- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-WLAN漫遊配置
本章節下載: 01-WLAN漫遊配置 (582.64 KB)
目 錄
2.2.4 FT Over-the-DS方式802.11r典型配置舉例(PSK模式)
2.2.5 FT Over-the-DS方式802.11r典型模式配置舉例(802.1X)
3.10 配置設備加入漫遊組時建立IADTP隧道的源IP地址
3.11 配置設備發送的IADTP隧道控製報文的DSCP優先級
在同屬於一個ESS(Extended Service Set,拓展服務集)區域中的不同AP覆蓋範圍內,無線客戶端從一個AP上接入轉移到另一個AP上接入的過程稱為漫遊。在漫遊期間,客戶端的IP地址、授權信息等維持不變。
如圖1-1所示,客戶端漫遊的具體過程如下:
(1) 客戶端在Radio 1上初始上線,在FAT AP上會創建該客戶端的漫遊表項信息(漫遊表項信息主要包括客戶端上線SSID、PMKID、認證方式、安全認證模式以及漫遊VLAN等)。
(2) 客戶端漫遊到Radio 2,FAT AP查找該客戶端的漫遊表項。
(3) 客戶端重新認證,在Radio 2上上線。
圖1-1 WLAN漫遊實現方式示意圖
無線客戶端漫遊表項記錄了客戶端的PMK列表、接入VLAN以及其他授權信息。無線客戶端斷開連接之後,如果在客戶端漫遊表項老化時間內再次成功關聯AP,則可繼承表項記錄的各種授權信息,實現快速漫遊。如果客戶端離線時間超過了老化時間,係統會自動清除該客戶端的記錄。
配置無線客戶端漫遊表項的老化時間為0時,表示客戶端下線之後會立即刪除客戶端漫遊表項相關信息,客戶端無法實現快速漫遊。
本命令僅支持配置AC內漫遊客戶端的Cache老化時間,不支持AC間漫遊場景。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置客戶端漫遊表項老化時間。
client cache aging-time aging-time
缺省情況下,無線客戶端漫遊表項的老化時間為180秒。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後的漫遊運行情況,通過查看顯示信息驗證配置的效果。
表1-1 WLAN漫遊顯示和維護
|
操作 |
命令 |
|
顯示客戶端的漫遊跟蹤信息 |
display wlan mobility roam-track mac-address mac-address |
如圖1-2所示,要求客戶端在FAT AP內的不同Radio間進行漫遊。
圖1-2 WLAN漫遊典型配置組網圖
# 創建無線服務模板service1,配置SSID為trade-off,並開啟服務模板。
<AP> system-view
[AP] wlan service-template service1
[AP-wlan-st-service1] ssid trade-off
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template service1
[AP-WLAN-Radio1/0/1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/2接口。
[AP] interface wlan-radio 1/0/2
[AP-WLAN-Radio1/0/2] undo shutdown
[AP-WLAN-Radio1/0/2] service-template service1
[AP-WLAN-Radio1/0/2] quit
(1) 客戶端在AP初次上線後,在AP上查看客戶端的漫遊信息。
# 通過display wlan client命令可以查看客戶端關聯到AP的Radio 1,漫遊狀態為初始上線。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : bce2-659a-3232
IPv4 address : 192.168.0.5
IPv6 address : N/A
Username : N/A
AID : 978
Radio ID : 1
SSID : trade-off
BSSID : 74ea-c8fd-c1e0
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 25
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Beamformee STS capability : 1
Number of Sounding Dimensions : 0
SU beamformee capability : Supported
MU beamformee capability : Supported
Block Ack : TID 0 Both
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 3
RSSI : 40
Rx/Tx rate : 263.3/325 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 28seconds
FT status : Inactive
# 通過display wlan mobility roam-track mac-address可以查看到客戶端的漫遊跟蹤信息。
[AP] display wlan mobility roam-track mac-address bce2-659a-3232
Total entries: 1
Current entries: 1
BSSID Created at Online time AP IP address RID AP name
74ea-c8fd-c1e0 2016-02-06 02:40:09 00h 09m 34s 127.0.0.1 1 fatap
(2) 客戶端漫遊到Radio 2後,在AP上查看客戶端的漫遊信息。
# 通過display wlan client可以查看到客戶端關聯的Radio變成Radio 2,漫遊狀態為AP內漫遊。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : bce2-659a-3232
IPv4 address : 192.168.0.5
IPv6 address : N/A
Username : N/A
AID : 978
Radio ID : 2
Channel : 36
SSID : trade-off
BSSID : 74ea-c8fd-c200
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 49
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 In
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 3
RSSI : 40
Rx/Tx rate : 6.5/6.5 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : Intra-AP roam
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 54seconds
