- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-WLAN漫遊配置
本章節下載: 06-WLAN漫遊配置 (1.11 MB)
目 錄
2.3.5 FT Over-the-DS方式802.11r典型配置舉例(PSK模式)
2.3.6 FT Over-the-DS方式802.11r典型配置舉例(802.1X模式)
2.3.7 FT Over-the-DS方式802.11r典型配置舉例(PSK模式)
2.3.8 FT Over-the-DS方式802.11r典型模式配置舉例(802.1X)
3.11 配置設備加入漫遊組時建立IADTP隧道的源IP地址
3.12 配置設備發送的IADTP隧道控製報文的DSCP優先級
在同屬於一個ESS(Extended Service Set,拓展服務集)區域中的不同AP覆蓋範圍內,無線客戶端從一個AP上接入轉移到另一個AP上接入的過程稱為漫遊。在漫遊期間,客戶端的IP地址、授權信息等維持不變。
如圖1-1所示,客戶端漫遊的具體過程如下:
(1) 客戶端在AP 1上初始上線,在AC上會創建該客戶端的漫遊表項信息(漫遊表項信息主要包括客戶端上線SSID、PMKID、認證方式、安全認證模式以及漫遊VLAN等)。
(2) 客戶端漫遊到AP 2,AC查找該客戶端的漫遊表項。
(3) 客戶端重新認證,在AP 2上上線。
圖1-1 WLAN漫遊實現方式介紹示意圖
如圖1-2所示,當客戶端從AP 1漫遊到AP 2時,設備無需任何特殊配置,即可完成跨VLAN的漫遊。漫遊具體過程請參見“1.2 WLAN漫遊實現方式介紹”。
無線客戶端漫遊表項記錄了客戶端的PMK列表、接入VLAN以及其他授權信息。無線客戶端斷開連接之後,如果在客戶端Cache老化時間內再次成功關聯AP,則可繼承表項記錄的各種授權信息,實現快速漫遊。如果客戶端離線時間超過了老化時間,係統會自動清除該客戶端的記錄。
配置無線客戶端漫遊表項的老化時間為0時,表示客戶端下線之後會立即刪除客戶端漫遊表項相關信息,客戶端無法實現快速漫遊。
本命令僅支持配置AC內漫遊客戶端的Cache老化時間,不支持AC間漫遊場景。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置客戶端漫遊表項老化時間。
client cache aging-time aging-time
缺省情況下,無線客戶端漫遊表項的老化時間為180秒。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後的漫遊運行情況,通過查看顯示信息驗證配置的效果。
表1-1 WLAN漫遊顯示和維護
|
操作 |
命令 |
|
顯示客戶端的漫遊跟蹤信息 |
display wlan mobility roam-track mac-address mac-address |
如圖1-3所示,要求客戶端在不同AP間進行漫遊。
圖1-3 WLAN漫遊典型配置組網圖
# 創建無線服務模板service,配置SSID為1,並使能服務模板。
<AC> system-view
[AC] wlan service-template service
[AC-wlan-st-service] ssid 1
[AC-wlan-st-service] service-template enable
[AC-wlan-st-service] quit
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 將服務模板綁定到ap1的Radio接口。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] service-template service
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 創建手工AP,名稱為ap2,選擇AP型號並配置序列號。
[AC] wlan ap ap2 model WA6320
[AC-wlan-ap-ap2] serial-id 219801A28N819CE0003T
# 將無線服務模板綁定到ap2的Radio接口。
[AC-wlan-ap-ap2] radio 1
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] service-template service
[AC-wlan-ap-ap2-radio-1] quit
[AC-wlan-ap-ap2] quit
(1) 客戶端在AP 1初次上線後,在AC上查看客戶端的漫遊信息。
# 通過display wlan client命令可以查看到客戶端關聯的AP為AP 1,漫遊狀態為初始上線。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : 9cd3-6d9e-6778
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 1
AP name : ap1
Radio ID : 1
Channel : 36
