- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-WLAN漫遊配置
本章節下載: 04-WLAN漫遊配置 (390.37 KB)
目 錄
IACTP(Inter Access Controller Tunneling Protocol 訪問控製器間隧道協議)是H3C公司自主研發的隧道協議,該協議定義了AC(Access Controller,無線控製器)與AC之間是如何通信的。IACTP提供了無線控製器間報文的通用封裝和傳輸機製,保證了AC之間的安全傳輸。無線控製器間通信的建立采用標準的TCP C/S模式。
多個無線控製器可以通過IACTP協議建立漫遊組。在當前版本中一個漫遊組最多允許有8個無線控製器。漫遊組的建立和維護均由IACTP協議完成。
IACTP協議為應用(共享與交換信息)提供了一個控製通道,也同時提供封裝AC間傳輸數據的數據通道。IACTP協議同時支持IPv4和IPv6。
當一個支持Key Caching快速漫遊技術的用戶終端第一次關聯到漫遊組內的任何一個無線控製器(該控製器即為他的家鄉代理Home-AC,HA)時,用戶終端會和HA之間進行完整的802.1X認證,並會采用11Key進行密鑰協商。用戶終端在漫遊組內跨AC漫遊之前,漫遊組內的無線控製器之間(新關聯的控製器為他的外地代理Foreign-AC,FA)會進行終端信息的同步。用戶終端在發生漫遊並關聯到FA時不用再進行802.1X認證,FA可以快速認證無線終端的信息,隻需執行11key密鑰協商即可在漫遊組內實現方便地無縫漫遊。
· HA(Home-AC):一個無線終端首次向漫遊組內的某個無線控製器進行關聯,該無線控製器即為他的HA。
· FA(Foreign-AC):與無線終端正在連接,且不是HA的無線控製器,該無線控製器即為他的FA。
· 可快速漫遊終端:一個關聯到漫遊組內AC、且支持快速漫遊服務(支持key caching技術)的無線終端。
· 漫出終端:在漫遊組中,一個漫遊無線終端正連接到HA之外的無線控製器,該無線終端相對HA來說被稱為漫出終端。
· 漫入終端:在漫遊組中,一個漫遊無線終端正連接到HA之外的某個無線控製器FA上,該無線終端相對當前FA來說被稱為漫入終端。
· AC內漫遊(Intra-AC roaming):一個無線終端從無線控製器的一個AP漫遊到同一個無線控製器內的另一個AP中,即稱為AC內漫遊。
· AC間漫遊(Inter-AC roaming):一個無線終端從無線控製器的AP漫遊到另一個無線控製器內的AP中,即稱為AC間漫遊。
· AC間快速漫遊(Inter-AC fast roaming):如果一個終端可以協商采用802.1X(RSN)認證方式並支持key caching技術,則該終端具有AC間快速漫遊能力。
WLAN漫遊拓撲組成:
· AC內漫遊
· AC間漫遊
· FA內漫遊
· FA間漫遊
· 往返漫遊
圖1-1 AC內漫遊
(1) 一個終端與AP 1關聯,AP 1連接AC。
(2) 該終端斷開與AP 1的關聯,漫遊到與同一無線控製器AC相連的AP 2上。
(3) 該終端關聯到AP 2的過程即為AC內漫遊。
圖1-2 AC間漫遊
(1) 一個終端與AP 1關聯,AP 1連接AC 1。
(2) 終端斷開與AP 1的關聯,漫遊到AP 2,後者連接到另一個無線控製器成員AC 2。
(3) 該終端關聯到AP 2的過程即為AC間漫遊。在AC間漫遊之前,AC 1需要和AC 2通過IACTP隧道同步預漫遊終端的信息。
圖1-3 FA內漫遊
(1) 一個終端與AP 1關聯,AP 1連接AC 1。
(2) 該終端斷開與AP 1的關聯,漫遊到AP 2,後者連接到另一個無線控製器成員AC 2。這時AC 2就是終端的FA。
(3) 該終端通過AC間漫遊關聯到AP 2。在AC間漫遊之前,AC 1需要和AC 2通過IACTP隧道同步預漫遊終端的信息。
(4) 該終端斷開與AP 2的關聯,漫遊到AP 3,AP 3和AP 2連接到同一個無線控製器AC 2下。終端關聯到AP 3的過程即為FA內漫遊。
圖1-4 FA間漫遊
(1) 一個終端與AP 1關聯,AP 1連接AC 1。
(2) 該終端斷開與AP 1的關聯,漫遊到另一個無線控製器成員AC 2所連接的AP 2上。這時AC 2就是終端的FA。
(3) 該終端關聯到AP 2的過程即為AC間漫遊。
(4) 該終端斷開與AP 2的關聯,漫遊到另一個無線控製器成員AC 3所連接的AP 3上。這時AC 3是該終端的FA。該終端關聯到AP 3的過程即為FA間漫遊。在AC間漫遊前,AC 1需要和AC 2、AC 3通過IACTP隧道同步預漫遊終端的信息。
圖1-5 往返漫遊
(1) 一個終端與AP 1關聯,AP 1連接AC 1。AC 1是這個終端的HA。
(2) 該終端斷開與AP 1的關聯,漫遊到另一個無線控製器成員AC 2所連接的AP 3上。這時AC 2就是這個終端的FA。
(3) 該終端關聯到AP 3的過程就是AC間漫遊。在AC間漫遊前,AC 1需要同無線控製器AC 2通過IACTP隧道同步預漫遊終端的信息。
(4) 該終端斷開與AP 3的關聯,漫遊回AP 2或AP 1上,AP 2和AP 1都連接在AC 1上,即該終端的HA。該過程即為返回HA。
IACTP服務是WLAN係統的一部分,必須在創建了漫遊組並配置了相關源IP地址後才可以開啟。