FT status : Inactive
# 通過display wlan mobility roam-track mac-address可以查看到漫遊跟蹤信息增添了客戶端漫遊到Radio 2的漫遊軌跡。
[AP] display wlan mobility roam-track mac-address bce2-659a-3232
Total entries: 2
Current entries: 2
BSSID Created at Online time AP IP address RID AP name
74ea-c8fd-c200 2016-02-06 03:04:09 00h 04m 49s 127.0.0.1 2 fatap
74ea-c8fd-c1e0 2016-02-06 03:00:21 00h 01m 02s 127.0.0.1 1 fatap
WLAN漫遊增強技術目前包括以下幾種:
· 802.1X快速漫遊:當客戶端認證方式為RSN+802.1X認證,可以進行802.1X快速漫遊,客戶端不需要再次認證即可完成漫遊上線。
· 802.11r:用來縮短無線客戶端在漫遊過程中的時間延遲,從而降低無線客戶端連接中斷率,提高漫遊服務質量。
· 802.11v:用來輔助802.11v客戶端接入更合適的AP,提高802.11v無線客戶端的漫遊服務質量。
· 協同漫遊:結合IEEE802.11k和IEEE802.11v協議實現無線客戶端在一個ESS區域中的無縫漫遊。
如圖2-1所示,802.1X快速漫遊機製的具體過程如下。
(1) 客戶端在Radio 1上通過802.1X認證初始上線,在AP上會創建該客戶端的漫遊表項。有關802.1X認證的詳細介紹,請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
(2) 客戶端漫遊到Radio 2,AP查找該客戶端的漫遊表項,當客戶端認證方式為RSN+802.1X認證,且客戶端攜帶的PMKID和設備緩存的PMKID校驗一致時,就認為客戶端已經進行過802.1X認證,直接跳過認證過程,利用緩存的PMK進行密鑰協商以及後續的漫遊上線。
設備支持以下兩種方式緩存PMKID:
· SKC方式(Sticky Key Caching,粘滯密鑰緩存):直接緩存無線客戶端在802.1X認證過程中產生的PMKID。
· OKC方式(Opportunistic Key Caching,機會密鑰緩存):使用無線客戶端當前進行關聯的BSSID以及客戶端MAC地址、設備緩存的PMK等重新計算出PMKID。
無論是SKC方式還是OKC方式,均不需要配置,即可完成802.1X快速漫遊。
圖2-1 802.1X快速漫遊示意圖
802.1X快速漫遊功能目前支持同一FAT AP內的漫遊組網方式和漫遊組。
802.11r的核心功能是FT(Fast BSS Transition,快速BSS切換),它主要用來減少客戶端在漫遊過程中的時間延遲,從而降低連接中斷概率、提高漫遊服務質量。
FT支持兩種實現方式:
· Over-the-Air:客戶端直接與目標Radio通信,進行漫遊前的認證,適用於對漫遊兼容性要求高的場景。建議采用本方式配置FT功能。
· Over-the-DS:客戶端通過當前Radio與目標Radio通信,進行漫遊前的認證,適用於對漫遊性能要求高的場景。
如圖2-2所示,客戶端在Radio間(Radio 1到Radio 2)漫遊時,信息交互過程如下:
(1) 客戶端已經與Radio 1連接並且要漫遊到Radio 2;
(2) 客戶端向Radio 2發送認證請求;
(3) 客戶端收到Radio 2的認證請求回應;
(4) 客戶端向Radio 2發送重關聯請求;
(5) 客戶端收到Radio 2的重關聯請求回應;
(6) 客戶端完成從Radio 1到Radio 2的漫遊。
圖2-2 Over-the-Air方式漫遊示意圖
如圖2-3所示,AP 1和AP 2連接Switch,在同一漫遊組內漫遊的信息交互過程如下:
(1) 客戶端與Radio 1建立連接;
(2) AP 1同步客戶端漫遊信息(PMK、VLAN等信息)到AP 2;
(3) 客戶端準備漫遊,發送FT認證請求到Radio 2;
(4) 客戶端收到Radio 2發送的FT認證回複;
(5) 客戶端向Radio 2發送重關聯請求;
(6) 客戶端收到Radio 2的重關聯請求回應;
(7) 客戶端完成從Radio 1到Radio 2的漫遊。
圖2-3 AP間Over-the-Air方式漫遊示意圖
如圖2-4所示,客戶端在Radio間(Radio 1到Radio 2)漫遊時,信息交互過程如下:
(1) 客戶端與Radio 1建立連接;
(2) 客戶端準備漫遊,向Radio 1發送FT認證請求;
(3) 客戶端收到Radio 1的FT認證回複;
(4) 客戶端向Radio 2發送重關聯請求;
(5) 客戶端收到Radio 2的重關聯請求回應;
(6) 客戶端完成從Radio 1到Radio 2的漫遊。
圖2-4 Over-the-Ds方式漫遊示意圖
配置802.11r的FT功能,需要注意的是:
· 如果有客戶端無法關聯使能了FT功能的服務,可能是由於客戶端的型號較早而不支持FT協議。此時可以創建兩個SSID相同的服務,一個使能FT功能,另一個不使能FT功能,而其它配置均相同,以便客戶端可以正常使用網絡服務。
· 不建議在服務模板下同時開啟FT功能和802.1X周期性重認證功能,否則會導致客戶端在每次重認證時間間隔到達時重新上線。關於802.1X周期性重認證功能的介紹和配置請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
· 快速BSS切換協商成功的客戶端,不支持PTK更新。關於PTK更新的介紹和配置請參見“WLAN安全配置指導”中的“WLAN用戶安全”。
· 未配置身份認證與密鑰管理模式時,不支持開啟FT功能。
· 802.11r功能需配置AP發送信標和探查響應幀時攜帶RSN IE,認證方式不為本地認證、加密套件為CCMP時生效。
· 802.11r功能僅能在服務模板未使能的情況下進行配置。
· 請不要同時開啟FT功能、WPA3安全模式或增強開放係統認證服務,否則會導致無線服務模板使能失敗。WPA3安全模式和增強開發係統認證服務的詳細信息請參見“WLAN安全配置指導”中的“WLAN用戶安全”。
Over-the-Ds方式目前支持同一AP內的漫遊組網方式。
(1) 進入係統視圖。
system-view
(2) 配置無線服務模板。
wlan service-template service-template-name
(3) 開啟FT功能。
ft enable
缺省情況下,FT功能處於關閉狀態。
(4) (可選)配置FT方式。
ft method { over-the-air | over-the-ds }
缺省情況下,FT方式為over-the-air。
(5) (可選)配置重關聯超時時間。
ft reassociation-timeout timeout
缺省情況下,重關聯超時時間為20秒。
重關聯超時時間指的是,客戶端在完成認證後,客戶端發起重關聯請求的最大時間間隔。如果在此時間內客戶端沒有發起重關聯,則會終止此次漫遊。
如圖2-5所示,客戶端在不同Radio間進行漫遊,使用Over-the-DS方式,通過PSK模式對客戶端進行身份認證與密鑰管理。
圖2-5 FT Over-the-DS方式PSK身份認證與密鑰管理模式配置組網圖
