概要

WLC (Wireless LAN Controller) とLAP (Lightweight Access Point)の通信に使われるCAPWAPは、無線関連の実務、CCNAやCCNPの試験においてもよく出てくるプロトコルです。
この記事では、CAPWAPの概要とAPがWLCに接続するまでのセッション確立手順について解説します。

CAPWAPとは

CAPWAP (正式名称：Control And Provisioning of Wireless Access Points)は、LAP (Lightweight AP)とWLC間で制御情報とデータのやり取りを行うプロトコルです。

CAPWAPセッションの確立手順

CAPWAPセッションを確立する前に無線APはWLCを探索します。
無線APがWLCを探索するプロセスについては、下記リンク先の記事で詳細を解説しております。
Cisco無線AP（LAP）がWLCを探索する仕組み｜試験＆実務で役立つ解説

CAPWAPがつながらない-よくあるトラブルシュート

原因①：コントローラ側の時刻が、APの証明書有効期限外の時刻に設定されてしまっている

CAPWAP では、AP と WLC 間の制御通信に DTLS が使用されており、
この DTLS セッションの確立には AP に搭載されている証明書（MIC / SSC） が利用されます。

AP の証明書状態は、AP CLI から以下のコマンドで確認できます。

show crypto ca certificate

このコマンドにより、AP にインストールされている証明書の 有効期間（Validity Date） を確認できます。

出力には複数の証明書情報が含まれる場合がありますが、
Associated Trustpoints に表示される証明書のうち、Name フィールドが AP 名と一致するもの が、
実際に CAPWAP/DTLS 通信で使用される証明書です。

この証明書の有効期限が切れている場合、
AP は WLC と DTLS セッションを確立できず、CAPWAP Join に失敗します。

原因②：ファイアウォールによる必要ポート遮断

企業のネットワークでは、AP と WLC の間にファイアウォールが挟まることが多いですが、必要なポートが遮断されていると AP は WLC に Join できません。
CAPWAP 通信では、以下の UDP ポートが必須です。

これらのポートが許可されていない場合、
AP は Discovery や Join 処理を完了できず、接続に失敗します。

参考

【Cisco公式】データ暗号化の設定
【Cisco公式】Catalyst 9800 WLC を使用した AP 参加プロセスの理解
【Cisco公式】Lightweight アクセス ポイントに関する FAQ
【Cisco公式】Cisco Wireless Controller リリース 8.5 コンフィギュレーション ガイド

＼ 最新情報をチェック ／