09-漫遊
本章節下載: 09-漫遊 (655.96 KB)
目 錄
IACTP(Inter Access Controller Tunneling Protocol 接入控製器間隧道協議)是H3C公司自主研發的隧道協議,該協議定義了AC(Access Controller,接入控製器)與AC之間是如何通信的。IACTP提供了無線控製器間報文的通用封裝和傳輸機製,保證了AC之間的安全傳輸。無線控製器間通信的建立采用標準的TCP C/S模式。
多個無線控製器可以通過IACTP協議建立漫遊組。在當前版本中一個漫遊組最多允許有8個無線控製器。漫遊組的建立和維護均由IACTP協議完成。
IACTP協議為應用(共享與交換信息)提供了一個控製通道,也同時提供封裝AC間傳輸數據的數據通道。IACTP協議同時支持IPv4和IPv6。
當一個支持Key Caching快速漫遊技術的用戶終端第一次關聯到漫遊組內的任何一個無線控製器(該控製器即為他的家鄉代理Home-AC,HA)時,客戶端會和HA之間進行完整的802.1x認證,並會采用11Key進行密鑰協商。客戶端在漫遊組內跨AC漫遊之前,漫遊組內的無線控製器之間(新關聯的控製器為為他的外地代理Foreign-AC,FA)會進行客戶端信息的同步。客戶終端在發生漫遊並關聯到FA時不用再進行802.1x認證,FA可以快速認證客戶端的信息,隻需執行11key密鑰協商即可在漫遊組內實現方便地無縫漫遊。
(1) 在界麵左側的導航欄中選擇“漫遊 > 漫遊組設置”,進入如下圖所示的頁麵。
(2) 配置漫遊組,詳細配置如下表所示。
(3) 單擊<確定>按鈕完成操作。
配置項 |
說明 |
服務狀態 |
· 開啟:開啟IACTP服務 · 關閉:關閉IACTP服務 |
地址類型 |
選擇類型為IPv4或IPv6 |
源地址 |
IACTP協議的源IP地址 |
認證模式 |
MD5:選用MD5認證模式。該選項對漫遊功能來說是可選項 選用MD5認證模式可以驗證控製報文的完整性。發起方使用MD5算法計算出報文內容的消息摘要,接收方(漫遊組內的其他AC)也會使用MD5計算出消息摘要,如果得出的摘要和發送方的摘要相同,則表示報文是完整未經篡改的 |
認證密鑰 |
MD5認證密鑰。該選項對漫遊功能來說是可選項 如果選用MD5認證模式,需要輸入認證密鑰 |
漫遊組的配置隻針對AC間漫遊,AC間漫遊的配置舉例請參見“1.3.2 AC間漫遊典型配置舉例”。
(1) 在界麵左側的導航欄中選擇“漫遊 > 漫遊組設置”,進入如下圖所示的頁麵。
(2) 添加漫遊組成員,詳細配置如下表所示。
(3) 單擊<添加>按鈕完成成員添加。
(4) 單擊<確定>按鈕完成操作。
配置項 |
說明 |
成員地址 |
添加一個AC的IP地址到一個漫遊組中 在配置漫遊組時,同一漫遊組內的AC的漫遊組名應該保持一致 |
VLAN |
配置漫遊組成員地址所屬的VLAN 該選項為可選配置 |
· 不要將漫遊組內的AC配置為雙AC備份。
· 漫遊組內的AC的用戶方案配置必須保持一致,關於用戶方案的詳細介紹請參見“用戶”。
(1) 在界麵左側的導航欄中選擇“漫遊 >客戶端信息”,進入如下圖所示的頁麵。
· 隻有客戶端發生AC間漫遊時,才能通過“漫遊 >客戶端信息”查看到漫遊的客戶端信息。
· 客戶端完成快速漫遊後關聯到FA上的AP,由於快速漫遊的客戶端信息保存在HA上,因此在該FA設備的“漫遊 > 客戶端信息”頁麵中的“漫遊信息”頁簽上查看不到此客戶端的漫遊信息。
(2) 點擊指定的客戶端後,可以查看相關的詳細信息和漫遊信息。
通過“漫遊 > 客戶端信息”查看到的客戶端的詳細信息和漫遊信息和通過“概覽 > 客戶端”查看到的內容完全一致,此部分內容請參見“概覽”。