# 創建無線服務模板acstname。
<AP> system-view
[AP] wlan service-template acstname
# 配置無線服務的SSID為service。
[AP-wlan-st-acstname] ssid service
# 配置身份認證與密鑰管理的模式是PSK模式,配置使用明文字符串12345678作為PSK密鑰。
[AP-wlan-st-acstname] akm mode psk
[AP-wlan-st-acstname] preshared-key pass-phrase simple 12345678
# 配置AES-CCMP加密套件,配置在AP發送信標和探查響應幀時攜帶RSN IE。
[AP-wlan-st-acstname] cipher-suite ccmp
[AP-wlan-st-acstname] security-ie rsn
# 開啟FT功能。
[AP-wlan-st-acstname] ft enable
# 配置重關聯超時時間為50秒。
[AP-wlan-st-acstname] ft reassociation-timeout 50
# 配置FT方式為Over-the-DS。
[AP-wlan-st-acstname] ft method over-the-ds
# 使能無線服務。
[AP-wlan-st-acstname] service-template enable
[AP-wlan-st-acstname] quit
# 將無線服務模板acstname綁定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template acstname
[AP-WLAN-Radio1/0/1] quit
# 將無線服務模板acstname綁定到WLAN-Radio 1/0/2接口。
[AP] interface wlan-radio 1/0/2
[AP-WLAN-Radio1/0/2] undo shutdown
[AP-WLAN-Radio1/0/2] service-template acstname
# 在AP上通過display wlan service-template命令可以查看服務模板的配置情況。
[AP] display wlan service-template acstname verbose
Service template name : acstname
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless-roam status : Disabled
Seamless-roam RSSI threshold : 50
Seamless-roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : PSK
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT Status : Enable
FT Method : over-the-ds
FT Reassociation Deadline : 50 sec
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Disabled
# 客戶端上線後,在AP上通過display wlan client verbose命令可以查看客戶端的詳細信息。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 1
AP name : 1
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e266-7788
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : RSN
AKM mode : PSK
Encryption cipher : CCMP
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 1minutes 13seconds
FT status : Active
# 客戶端漫遊成功後,在AP上通過display wlan client verbose命令,可以看到結果如下。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : 2
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e211-2233
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : FT
Security mode : RSN
AKM mode : PSK
Encryption cipher : CCMP
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : Intra-AP roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Active
如圖2-5所示,客戶端在不同Radio間進行漫遊,使用Over-the-DS方式,通過802.1X模式對客戶端進行身份認證與密鑰管理。
# 創建無線服務模板stname。
<AP> system-view
[AP] wlan service-template stname
# 配置無線服務的SSID為service。
[AP-wlan-st-stname] ssid service
# 配置身份認證與密鑰管理的模式是802.1X模式。
[AP-wlan-st-stname] akm mode dot1x
# 配置AES-CCMP加密套件,配置在AP發送信標和探查響應幀時攜帶RSN IE。
[AP-wlan-st-stname] cipher-suite ccmp
[AP-wlan-st-stname] security-ie rsn
# 配置客戶端安全認證方式為802.1X。
[AP-wlan-st-stname] client-security authentication-mode dot1x
[AP-wlan-st-stname] dot1x domain imc
# 開啟FT功能。
[AP-wlan-st-stname] ft enable
# 配置FT方法為Over-the-DS。
[AP-wlan-st-stname] ft method over-the-ds
# 使能無線服務。
[AP-wlan-st-stname] service-template enable
[AP-wlan-st-stname] quit
# 配置802.1X認證方式為EAP。
[AP] dot1x authentication-method eap
# 創建RADIUS方案imcc。配置主認證服務器的IP地址為10.1.1.3,與認證服務器交互報文時的共享密鑰為明文12345678。配置主計費服務器的IP地址為10.1.1.3,與計費服務器交互報文時的共享密鑰為明文12345678。配置發送給RADIUS服務器的用戶名不帶ISP域名。
[AP] radius scheme imcc
[AP-radius-imcc] primary authentication 10.1.1.3
