El Protocolo de Control y Provisión de Puntos de Acceso Inalámbrico (CAPWAP) es el protocolo que proporciona el mecanismo de transporte utilizado por los Puntos de Acceso (AP) y los Controladores de LAN Inalámbrica (WLC) para intercambiar información de los planos de control y datos a través de un túnel de comunicación seguro (para el Control CAPWAP).

El Protocolo de Control y Provisión de Puntos de Acceso Inalámbrico (CAPWAP) es el protocolo que proporciona el mecanismo de transporte utilizado por los Puntos de Acceso (AP) y los Controladores de LAN Inalámbrica (WLC) para intercambiar información de los planos de control y datos a través de un túnel de comunicación seguro (para el Control CAPWAP). Para comprender el proceso de unión del AP, es importante entender el proceso de establecimiento de sesión CAPWAP. Cabe destacar que el AP debe contar con una dirección IP antes de iniciar el Proceso CAPWAP. Si el AP carece de una dirección IP, no iniciará el Proceso de Establecimiento de Sesión CAPWAP.

Ahora bien, veamos los pasos que se llevan a cabo en este proceso.

1. El AP envia un Discovery Request.
2. El Wireless LAN Controller envia un Discovery Response.
3. Establecimiento de la sesión TLS. Desde este punto en adelante, todos los mensajes se encuentran encriptados y se presentan como paquetes de datos de aplicación DTLS en cualquier herramienta de análisis de paquetes.
4. El AP envia un Join Request.
5. El Wireless LAN Controller responde con un Join Response.
6. Posteriormente, el AP realiza una verificación de imagen (image check). Si posee la misma versión de imagen que el WLC, procede con el siguiente paso. En caso contrario, descarga la imagen del WLC, reinicia para cargar la nueva imagen y repite el proceso desde el paso 1.
7. El AP envia un Configuration Status Request.
8. El Wireless Lan Controller reponde con un Configuration Status Response.
9. Finalmente, el AP entra en el Estado de RUN.
10. Durante el estado de RUN, el mantenimiento del túnel CAPWAP se lleva a cabo de dos maneras:
    a) Mediante el intercambio de keepalives para preservar el túnel de datos CAPWAP
    b) El envío de una solicitud de echo desde el AP al WLC, la cual debe ser respondida con su respectiva respuesta de echo.

En la siguiente imagen puedes observa el flujo de información de los pasos arriba listados

Una vez que el Punto de Acceso recibe un Discovery Response válido por parte del WLC, se establece un túnel DTLS entre ellos para transmitir todos los paquetes subsiguientes a través de un túnel seguro. Este es el proceso para establecer la sesión DTLS:

1. El AP envía un mensaje Client Hello.
2. El WLC responde con un mensaje HelloVerifyRequest que incluye una cookie utilizada para validación.
3. El AP envía un mensaje ClientHello con una cookie utilizada para validación.
4. El WLC envía estos paquetes en orden:
   • ServerHello
   • Certificate
   • Server Key Exchange
   • Certificate Request
   • ServerHelloDone
5. El AP envía estos paquetes en orden:
   • Certificate
   • ClientKeyExchange
   • Certificate Verify
   • ChangeCipherSpec
6. El WLC responde al ChangeCipherSpec del AP con su propio ChangedCipherSpec:
   • ChangeCipherSpec

Después del último mensaje ChangedCipherSpec enviado por el WLC, se establece el túnel seguro y todo el tráfico enviado en ambas direcciones está ahora encriptado.

Si deseas investigar un poco más acerca del flujo de paquetes puedes consultar la siguiente captura en donde utilizando el filtro: capwap podrías observar este flujo de paquetes.