AC、AP 1和AP 2在VLAN 1中,客戶端先通過AP 1連接至無線網絡,然後從AP 1漫遊到與同一無線控製器相連的AP 2上。
圖1-4 AC內漫遊組網圖
如果選擇的認證方式涉及遠程認證,需要對相關Radius服務器進行設置,具體步驟請參見“認證”。
(1) 創建兩個AP。
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置。
· 設置AP名稱為“ap1”。
· 選擇型號為“WA2620-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
使用同樣方法創建另一個“ap2”。
(2) 配置無線服務
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置。
· 設置無線服務名稱為“Roam”。
認證方式的配置請參考“無線服務”,需要注意的是,隻有使用RSN+802.1X認證方式時,客戶端才能進行快速漫遊。
· 單擊<確定>按鈕完成操作。
步驟4:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”。
步驟5:選中“Roam”前的複選框,單擊<開啟>按鈕完成操作。
(3) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:在列表裏點擊無線服務Roam的操作欄中的圖標,進入如下圖所示頁麵。
步驟3:選中“ap1 802.11n(2.4GHz)”和“ap2 802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-5 綁定AP的射頻
(4) 開啟射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“ap1 802.11n(2.4GHz)”和“ap2 802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
圖1-6 開啟射頻
(1) 通過查看客戶端的漫遊信息驗證
步驟1:在界麵左側的導航欄中選擇“概覽 > 客戶端”。
步驟2:進入頁麵後,選擇“漫遊信息”頁簽。
步驟3:點擊指定的客戶端後,可以查看相關的詳細信息。從漫遊信息裏可以看到一開始客戶端從AP 1接入無線網絡,該AP的BSSID為000f-e27b-3d90。
圖1-7 漫遊前的客戶端狀態
步驟4:單擊<刷新>按鈕。出現如下圖所示頁麵。發“漫遊信息”頁麵上可以看到客戶端完成AC內漫遊後,客戶端從AP 2接入無線網絡,AP 2的BSSID為000f-e233-5500。
圖1-8 漫遊後的客戶端狀態
(2) 通過Roam Status字段驗證
步驟1:客戶端完成漫遊後,在界麵左側的導航欄中選擇“概覽 > 客戶端”。
步驟2:進入頁麵後,選擇“詳細信息”頁簽。
步驟3:點擊指定的客戶端後,可以發現在Roam Status字段處顯示Intra-AC roam association。
圖1-9 驗證AC內漫遊
AC內漫遊要求兩個AP的SSID應該保持一致,即在1.3.1 2. (3)綁定AP的射頻中同一個無線服務應該綁定到兩個AP射頻上。
AC 1和AC 2通過一個二層交換機連接,兩個AC處於同一個網段,AC 1的IP地址為192.168.1.100;AC 2的IP地址為192.168.1.101。客戶端先通過AP 1連接至無線網絡,然後漫遊到與AC 2相連的AP 2上。
圖1-10 AC間漫遊組網圖
如果選擇的認證方式涉及遠程認證,需要對相關Radius服務器進行設置,具體步驟請參見“認證”。
(1) 建立AC和AP間的連接
配置AC 1和AC 2,使AP 1和AC 1之間、AP 2和AC 2之間建立連接。在建立AC和AP間的連接後,在兩個AC上才能看到AP都處於Run狀態。在界麵左側的導航欄中選擇“概覽 > AP”或“AP > AP設置”可以查看AP狀態。