[AP-radius-imcc] primary accounting 10.1.1.3
[AP-radius-imcc] key authentication simple 12345678
[AP-radius-imcc] key accounting simple 12345678
[AP-radius-imcc] user-name-format without-domain
[AP-radius-imcc] quit
# 創建認證域並配置使用RADIUS方案進行認證、授權、計費。
[AP] domain imc
[AP-isp-imc] authentication lan-access radius-scheme imcc
[AP-isp-imc] authorization lan-access radius-scheme imcc
[AP-isp-imc] accounting lan-access radius-scheme imcc
[AP-isp-imc] quit
# 將無線服務模板stname綁定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template stname
[AP-WLAN-Radio1/0/1] quit
# 將無線服務模板stname綁定到WLAN-Radio 1/0/2接口。
[AP] interface wlan-radio 1/0/2
[AP-WLAN-Radio1/0/2] undo shutdown
[AP-WLAN-Radio1/0/2] service-template stname
# 在AP上通過display wlan service-template命令可以查看服務模板的配置情況。
[AP] display wlan service-template stname verbose
Service template name : stname
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless-roam status : Disabled
Seamless-roam RSSI threshold : 50
Seamless-roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : 802.1X
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : 802.1X
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : imc
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT Status : Enable
FT Method : over-the-ds
FT Reassociation Deadline : 20 sec
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Disabled
# 客戶端上線後,在AP上通過display wlan client verbose命令可以看到結果如下。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 1
AP name : 1
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e266-7788
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Encryption cipher : CCMP
User authentication mode : 802.1X
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 1minutes 13seconds
FT status : Active
# 客戶端漫遊成功後,在AP上通過display wlan client verbose命令可以看到結果如下。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : 2
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e211-2233
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : FT
Security mode : RSN
AKM mode : 802.1X
Encryption cipher : CCMP
User authentication mode : 802.1X
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : Intra-AP roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Active
802.11v的核心功能是BTM(BSS Transition Management,BSS切換管理),它主要用來通知802.11v無線客戶端離開當前BSS,接入更合適的AP,從而提高802.11v無線客戶端的接入質量。如圖2-6所示,BSS切換管理的基本流程如下:
(1) 802.11v無線客戶端RSSI值過低或找到一個更合適的AP時,會主動向AP發送BSS切換查詢,請求連接到其它BSS上。AP接收到客戶端的BSS切換查詢後,會向其發送BSS切換請求。
(2) 802.11v無線客戶端接收到BSS切換請求後,有可能向AP發送切換響應,通知AP BSS切換的結果。
(3) 經過一段時間後,若無線客戶端還未離開當前BSS,AP會主動向無線客戶端發送解除關聯請求,強製無線客戶端下線。
圖2-6 BSS切換管理
本功能隻能在無線服務模板處於關閉狀態時配置。
建議開啟BSS切換管理功能的同時,通過bss transition-management disassociation命令配置BSS切換解除關聯時間,否則某些客戶端可能無法進行BSS切換。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟BSS切換管理功能。
bss transition-management enable
缺省情況下,BSS切換管理功能處於關閉狀態。
配置BSS切換解除關聯功能後,當設備收到無線客戶端發送的BSS切換查詢時,會向無線客戶端發出請求切換BSS,引導客戶端進行BSS切換。
若配置了強製客戶端進行BSS切換,則當超過配置的BSS切換解除關聯時間客戶端還未離開時,設備會強製斷開與客戶端的連接,請謹慎使用該功能。
隻有開啟了BSS切換管理功能,BSS切換解除關聯功能才能生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置BSS切換解除關聯功能。
bss transition-management disassociation { forced | recommended } [ timer time ]
缺省情況下,BSS切換解除關聯功能處於開啟狀態,即設備會推薦客戶端進行BSS切換,推薦解除關聯時間為90s。
如圖2-7所示,通過BSS切換管理功能,當AP發現802.11v無線客戶端RSSI值過低時,會對客戶端進行BSS切換管理引導,引導客戶端去更合適的AP上線。