IACTP漫遊組需要配置以下屬性,如:漫遊隧道版本、源IP地址、認證模式、成員IP地址等。
通過以下步驟可以完成漫遊組的配置並開啟IACTP服務
表1-1 配置漫遊組並開啟IACTP服務
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置WLAN漫遊組 |
wlan mobility-group name |
必選 在配置漫遊組時,同一漫遊組內的AC的漫遊組名應該保持一致 |
|
配置漫遊組隧道版本 |
mobility-tunnel { iactp | iactp6 } |
可選 缺省情況下,漫遊組隧道版本為IPv4 |
|
配置源IP地址 |
source { ip ipv4-address | ipv6 ipv6-address } |
必選 缺省情況下,沒有配置IACTP協議的源IP地址 |
|
添加漫遊組成員 |
member { ip ipv4-address | ipv6 ipv6-address } [ vlan vlan-id-list ] |
必選 缺省情況下,漫遊組中沒有無線控製器成員 漫遊組成員是否可以動態添加與IACTP服務是否開啟無關 |
|
配置IACTP控製消息完整性認證模式 |
authentication-mode authentication-method [ cipher | simple ] authentication-key |
可選 缺省情況下,IACTP控製消息完整性認證模式是處於關閉狀態 |
|
開啟IACTP服務 |
mobility-group enable |
必選 缺省情況下,IACTP服務處於關閉狀態 |
· 不要將漫遊組內的AC配置為雙AC備份。
· 同一漫遊組內的AC的User Profile的配置必須一致。
為實現客戶端能夠在AC間進行漫遊,需要先在各AC上完成漫遊組的配置,然後在這些AC上開啟漫遊功能。
表1-2 開啟漫遊功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入漫遊組視圖 |
wlan mobility-group name |
必選 |
|
開啟漫遊功能 |
roam enable |
可選 缺省情況下,漫遊功能處於開啟狀態 關閉/開啟漫遊功能時,漫遊組必須處於關閉狀態,否則不允許修改漫遊功能配置 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後WLAN漫遊的運行情況,通過查看顯示信息驗證配置的效果。
表1-3 WLAN漫遊顯示與維護命令
|
操作 |
命令 |
|
查看漫遊組信息 |
display wlan mobility-group [ member { ip IPv4-address | ipv6 IPv6-address } ] [ | { begin | exclude | include } regular-expression ] |
|
查看HA上的WLAN客戶端漫遊信息 |
display wlan client roam-track mac-address mac-address [ | { begin | exclude | include } regular-expression ] |
|
查看WLAN客戶端漫遊信息 |
display wlan client { roam-in | roam-out } [ member { ip IPv4-address | ipv6 IPv6-address } ] [ verbose ] [ | { begin | exclude | include } regular-expression ] |
AC、AP 1和AP 2在VLAN 1中,客戶端先通過AP 1連接至無線網絡,然後漫遊到與同一無線控製器相連的AP 2上。
圖1-6 AC內漫遊組網圖
· 無線接入服務的配置請參見“WLAN配置指導”中的“WLAN服務配置”。需要注意的是,隻有使用RSN+802.1X認證方式時,客戶端才能進行快速漫遊。
· 如果選擇的認證方式涉及遠程認證,需要對相關Radius服務器進行設置,具體步驟請參見“WLAN配置指導”中的“WLAN安全配置”。
(1) 配置AC
# 進入接口WLAN-ESS1上配置端口安全模式為userlogin-secure-ext,並使能端口的密鑰協商功能。
<AC> system-view
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X多播觸發功能和在線用戶握手功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] quit
# 創建服務模板1(加密類型服務模板),配置SSID為intra-roam,將WLAN-ESS1接口綁定到服務模板1。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid intra-roam
[AC-wlan-st-1] bind wlan-ess 1
# 配置無線客戶端接入該無線服務(SSID)的認證方式為開放式係統認證,並在幀加密時使能CCMP加密套件。
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 使能服務模板1。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 使能端口安全。