SSID : 1
BSSID : 000f-e200-4444
VLAN ID : 1
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 1minutes 13seconds
FT status : Inactive
# 通過display wlan mobility roam-track mac-address可以查看到客戶端的漫遊跟蹤信息。
[AC] display wlan mobility roam-track mac-address 9cd3-6d9e-6778
Total entries: 1
BSSID Created at Online time AC IP address RID AP name
000f-e200-4444 2016-06-14 11:12:28 00hr 01min 16sec 127.0.0.1 1 ap1
(2) 客戶端漫遊到AP 2後,在AC上查看客戶端的漫遊信息。
# 通過display wlan client可以查看到客戶端關聯的AP變成AP 2,漫遊狀態為AC內漫遊。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : 9cd3-6d9e-6778
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : ap2
Radio ID : 1
Channel : 36
SSID : 1
BSSID : 000f-e203-7777
VLAN ID : 1
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : Intra-AC roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Inactive
# 通過display wlan mobility roam-track mac-address可以查看到漫遊跟蹤信息增添了客戶端漫遊到AP 2的漫遊軌跡。
[AC] display wlan mobility roam-track mac-address 9cd3-6d9e-6778
Total entries: 2
BSSID Created at Online time AC IP address RID AP name
000f-e203-7777 2016-06-14 11:12:28 00hr 01min 02sec 127.0.0.1 1 ap2
000f-e200-4444 2016-06-14 11:12:04 00hr 03min 51sec 127.0.0.1 1 ap1
WLAN漫遊增強技術目前包括以下幾種:
· 802.1X快速漫遊:當客戶端認證方式為RSN+802.1X認證,可以進行802.1X快速漫遊,客戶端不需要再次認證即可完成漫遊上線。
· MAC快速漫遊:當客戶端認證方式為MAC地址認證時,可以進行MAC快速漫遊,客戶端不需要再次認證即可完成漫遊上線。
· 802.11r:用來縮短無線客戶端在漫遊過程中的時間延遲,從而降低無線客戶端連接中斷率,提高漫遊服務質量。
· 虛擬BSS漫遊:AC通過實時監控無線客戶端信號強度,使客戶端接入服務質量更好的AP,實現客戶端在一個ESS(Extended Service Set,拓展服務集)區域中的無縫漫遊。
如圖2-1所示,AC內漫遊場景下,802.1X快速漫遊機製的具體過程如下:
(1) 客戶端在AP 1上通過802.1X認證初始上線,在AC上會創建該客戶端的漫遊表項信息。有關802.1X認證的詳細介紹,請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
(2) 客戶端漫遊到AP 2,AC查找該客戶端的漫遊表項,當客戶端認證方式為RSN+802.1X認證,且客戶端攜帶的PMKID和設備緩存的PMKID校驗一致時,就認為客戶端已經進行過802.1X認證,直接跳過認證過程,利用緩存的PMK進行密鑰協商以及後續的漫遊上線。
設備支持以下兩種方式緩存PMKID:
· SKC方式(Sticky Key Caching,粘滯密鑰緩存):直接緩存無線客戶端在802.1X認證過程中產生的PMKID。
· OKC方式(Opportunistic Key Caching,機會密鑰緩存):使用無線客戶端當前進行關聯的BSSID以及客戶端MAC地址、設備緩存的PMK等重新計算出PMKID。
無論是SKC方式還是OKC方式,均不需要配置,即可完成802.1X快速漫遊。
圖2-1 802.1X快速漫遊示意圖
如圖2-2所示,AC間漫遊場景中,802.1X快速漫遊機製的具體過程如下。
(1) AC 1和AC 2組成漫遊組,客戶端在AP 1上通過802.1X認證初始上線,在AC 1上會創建該客戶端的漫遊表項。有關802.1X認證的詳細介紹,請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
(2) AC 1通過IADTP隧道將漫遊表項同步到漫遊組成員AC 2上。