圖2-7 BSS典型配置組網圖
# 創建無線服務模板service。
<AP> system-view
[AP] wlan service-template service
# 配置無線服務的SSID為service。
[AP-wlan-st-service] ssid service
# 開啟BSS切換管理功能。
[AP-wlan-st-service] bss transition-management enable
# 配置切換解除關聯時間為45秒。
[AP-wlan-st-service] bss transition-management disassociation recommended timer 45
# 使能無線服務。
[AP-wlan-st-service] service-template enable
[AP-wlan-st-service] quit
# 開啟獲取BSS候選列表功能。
[AP] sacp roam-optimize bss-candidate-list enable
# 將無線服務模板service1綁定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template service1
[AP-WLAN-Radio1/0/1] quit
# 在AP上通過display wlan service-template命令可以查看BSS切換管理功能處於開啟狀態。
[AP] display wlan service-template service verbose
Service template name : service
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Disabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : Not configured
Security IE : Not configured
Cipher suite : Not configured
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 512
Max MAC-auth users per BSS : 512
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Enabled
# 在AP上通過display wlan client命令可以查看客戶端已經上線,經過45秒後,在查看客戶端,發現已經被強製下線。
<AC> display wlan client
Total number of clients: 3
MAC address Username R IP address VLAN
4581-61ac-885a N/A 1 192.168.66.230 1
協同漫遊是我司研發的結合IEEE802.11k和IEEE802.11v協議的一種漫遊技術,由AP和無線客戶端協同引導,實現了無線客戶端在一個ESS(Extended Service Set,拓展服務集)區域中的無縫漫遊。其中:
· 802.11k協議中定義的Beacon射頻測量功能,實現了對2.4GHz和5GHz頻段的信道質量及可用資源性能的監控。
· 802.11v協議中定義的BTM(BSS Transition Management,BSS切換管理)功能用來被動引導支持802.11v協議的無線客戶端離開當前BSS,接入更合適的AP,從而提高802.11v無線客戶端的接入質量。
· 協同漫遊功能新增支持通過AP監測802.11v無線客戶端信號強度,主動引導無線客戶端接入更合適的服務。
開啟無線客戶端反粘滯功能後,AP將按照配置的時間間隔檢測無線客戶端的信號強度。當無線客戶端信號強度低於門限值時:
· 若該無線客戶端關聯過程中協商為支持802.11v協議,則按照BSS切換管理功能,引導無線客戶端連接到其它的BSS。
· 若該無線客戶端關聯過程中協商為不支持802.11v協議,則不會引導無線客戶端連接到其它BSS上。
(1) 進入係統視圖。
system-view
(2) 進入WLAN射頻接口視圖。
interface wlan-radio interface-number
(3) 配置無線客戶端反粘滯功能。
sacp anti-sticky { disable | enable [ rssi rssi-value ] [ interval interval ] }
缺省情況下,無線客戶端反粘滯功能處於開啟狀態。
開啟獲取BSS候選列表功能後,AP將按照配置的時間間隔周期性地向支持Beacon測量的客戶端發送Beacon Request幀以請求獲取無線客戶端檢測到的BSS信息,無線客戶端通過Beacon Report幀上報當前工作信道檢測到的BSS信息。關閉該功能後,已獲取到的BSS候選列表的BSS信息到達老化時間後會被刪除。
開啟BSS切換管理功能後,設備將使用BSS候選列表的BSS信息,引導無線客戶端漫遊到信號質量更好的無線服務上。
僅對配置本功能後新上線的無線客戶端生效。
(1) 進入係統視圖。
system-view
(2) 進入WLAN射頻接口視圖。
interface wlan-radio interface-number
(3) 配置獲取BSS候選列表功能。
sacp roam-optimize bss-candidate-list { disable | enable [ interval interval ] }
缺省情況下,獲取BSS候選列表功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後協同漫遊的運行情況,通過查看顯示信息驗證配置效果。
· display wlan service-template命令及display wlan client命令的詳細信息,請參見“WLAN接入命令參考”中的“WLAN接入”。
表2-1 協同漫遊顯示和維護
|
操作 |
命令 |
|
顯示客戶端的信息 |
display wlan client [ interface wlan-radio interface-number | mac-address mac-address | service-template service-template-name | vlan vlan-id ] [ verbose ] |
|
顯示客戶端上報的射頻資源測量能力集 |
display wlan client rm-capabilities [ mac-address mac-address ] |
|
顯示無線服務模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
多個設備可以加入一個相同的組,客戶端可以在組內漫遊,該組即為漫遊組,在漫遊組漫遊期間,客戶端的IP地址、授權信息等維持不變,可以實現客戶端在更大物理區域內的漫遊。
· IADTP(Inter Access Device Tunneling Protocol,接入設備間隧道協議):H3C私有隧道協議,該協議提供了設備間報文的通用封裝和傳輸機製。提供漫遊服務的設備之間會建立IADTP隧道,用於保證設備間控製報文以及客戶端漫遊信息的安全傳輸。
· HA(Home-AP):一個客戶端首次與IADTP隧道內的某個AP進行關聯,該AP即為它的HA。