[AC] port-security enable
# 配置802.1X用戶的認證方式為EAP。
[AC] dot1x authentication-method eap
# 創建RADIUS方案rad,指定extended類型的RADIUS服務器,表示支持與服務器交互擴展報文。
[AC] radius scheme rad
[AC-radius-rad] server-type extended
# 配置主認證RADIUS服務器的IP地址10.18.1.5,主計費RADIUS服務器的IP地址10.18.1.5。
[AC-radius-rad] primary authentication 10.18.1.5
[AC-radius-rad] primary accounting 10.18.1.5
# 配置係統與認證RADIUS服務器交互報文時的共享密鑰為12345678,係統與計費RADIUS服務器交互報文時的共享密鑰為12345678。
[AC-radius-rad] key authentication 12345678
[AC-radius-rad] key accounting 12345678
# 配置AC發送RADIUS報文使用的源IP地址為10.18.1.1。
[AC-radius-rad] nas-ip 10.18.1.1
[AC-radius-rad] quit
# 創建cams域,指定rad為該域用戶的RADIUS方案。
[AC] domain cams
[AC-isp-cams] authentication default radius-scheme rad
[AC-isp-cams] authorization default radius-scheme rad
[AC-isp-cams] accounting default radius-scheme rad
[AC-isp-cams] quit
# 在WLAN-ESS接口上配置802.1X用戶的強製認證域為cams。
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1] dot1x mandatory-domain cams
[AC-WLAN-ESS1] quit
# 配置AP 1:創建AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號為210235A045B05B1236548。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A045B05B1236548
[AC-wlan-ap-ap1] radio 1 type dot11g
# 將服務模板1綁定到AP 1的radio 1口,AC內漫遊要求各AP的SSID相同,這裏AP 1下綁定服務模板1。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 配置AP 2:創建AP 2的模板,名稱為ap2,型號名稱選擇WA2100,配置AP 2的序列號為2210235A22W0076000103。
[AC] wlan ap ap2 model WA2100
[AC-wlan-ap-ap2] serial-id 210235A22W0076000103
[AC-wlan-ap-ap2] radio 1 type dot11g
# 將服務模板1綁定到AP 2 的radio 1口(AC內漫遊要求各AP的SSID相同,因此在AP 2下綁定的服務模板需要和AP 1保持一致)。
[AC-wlan-ap-ap2-radio-1] service-template 1
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] return
(2) 驗證結果
在客戶端漫遊後,使用display wlan client verbose查看顯示信息,AP Name和BSSID字段發生變化。同時可以通過display wlan client roam-track mac-address命令查看客戶端的漫遊跟蹤信息。
兩個無線控製器AC 1和AC 2通過一個二層交換機連接,兩個無線控製器處於同一個網段,AC 1的IP地址為10.18.1.1/24;AC 2的IP地址為10.18.1.2/24。客戶端Client先通過AP 1連接至無線網絡,然後漫遊到與另一個無線控製器相連的AP 2上。
圖1-7 AC間漫遊組網圖
· 無線接入服務的配置請參見“WLAN配置指導”中的“WLAN服務配置”。需要注意的是,隻有使用RSN+802.1X認證方式時,客戶端才能進行快速漫遊。
· 如果選擇的認證方式涉及遠程認證,需要對相關Radius服務器進行設置,具體步驟請參見“WLAN配置指導”中的“WLAN安全配置”。
(1) 配置AC 1
# 在接口WLAN-ESS1,配置端口安全模式為userlogin-secure-ext,使能端口的密鑰協商功能。
<AC1> system-view
[AC1] interface wlan-ess 1
[AC1-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC1-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X多播觸發功能和在線用戶握手功能。
