AC 的 IPv6 地址。AC 按 WTP 使用的优先顺序列出。


代表 CAPWAP WTP 的 DHCPv6 客户端必须在参数请求列表选项中请求 CAPWAP AC DHCPv6 选项,如 [RFC3315] 中所述。


如果服务器策略配置正确并且服务器配置了 CAPWAP AC 地址列表,则 DHCPv6 服务器将 CAPWAP AC 选项返回给客户端。


作为 DHCPv6 客户端的 CAPWAP WTP 接收 CAPWAP AC DHCPv6 选项可以使用(列表)IP 地址来定位 AC。CAPWAP 协议 [RFC5415] 为 WTP 的发现过程提供了指导。


作为 DHCPv6 客户端的 WTP,应该按照从 DHCPv6 服务器接收的 CAPWAP AC DHCPv6 选项中列出的顺序尝试记录。


4、 IANA 考虑


IANA 为 CAPWAP AC 选项分配了以下 DHCPv4 选项代码:


640.png


IANA 为 CAPWAP AC 选项分配了以下 DHCPv6 选项代码:


640.png


5、 安全考虑


[RFC2131]、[RFC2132] 和 [RFC3315] 中的安全注意事项适用。如果攻击者设法修改来自 DHCP 服务器的响应或插入自己的响应,WTP 可能会被引导联系流氓 CAPWAP AC,然后可能会拦截呼叫请求或拒绝服务。必须使用 CAPWAP 对数据包传输层安全性 (Datagram Transport Layer Security,DTLS) 的使用来验证会话建立过程中的 CAPWAP 对等体。


在大多数网络中,在网络访问身份验证之前提供选项的 DHCP 交换既没有完整性保护也没有原始身份验证。因此,在安全敏感环境中,本文档中定义的选项不应是用于确定 WTP 应连接到哪个 AC 的唯一方法。CAPWAP 协议 [RFC5415] 定义了 WTP 可以使用的其他 AC 发现过程。


6、 致谢


以下人员因对本协议规范的贡献而获得认可:Ralph Droms、Margaret Wasserman。


7、 参考文献


7.1、 规范参考

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2131] Droms, R., "Dynamic Host Configuration Protocol", RFC 2131, March 1997.
[RFC2132] Alexander, S. and R. Droms, "DHCP Options and BOOTP Vendor Extensions", RFC 2132, March 1997.
[RFC3315] Droms, R., Bound, J., Volz, B., Lemon, T., Perkins, C., and M. Carney, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, July 2003.
[RFC5415] Montemurro, M., Stanley, D., and P. Calhoun, "CAPWAP Protocol Specification", RFC 5415, March 2009.


7.2、 参考资料


[RFC3753] Manner, J. and M. Kojo, "Mobility Related Terminology", RFC 3753, June 2004.


相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
1月前
|
安全 网络协议 网络安全
Cisco-DHCP配置
Cisco-DHCP配置
|
1月前
|
安全 小程序 网络安全
Cisco-DHCP中继配置
Cisco-DHCP中继配置
|
9天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
23 2
|
1月前
|
网络协议 网络虚拟化 数据安全/隐私保护
访问控制列表(ACL)配置
访问控制列表(ACL)配置
访问控制列表(ACL)配置
|
29天前
|
安全 Java 数据安全/隐私保护
如何配置 Java 安全管理器来避免访问控制异常
配置Java安全管理器以防止访问控制异常,需在启动JVM时通过 `-Djava.security.manager` 参数启用,并设置安全策略文件,定义权限规则,限制代码执行操作,确保应用安全。
|
2月前
|
Linux
kickstart自动安装系统 --DHCP 配置及测试
PXE+Kickstart自动安装系统需配置DHCP服务器分配IP。dhcpd.conf示例:设置更新样式、忽略客户端更新、指定下一服务器及启动文件。定义子网、网关、掩码、动态地址池并预留特定MAC地址。重启xinetd、NFS、DHCP服务,确保新服务器与Kickstart服务器在同一网络,避免误装其他机器。注意隔离测试网络以防干扰生产环境。
80 18
|
2月前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
这篇文章介绍了HAProxy的ACL(访问控制列表)功能,特别是如何基于源地址进行访问控制的高级配置选项,并通过实战案例展示了如何配置ACL规则以允许或阻止特定IP地址或IP范围的访问。
57 7
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
ly~
|
2月前
|
消息中间件 搜索推荐 大数据
一般情况下在 RocketMQ 中添加 access key 的步骤: 一、确定配置文件位置 RocketMQ 的配置文件通常位于安装目录下的 conf 文件夹中。你需要找到 broker.conf 或相关的配置文件。 二、编辑配置文件 打开配置文件,查找与 ACL(访问控制列表)相关的配置部分。 在配置文件中添加以下内容:
大数据广泛应用于商业、金融、医疗和政府等多个领域。在商业上,它支持精准营销、客户细分及流失预测,并优化供应链管理;金融领域则利用大数据进行风险评估、市场预测及欺诈检测;医疗行业通过大数据预测疾病、提供个性化治疗;政府运用大数据进行城市规划和公共安全管理;工业领域则借助大数据进行设备维护、故障预测及质量控制。
ly~
99 2
|
2月前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
这篇文章介绍了HAProxy的高级配置选项,特别是如何使用ACL(访问控制列表)进行基于策略的访问控制,通过实战案例展示了如何配置HAProxy以允许或拒绝来自特定源地址的访问。
59 6
HAProxy的高级配置选项-ACL篇之基于策略的访问控制
|
2月前
|
NoSQL 关系型数据库 MySQL
HAProxy的高级配置选项-haproxy的四层负载及访问控制案例
这篇文章介绍了HAProxy的高级配置选项,特别是如何进行四层负载均衡和基于策略的访问控制。通过实战案例,展示了如何配置HAProxy以实现对特定IP地址的访问控制,以及如何通过四层负载均衡将流量分配到后端的MySQL和Redis服务。
136 6