· FA(Foreign-AP):客戶端跨AP漫遊後,客戶端與某個不是HA的AP進行關聯,該AP即為FA。
· 漫遊組:多個設備可以加入一個相同的組,客戶端可以在組內漫遊,該組即為漫遊組。
如圖3-1所示,客戶端從AP 1漫遊到AP 2上接入。該組網方式下,通過創建漫遊組,統一管理參與漫遊的FAT AP,沒有加入漫遊組的FAT AP將不參與漫遊。
客戶端完成FAT AP間漫遊的過程如下:
(1) 客戶端在AP 1上初始上線,在AP 1上會創建該客戶端的漫遊表項,並通過IADTP隧道將漫遊表項同步到漫遊組成員AP 2上;
(2) 客戶端漫遊到AP 2,AP 2查找該客戶端的漫遊表項,如果是RSN+802.1X認證方式,且客戶端攜帶的PMKID和設備緩存的PMKID一致,則對其進行快速漫遊,其他情況,則不對其進行快速漫遊;
(3) 如果進行快速漫遊,客戶端不需要再次認證,即可在AP 2上成功上線;否則需要重新認證;
(4) 客戶端在AP 2上線,AP 2會給AP 1發送漫遊請求消息;
(5) AP 1收到漫遊請求消息,並校驗漫遊信息是否正確。如果校驗失敗,則給AP 2回複漫遊失敗的漫遊響應消息。如果校驗成功,AP 1添加該客戶端的漫遊軌跡和漫出信息,並給AP 2回複漫遊成功的漫遊響應信息;
(6) AP 2收到AP 1回複的漫遊響應信息。如果漫遊失敗,AP 2將通知客戶端下線;如果漫遊成功,AP 2添加該客戶端的漫入信息。
圖3-1 漫遊組實現方式示意圖
漫遊組中的成員設備分為如下角色:
· Client端:負責發起連接建立請求。
· Server端:監聽並應答連接建立請求。
缺省情況下,IP地址小的成員設備作為Client端,IP地址大的成員設備作為Server端。如果漫遊組成員設備跨NAT設備,則需要手工指定成員設備在漫遊組中的角色。
設備間建立IADTP隧道的具體過程如下:
(1) Device A向Device B發送Join Request報文。
(2) Device B收到Join Request報文後,根據本地配置和報文內容判斷是否和Device A屬於同一漫遊組。當屬於同一漫遊組時,回複Result Code為成功的Join Response報文;否則,回複Result Code為失敗的Join Response報文。
(3) Device A收到Result Code為成功的Join Response報文後,會向Device B發送Join Confirm報文,建立IADTP隧道;否則,不回複報文。
(4) Device B收到Join Confirm報文後,建立IADTP隧道。
圖3-2 IADTP隧道建立過程
在對AP進行配置時,可以采用如下方式:
· 針對單台AP,在AP視圖下進行配置。
· 針對同一個AP組內的AP,在AP組視圖下針對AP組進行配置。
· 在全局配置視圖下針對所有AP進行全局配置。
對於一台AP,這些配置的生效優先級從高到低為:針對AP的配置、AP組中的配置、全局配置。配置漫遊組,需要注意以下事項:
· 對於配置用戶接入認證位置在AP的無線服務模板,不支持客戶端漫遊。有關用戶接入認證位置相關配置的詳細介紹請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
· 如果存在RSN+802.1X認證方式的客戶端,且客戶端所屬的VLAN不同時,同一漫遊組內的設備上行接口需要允許所有RSN+802.1X認證方式的客戶端VLAN通過。
漫遊組配置任務如下:
(1) 創建漫遊組
(2) (可選)配置漫遊組認證模式
(5) (可選)配置設備發送的IADTP隧道控製報文的DSCP優先級
(6) 添加漫遊組內的成員設備
在手動和自動添加漫遊組內的成員設備中選擇一項任務進行配置:
(7) (可選)配置本成員設備在漫遊組中的角色
(8) (可選)關閉IADTP數據隧道功能
(9) 開啟漫遊組功能
(10) (可選)開啟漫遊組隧道隔離功能
(11) (可選)開啟漫遊組告警功能
屬於同一個漫遊組的每個設備上都必須創建漫遊組,並互相添加漫遊組成員。每個設備上隻允許創建一個漫遊組。
(1) 進入係統視圖。
system-view
(2) 創建漫遊組,並進入漫遊組視圖。
wlan mobility group group-name
配置認證模式後,所有在IADTP隧道中傳輸的控製消息都會附帶一個摘要(完整性代碼),當設備接收到控製消息後會使用相同的算法對消息內容進行計算,並與消息中所攜帶的摘要進行比較,以驗證收到的消息的完整性。目前,漫遊組認證模式僅支持MD5認證算法。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置漫遊組認證模式。
authentication-mode authentication-mode { cipher | simple } string
缺省情況下,未配置漫遊組認證模式。
創建漫遊組之後,必須指定漫遊組隧道IP地址類型。隻有設備加入漫遊組時建立IADTP隧道的源IP地址與隧道IP地址類型相同,設備加入漫遊組時才會生效並建立隧道。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置漫遊組IADTP隧道IP地址類型。
tunnel-type { ipv4 | ipv6 }
缺省情況下,IADTP隧道IP地址類型為IPv4。
設備在加入漫遊組後需要使用IADTP隧道源IP地址和同一漫遊組內成員設備建立IADTP隧道。
配置設備加入漫遊組時建立IADTP隧道的源IP地址,需要注意的是:
· 隻能在漫遊組處於關閉狀態的情況下,才能指定設備加入漫遊組時建立IADTP隧道的源IP地址。
· 可以同時配置IPv4和IPv6類型的源地址,每種類型的源地址隻能配置一個。
· 隻有與漫遊組IADTP隧道IP地址類型相同的源地址可以生效。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置設備加入漫遊組時建立IADTP隧道的源IP地址。
source { ip ipv4-address | ipv6 ipv6-address }
缺省情況下,未配置建立IADTP隧道的源IP地址。
DSCP(Differentiated Services Code Point,差分服務編碼點)攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。配置的DSCP優先級的取值越大,報文的優先級越高。
跨NAT設備建立IADTP隧道時,需要借助IPsec隧道功能完成IADTP控製隧道的加密和數據隧道的建立及加密。由於控製報文和數據報文缺省DSCP優先級都為0,當漫遊隧道通過IPsec加密後,為了防止在IADTP隧道繁忙時,成員設備因為長時間接收不到IADTP隧道保活報文而斷開IADTP隧道的連接,需要提高IADTP隧道保活報文發送的優先級。
建議配置設備發送的IADTP隧道控製報文的DSCP優先級為63。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置設備發送的IADTP隧道控製報文的DSCP優先級。
tunnel-dscp dscp-value
缺省情況下,設備發送的IADTP隧道控製報文的DSCP優先級為0。
漫遊組內的成員設備通過IP地址標識,該IP地址為成員設備建立IADTP隧道的源IP地址。漫遊組內可以同時添加IPv4和IPv6類型的漫遊組成員,但是隻有與隧道類型相同的成員可以生效。當指定了漫遊組內的成員設備所屬VLAN後,漫遊組內的其他設備就可以直接轉發屬於該VLAN的客戶端的數據流量,而無需客戶端漫遊到該設備上。