[AC1-WLAN-ESS1] undo dot1x multicast-trigger
[AC1-WLAN-ESS1] undo dot1x handshake
[AC1-WLAN-ESS1] quit
# 創建服務模板1(加密類型服務模板),配置當前服務模板的SSID為inter-roam,將WLAN-ESS1接口綁定到服務模板1。
[AC1] wlan service-template 1 crypto
[AC1-wlan-st-1] ssid inter-roam
[AC1-wlan-st-1] bind wlan-ess 1
# 配置無線客戶端接入該無線服務(SSID)的認證方式為開放式係統認證,並在幀加密時使能CCMP加密套件。
[AC1-wlan-st-1] authentication-method open-system
[AC1-wlan-st-1] cipher-suite ccmp
[AC1-wlan-st-1] security-ie rsn
# 使能服務模板1。
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 使能端口安全。
[AC1] port-security enable
# 配置802.1X用戶的認證方式為EAP。
[AC1] dot1x authentication-method eap
# 創建RADIUS方案rad,指定extended類型的RADIUS服務器,表示支持與服務器交互擴展報文。
[AC1] radius scheme rad
[AC1-radius-rad] server-type extended
# 配置主認證RADIUS服務器的IP地址10.18.1.5,主計費RADIUS服務器的IP地址10.18.1.5。
[AC1-radius-rad] primary authentication 10.18.1.5
[AC1-radius-rad] primary accounting 10.18.1.5
# 配置係統與認證RADIUS服務器交互報文時的共享密鑰為12345678,係統與計費RADIUS服務器交互報文時的共享密鑰為12345678。
[AC1-radius-rad] key authentication 12345678
[AC1-radius-rad] key accounting 12345678
# 配置AC發送RADIUS報文使用的源IP地址為10.18.1.1。
[AC1-radius-rad] nas-ip 10.18.1.1
[AC1-radius-rad] quit
# 創建cams域,指定rad為該域用戶的RADIUS方案。
[AC1] domain cams
[AC1-isp-cams] authentication default radius-scheme rad
[AC1-isp-cams] authorization default radius-scheme rad
[AC1-isp-cams] accounting default radius-scheme rad
[AC1-isp-cams] quit
# 在WLAN-ESS接口上配置802.1X用戶的強製認證域為cams。
[AC1] interface WLAN-ESS 1
[AC1-WLAN-ESS1] dot1x mandatory-domain cams
[AC1-WLAN-ESS1] quit
# 配置AP 1:創建AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號為210235A045B05B1236548。
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A045B05B1236548
[AC1-wlan-ap-ap1] radio 1 type dot11g
# 將SSID為inter-roam的服務模板綁定到AP 1的radio 1口。
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
# 配置漫遊組的源IP地址(AC 1的IP地址)為10.18.1.1,漫遊組成員的IP地址(AC 2的IP地址)為10.18.1.2。
[AC1] wlan mobility-group roam
[AC1-wlan-mg-roam] source ip 10.18.1.1
[AC1-wlan-mg-roam] member ip 10.18.1.2
[AC1-wlan-mg-roam] mobility-group enable
(2) 配置AC 2
# 在接口WLAN-ESS1,配置端口安全模式為userlogin-secure-ext,使能端口的密鑰協商功能。
<AC2> system-view
[AC2] interface wlan-ess 1
[AC2-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC2-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X多播觸發功能和在線用戶握手功能。
[AC2-WLAN-ESS1] undo dot1x multicast-trigger