相關配置請參見“無線服務”,可以完全參照相關舉例完成配置。
認證方式的配置請參考“無線服務”,需要注意的是,隻有使用RSN+802.1X認證方式時,客戶端才能進行支持key caching技術的快速漫遊。
(2) 配置漫遊組
在AC 1上配置漫遊組。
步驟1:在界麵左側的導航欄中選擇“漫遊 > 漫遊組設置”。
步驟2:進行如下配置。
· 在服務狀態欄選擇“開啟”。
· 選擇地址類型為“IPv4”,並輸入源地址,即AC 1的IP地址。
· 在成員地址中輸入AC 2的IP地址,單擊<添加>按鈕完成成員地址添加操作。
步驟3:單擊<確定>按鈕完成操作。
圖1-11 在AC 1上配置漫遊組
在AC 2上配置漫遊組,此時源地址為AC 2的IP地址,成員地址為AC 1的IP地址。(略)
(1) 驗證漫遊組的狀態
步驟1:在AC 1上進行如下操作。在界麵左側的導航欄中選擇“漫遊 > 客戶端信息”,可以查看到漫遊組成員192.168.1.101處於“運行”狀態。
圖1-12 檢查漫遊組狀態
步驟2:在AC 2上進行如下操作。在界麵左側的導航欄中選擇“漫遊 > 客戶端信息”,可以查看到漫遊組成員192.168.1.100也處於“運行”狀態。
圖1-13 檢查漫遊組狀態
(2) 通過查看客戶端信息驗證
步驟1:當客戶端從AP 1漫遊到AP 2時,在AC 1設備界麵左側的導航欄中選擇“漫遊 > 客戶端信息”,可以通過如下圖所示的頁麵,查看到客戶端已經從“192.168.1.100”漫出。
步驟2:當客戶端從AP 1漫遊到AP 2時,在AC 2設備界麵左側的導航欄中選擇“漫遊 > 客戶端信息”,可以在“漫遊方向”狀態欄中看到查看到客戶端已經從“192.168.1.100”漫入。
(3) 通過查看AC上客戶端的連接情況以及客戶端詳細信息中的Roam Status字段驗證
步驟1:客戶端漫遊前,在AC 1設備界麵左側的導航欄中選擇“概覽 > 客戶端”,可以查看到客戶端的信息,說明客戶端和AP 1關聯。
步驟2:客戶端完成漫遊後,在AC 1設備界麵左側的導航欄中選擇“概覽 > 客戶端”,由於客戶端已經從AP 1漫遊到AP 2,在AC 1設備上不會有該客戶端的信息。
步驟3:在AC 2設備界麵左側的導航欄中選擇“概覽 > 客戶端”,進入如下圖所示頁麵後,可以查看到客戶端的信息。選擇“詳細信息”頁簽,點擊指定的客戶端後,可以發現在Roam Status字段處顯示Inter-AC roam association,說明該客戶端通是完成AC間漫遊後,再關聯到AP 2上的。
圖1-15 驗證AC間漫遊
(4) 通過查看BSSID字段驗證
步驟1:在AC 1設備界麵左側的導航欄中選擇“概覽 > 客戶端”,進入頁麵後,選擇“詳細信息”頁簽,點擊指定的客戶端後,可以查看相關的詳細信息。從“詳細信息”頁麵上可以看到一開始客戶端從AP 1接入無線網絡,AP 1的BSSID為000f-e27b-3d90。
圖1-16 漫遊前的客戶端狀態
步驟2:在AC 2設備界麵左側的導航欄中選擇“概覽 > 客戶端”,進入頁麵後,選擇“詳細信息”頁簽,點擊指定的客戶端後,可以查看相關的詳細信息。從“詳細信息”頁麵上可以查看到客戶端完成AC間漫遊後,客戶端從AP 2接入無線網絡,AP 2的BSSID為000f-e233-5500。
圖1-17 漫遊後的客戶端狀態
· AC間漫遊要求兩個AP的SSID應該保持一致,並要求兩個AP的接入方式必須完全一致。
· 兩個AC上都需要進行漫遊組配置。
· 不要將漫遊組內的AC配置為雙AC備份。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!