每一個成員隻能屬於一個漫遊組,並且一個漫遊組中最多可以添加31個IPv4漫遊組成員或31個IPv6漫遊組成員。配置漫遊組內的成員設備所屬VLAN後,該VLAN不能在應用於其它接口或業務。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 添加漫遊組內的成員設備。
member { ip ipv4-address | ipv6 ipv6-address } [ vlan vlan-id-list ]
漫遊組內的成員設備通過IP地址標識,該IP地址為成員設備建立IADTP隧道的源IP地址。漫遊組內可以同時添加IPv4和IPv6類型的漫遊組成員,但是隻有與隧道類型相同的漫遊組成員可以生效。
開啟漫遊組成員自動添加功能後,要加入漫遊組的設備會通過自動添加成員設備報文在漫遊組內廣播自己的IP地址。漫遊組的其它開啟自動添加功能的設備收到廣播報文後與要加入漫遊組的設備建立IADTP隧道。隧道建立成功後,則設備成功加入漫遊組。
每一個成員隻能屬於一個漫遊組,並且一個漫遊組中最多可以添加31個IPv4漫遊組成員或31個IPv6漫遊組成員,當漫遊組成員達到最大數量後,當前設備不會再與其它設備建立IADTP隧道。
隻能自動添加同一網段內的漫遊組成員設備。
配置自動添加漫遊組內的成員設備之前,請先通過source命令配置成員設備加入漫遊組時建立IADTP隧道的源IP地址。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 開啟漫遊組成員自動添加功能。
member auto-discovery [ interval interval ]
缺省情況下,漫遊組成員自動添加功能處於關閉狀態。
當漫遊組成員設備間跨NAT設備建立IADTP隧道時,外網設備無法主動向內網設備發起連接請求。缺省情況下IP地址小的成員設備作為Client端發起連接建立請求,IP地址大的成員設備作為Server端監聽並應答連接建立請求,通過報文的交互最終完成IADTP隧道的建立。此時,如果外網設備的IP地址小於內網設備的IP地址,將無法建立IADTP隧道。在這種情況下,需要通過配置內網成員設備作為Client端發起連接建立請求,以便完成IADTP隧道的建立。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置本成員設備在漫遊組中的角色。
role { client | server }
缺省情況下,漫遊組中IP地址大的成員設備作為Server端,IP地址小的成員設備作為Client端。
為了減輕漫遊組成員設備處理IADTP數據隧道上接收的廣播報文的負擔,並減少設備維護IADTP數據隧道的資源消耗,如果客戶端漫遊後所在的VLAN在當前成員設備上有業務出口,可以通過本功能關閉IADTP數據隧道,不再通過IADTP數據隧道轉發客戶端數據,直接通過業務出口轉發。如果客戶端漫遊後所在的VLAN在當前成員設備上沒有業務出口,不能關閉IADTP數據隧道功能,否則會造成客戶端數據丟失。
漫遊組內所有成員設備需要同時開啟或者關閉IADTP數據隧道功能。
本功能隻能在漫遊組功能處於關閉狀態時配置。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 關閉IADTP數據隧道功能。
data-tunnel disable
缺省情況下,IADTP數據隧道功能處於開啟狀態。
開啟漫遊組功能後,設備會使用IADTP隧道源IP地址與組內其他成員設備建立IADTP隧道,並同步漫遊表項信息。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 開啟漫遊組功能。
group enable
缺省情況下,漫遊組功能處於關閉狀態。
同一漫遊組內的多台設備間存在環路時,需要開啟漫遊組隧道隔離功能,確保設備不會在漫遊組的隧道之間轉發報文,從而避免出現廣播風暴等問題。
(1) 進入係統視圖。
system-view
(2) 開啟漫遊組隧道隔離功能。
wlan mobility-group-isolation enable
缺省情況下,漫遊組隧道隔離功能處於開啟狀態。
開啟了漫遊組告警功能之後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。(有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。)
(1) 進入係統視圖。
system-view
(2) 開啟漫遊組告警功能。
snmp-agent trap enable wlan mobility
缺省情況下,漫遊組告警功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後的漫遊運行情況,通過查看顯示信息驗證配置的效果。
表3-1 漫遊組顯示和維護
|
操作 |
命令 |
|
顯示客戶端漫入或漫出的信息 |
display wlan mobility { roam-in | roam-out } [ member { ip ipv4-address | ipv6 ipv6-address } ] |
|
顯示漫遊組的信息 |
display wlan mobility group |
如圖3-3所示,在一個無線網絡中,有兩台FAT AP,現要求客戶端可以在FAT AP內漫遊,也可以跨FAT AP漫遊。
(1) 配置AP 1
# 創建無線服務模板service1,配置SSID為trade-off,並開啟服務模板。
<AP1> system-view
[AP1] wlan service-template service1
[AP1-wlan-st-service1] ssid trade-off
[AP1-wlan-st-service1] service-template enable
[AP1-wlan-st-service1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/1接口。
[AP1] interface wlan-radio 1/0/1
[AP1-WLAN-Radio1/0/1] undo shutdown
[AP1-WLAN-Radio1/0/1] service-template service1
[AP1-WLAN-Radio1/0/1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/2接口。
[AP1] interface wlan-radio 1/0/2
[AP1-WLAN-Radio1/0/2] undo shutdown
[AP1-WLAN-Radio1/0/2] service-template service1
[AP1-WLAN-Radio1/0/2] quit
# 創建漫遊組office。
[AP1] wlan mobility group office
# 配置漫遊組IADTP隧道IP地址類型為IPv4。
[AP1-wlan-mg-office] tunnel-type ipv4
# 配置AP加入漫遊組時建立IADTP隧道的源IP地址為10.1.4.22。
[AP1-wlan-mg-office] source ip 10.1.4.22