[AC2-WLAN-ESS1] undo dot1x handshake
[AC2-WLAN-ESS1] quit
# 創建服務模板1(加密類型服務模板),配置當前服務模板的SSID為inter-roam,將WLAN-ESS1接口綁定到服務模板1。
[AC2] wlan service-template 1 crypto
[AC2-wlan-st-1] ssid inter-roam
[AC2-wlan-st-1] bind wlan-ess 1
# 配置無線客戶端接入該無線服務(SSID)的認證方式為開放式係統認證,並在幀加密時使能CCMP加密套件,在AP發送信標和探查響應幀時攜帶RSN IE。
[AC2-wlan-st-1] authentication-method open-system
[AC2-wlan-st-1] cipher-suite ccmp
[AC2-wlan-st-1] security-ie rsn
# 使能服務模板1。
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 使能端口安全。
[AC2] port-security enable
# 配置802.1X用戶的認證方式為EAP。
[AC2] dot1x authentication-method eap
# 創建RADIUS方案rad,指定extended類型的RADIUS服務器,表示支持與服務器交互擴展報文。
[AC2] radius scheme rad
[AC2-radius-rad] server-type extended
# 配置主認證RADIUS服務器的IP地址10.18.1.5,主計費RADIUS服務器的IP地址10.18.1.5。
[AC2-radius-rad] primary authentication 10.18.1.5
[AC2-radius-rad] primary accounting 10.18.1.5
# 配置係統與認證RADIUS服務器交互報文時的共享密鑰為12345678,係統與計費RADIUS服務器交互報文時的共享密鑰為12345678。
[AC2-radius-rad] key authentication 12345678
[AC2-radius-rad] key accounting 12345678
# 配置AC發送RADIUS報文使用的源IP地址為10.18.1.2。
[AC2-radius-rad] nas-ip 10.18.1.2
[AC2-radius-rad] quit
# 創建cams域,指定rad為該域用戶的RADIUS方案。
[AC2] domain cams
[AC2-isp-cams] authentication default radius-scheme rad
[AC2-isp-cams] authorization default radius-scheme rad
[AC2-isp-cams] accounting default radius-scheme rad
[AC2-isp-cams] quit
# 在WLAN-ESS接口上配置802.1X用戶的強製認證域為cams。
[AC1] interface WLAN-ESS 1
[AC1-WLAN-ESS1] dot1x mandatory-domain cams
[AC1-WLAN-ESS1] quit
# 配置AP 2:創建AP 2的模板,名稱為ap2,型號名稱選擇WA2100,配置AP 2的序列號為2210235A22W0076000103。
[AC2] wlan ap ap2 model WA2100
[AC2-wlan-ap-ap2] serial-id 210235A22W0076000103
[AC2-wlan-ap-ap2] radio 1 type dot11g
# AC間漫遊要求各AP的SSID相同,所以需要將SSID為inter-roam的服務模板綁定到AP 2的radio 1口。
[AC2-wlan-ap-ap2-radio-1] service-template 1
[AC2-wlan-ap-ap2-radio-1] radio enable
[AC2-wlan-ap-ap2-radio-1] quit
[AC2-wlan-ap-ap2] quit
# 配置漫遊組的源IP地址(AC 1的IP地址)為10.18.1.2,漫遊組成員的IP地址(AC 2的IP地址)為10.18.1.1。
[AC2] wlan mobility-group roam
[AC2-wlan-mg-roam] source ip 10.18.1.2
[AC2-wlan-mg-roam] member ip 10.18.1.1
[AC2-wlan-mg-roam] mobility-group enable
(3) 驗證結果
在AC 1設備上使用display wlan client roam-out命令可以看到客戶端漫出信息,在AC 2設備上使用display wlan client roam-in命令可以看到客戶端漫入信息。
同時在AC 1上可以通過display wlan client roam-track mac-address命令查看客戶端的漫遊跟蹤信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
