Kommunikation zwischen Access Point und WLAN-Controller

Die Kommunikation zwischen einem AP und dem WLC wird immer vom AP aus eingeleitet. Die Geräte suchen in folgenden Fällen nach einem WLC, der ihnen eine Konfiguration zuweisen kann:

Bei LANCOM APs sind im Auslieferungszustand die WLAN-Module auf die Betriebsart 'Managed' eingestellt. In diesem Modus suchen die APs nach einem zentralen WLC, der ihnen eine Konfiguration zuweisen kann, und bleiben so lange im "Such-Modus", bis sie einen passenden WLC gefunden haben oder die Betriebsart für die WLAN-Module manuell geändert wird.
Während der AP nach einem WLC sucht, sind dessen WLAN-Module ausgeschaltet.
Bei LANCOM Wireless Routern sind im Auslieferungszustand die WLAN-Module auf die Betriebsart 'Access-Point' eingestellt. In diesem Modus arbeiten die Wireless Router als autarke Access Points mit einer lokal im Gerät gespeicherten Konfiguration. Um Teilnehmer einer zentral über WLAN-Controller verwalteten WLAN-Struktur zu werden, muss die Betriebsart für die WLAN-Module in den gewünschten Wireless Routern auf 'Managed' umgestellt werden.

Anmerkung: Die Kommunikation zwischen Access Point und dem WLAN-Controller erfolgt per CAPWAP sowie per SCEP. Für CAPWAP wird in der Standard-Konfiguration der UDP-Port 1027 verwendet (kann in der Konfiguration des WLAN-Controllers angepasst werden). Für die Kommunikation per SCEP wird das Protokoll HTTP (TCP-Port 80) verwendet.

Der AP sendet zu Beginn der Kommunikation eine "Discovery Request Message", um die verfügbaren WLCs zu ermitteln. Dieser Request wird grundsätzlich als Broadcast versendet. Da in manchen Strukturen ein potenzieller WLC aber nicht über Broadcast zu erreichen ist, können auch spezielle Adressen von weiteren WLCs in die Konfiguration der APs eingetragen werden.

Anmerkung: Außerdem können auch DNS-Namen von WLCs aufgelöst werden. Alle APs mit LCOS 7.22 oder höher haben den Standardnamen 'WLC-Address' bereits konfiguriert, sodass ein DNS-Server diesen Namen zu einem WLC auflösen kann. Gleiches gilt auch für die über DHCP gelernten DHCP-Suffixe. Somit können auch WLCs erreicht werden, die nicht im gleichen Netz stehen, ohne die APs konfigurieren zu müssen.

Aus den verfügbaren WLCs wählt der AP den besten aus und fragt bei diesem nach dem Aufbau der DTLS-Verbindung an. Der "beste" WLC ist für den AP derjenige mit der geringsten Auslastung, also dem kleinsten Verhältnis von gemanagten APs zu den maximal möglichen APs. Bei zwei oder mehreren gleich "guten" WLCs wählt der AP den im Netzwerk nächsten, also den mit der geringsten Antwortzeit.

Der WLC ermittelt daraufhin mit einer internen Zufallszahl einen eindeutigen und sicheren Sitzungsschlüssel, mit dem er die Verbindung zum AP schützt. Die CA im WLC stellt dem AP ein Zertifikat mittels SCEP aus. Das Zertifikat ist mit einem Kennwort für einmalige Verwendung als "Challenge" gesichert, der AP kann sich mit diesem Zertifikat gegenüber dem WLC für die Abholung des Zertifikats authentifizieren.

Über die gesicherte DTLS-Verbindung wird dem AP die Konfiguration für den integrierten SCEP-Client mitgeteilt – der AP kann dann über SCEP sein Zertifikat bei der SCEP-CA abholen. Anschließend wird die dem AP zugewiesene Konfiguration übertragen.

Anmerkung: SCEP steht für Simple Certificate Encryption Protocol, CA für Certification Authority.

Sowohl Authentifizierung als auch Konfiguration können entweder automatisch vorgenommen werden oder nur bei passendem Eintrag der MAC-Adresse des AP in der AP-Tabelle des WLC. Sofern bei dem AP die WLAN-Module bei Beginn der DTLS-Kommunikation ausgeschaltet waren, werden diese nach erfolgreicher Übertragung von Zertifikat und Konfiguration eingeschaltet (sofern sie nicht in der Konfiguration explizit ausgeschaltet sind).

In der Folgezeit werden über den CAPWAP-Tunnel die Verwaltungs- und Konfigurationsdaten übertragen. Die Nutzdaten vom WLAN-Client werden im AP direkt in das LAN ausgekoppelt und z. B. an den Server übertragen.