# 添加漫遊組內的AP成員,該AP成員用於建立IADTP隧道的源IP地址為10.1.4.23。
[AP1-wlan-mg-office] member ip 10.1.4.23
# 開啟漫遊組功能。
[AP1-wlan-mg-office] group enable
[AP1-wlan-mg-office] quit
(2) 配置AP 2
# 創建無線服務模板service1,配置SSID為trade-off,並開啟服務模板。
<AP2> system-view
[AP2] wlan service-template service1
[AP2-wlan-st-service1] ssid trade-off
[AP2-wlan-st-service1] service-template enable
[AP2-wlan-st-service1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/1接口。
[AP2] interface wlan-radio 1/0/1
[AP2-WLAN-Radio1/0/1] undo shutdown
[AP2-WLAN-Radio1/0/1] service-template service1
[AP2-WLAN-Radio1/0/1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/2接口。
[AP2] interface wlan-radio 1/0/2
[AP2-WLAN-Radio1/0/2] undo shutdown
[AP2-WLAN-Radio1/0/2] service-template service1
[AP2-WLAN-Radio1/0/2] quit
# 創建漫遊組office。
[AP2] wlan mobility group office
# 配置漫遊組IADTP隧道IP地址類型為IPv4。
[AP2-wlan-mg-office] tunnel-type ipv4
# 配置AP加入漫遊組時建立IADTP隧道的源IP地址為10.1.4.23。
[AP2-wlan-mg-office] source ip 10.1.4.23
# 添加漫遊組內的AP成員,該AP成員用於建立IADTP隧道的源IP地址為10.1.4.22。
[AP2-wlan-mg-office] member ip 10.1.4.22
# 開啟漫遊組功能。
[AP2-wlan-mg-office] group enable
[AP2-wlan-mg-office] quit
# 在AP 1查看漫遊組信息。
[AP1] display wlan mobility group
Mobility group name: office
Tunnel type: IPv4
Source IPv4: 10.1.4.22
Source IPv6: Not configured
Authentication method: Not configured
Mobility group status: Enabled
Member entries: 1
IP address State Online time
10.1.4.23 Up 00hr 00min 12sec
# 在AP 2查看漫遊組信息。
[AP2] display wlan mobility group
Mobility group name: office
Tunnel type: IPv4
Source IPv4: 10.1.4.23
Source IPv6: Not configured
Authentication method: Not configured
Mobility group status: Enabled
Member entries: 1
IP address State Online time
10.1.4.22 Up 00hr 00min 05sec
# 在AP 1上通過display wlan mobility roam-track mac-address可以查看到客戶端在AP 1初始上線,隨後漫遊到AP 2上。
[AP1] display wlan mobility roam-track mac-address bce2-659a-3232
Total entries : 2
Current entries: 2
BSSID Created at Online time AP IP address RID AP name
74ea-c8fd-c200 2016-06-14 11:12:28 00hr 06min 56sec 10.1.4.23 2 ap2
74ea-c8fd-c1e0 2016-06-14 11:11:28 00hr 03min 30sec 127.0.0.1 1 ap1
# 在AP 1上通過display wlan mobility roam-out可以查看到客戶端漫出到AP 2上漫出信息。
[AP1] display wlan mobility roam-out
Total entries: 1
MAC address BSSID VLAN ID Online time FA IP address
bce2-659a-3232 74ea-c8fd-c200 1 00hr 01min 59sec 10.1.4.23
# 在AP 2上通過display wlan client可以查看到客戶端關聯的AP為AP 2,漫遊狀態為AP間漫遊。
[AP2] display wlan client verbose
Total number of clients: 1
MAC address : bce2-659a-3232
IPv4 address : 192.168.0.5
IPv6 address : N/A
Username : N/A
AID : 978
Radio ID : 2
Channel : 36
SSID : trade-off
BSSID : 74ea-c8fd-c200
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 49
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 In
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 3
RSSI : 40
Rx/Tx rate : 6.5/6.5 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : Inter-AP roam
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 54seconds
FT status : Inactive
# 在AP 2上通過display wlan mobility roam-in命令可以查看到客戶端從AP 2漫入的漫入信息。
[AP2] display wlan mobility roam-in
Total entries: 1
MAC address BSSID VLAN ID HA IP address
bce2-659a-3232 74ea-c8fd-c200 1 10.1.4.22
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