(3) 客戶端漫遊到AP 2,AC 2查找該客戶端的漫遊表項,當客戶端認證方式為RSN+802.1X認證,且客戶端攜帶的PMKID和設備緩存的PMKID檢驗一致時,就認為客戶端已經進行過802.1X認證,直接跳過認證過程,利用緩存的PMK進行密鑰協商以及後續的漫遊上線。
圖2-2 AC間802.1X快速漫遊示意圖
如圖2-3所示,AP內漫遊場景下,802.1X快速漫遊機製的具體過程如下:
(1) 客戶端在Radio 1上初始上線,在AP上會創建該客戶端的漫遊表項信息。有關802.1X認證的詳細介紹,請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
(2) 客戶端漫遊到Radio 2,AP查找該客戶端的漫遊表項,當客戶端認證方式為RSN+802.1X認證,且客戶端攜帶的PMKID和設備緩存的PMKID校驗一致時,就認為客戶端已經進行過802.1X認證,直接跳過認證過程,利用緩存的PMK進行密鑰協商以及後續的漫遊上線。
設備支持以下兩種方式緩存PMKID:
· SKC方式(Sticky Key Caching,粘滯密鑰緩存):直接緩存無線客戶端在802.1X認證過程中產生的PMKID。
· OKC方式(Opportunistic Key Caching,機會密鑰緩存):使用無線客戶端當前進行關聯的BSSID以及客戶端MAC地址、設備緩存的PMK等重新計算出PMKID。
無論是SKC方式還是OKC方式,均不需要配置,即可完成802.1X快速漫遊。
圖2-3 802.1X快速漫遊示意圖
如圖2-4所示,AP間漫遊場景中,802.1X快速漫遊機製的具體過程如下。
(1) AP 1和AP 2組成漫遊組,客戶端在AP 1上通過802.1X認證初始上線,在AP 1上會創建該客戶端的漫遊表項。有關802.1X認證的詳細介紹,請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
(2) AP 1通過IADTP隧道將漫遊表項同步到漫遊組成員AP 2上。
(3) 客戶端漫遊到AP 2,AP 2查找該客戶端的漫遊表項,當客戶端認證方式為RSN+802.1X認證,且客戶端攜帶的PMKID和設備緩存的PMKID檢驗一致時,就認為客戶端已經進行過802.1X認證,直接跳過認證過程,利用緩存的PMK進行密鑰協商以及後續的漫遊上線。
圖2-4 AP間802.1X快速漫遊示意圖
如圖2-5所示,MAC快速漫遊機製的具體過程如下。
(1) 客戶端在AP 1上通過MAC地址認證初始上線,在AC上會創建該客戶端的漫遊表項。有關MAC地址認證的詳細介紹,請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
(2) 客戶端漫遊到AP 2,AC查找該客戶端的漫遊表項,當客戶端認證方式為MAC認證,且開啟MAC地址認證成功後的快速連接功能後,就認為客戶端已經進行過MAC認證,直接跳過認證過程,繼續後續的漫遊上線。
圖2-5 MAC快速漫遊示意圖
MAC快速漫遊功能目前僅支持同一AC內的漫遊組網方式。
開啟MAC地址認證成功後的快速連接功能後,已經通過MAC地址認證的客戶端在AC內漫遊時,不需要再次進行MAC地址認證,可提高客戶端AC內漫遊的上線速度。
對於進行AC間漫遊的MAC地址認證的客戶端,配置本命令後,客戶端可以繼承漫遊VLAN,但是漫遊狀態顯示為N/A。當AC間漫遊的客戶端所屬VLAN不同時,同一漫遊組內的AC上行接口需要允許MAC地址認證的客戶端VLAN通過。
本功能僅對在AC上進行認證和關聯的無線客戶端生效。
該命令隻能在無線服務模板處於關閉狀態時配置。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟MAC地址認證成功後的快速連接功能。
mac-authentication fast-connect enable
缺省情況下,MAC地址認證成功後的快速連接功能處於關閉狀態。
802.11r的核心功能是FT(Fast BSS Transition,快速BSS切換),它主要用來減少客戶端在漫遊過程中的時間延遲,從而降低連接中斷概率、提高漫遊服務質量。
FT支持兩種實現方式:
· Over-the-Air:客戶端直接與目標AP通信,進行漫遊前的認證,適用於對漫遊兼容性要求高的場景。建議采用本方式配置FT功能。
· Over-the-DS:客戶端通過當前AP與目標AP通信,進行漫遊前的認證,適用於對漫遊性能要求高的場景。
如圖2-6所示,客戶端在連接至同一AC的AP間(AP 1到AP 2)漫遊時,信息交互過程如下:
(1) 客戶端已經與AP 1連接並且要漫遊到AP 2;
(2) 客戶端向AP 2發送認證請求;
(3) 客戶端收到AP 2的認證請求回應;
(4) 客戶端向AP 2發送重關聯請求;
(5) 客戶端收到AP 2的重關聯請求回應;
(6) 客戶端完成從AP 1到AP 2的漫遊。
圖2-6 over-the-air方式漫遊示意圖
如圖2-7所示,客戶端在連接至同一AC的AP間(AP 1到AP 2)漫遊時,信息交互過程如下:
(1) 客戶端與AP 1建立連接;
(2) AC生成、同步、保存客戶端的漫遊表項;
(3) 客戶端準備漫遊,向AP 1發送FT認證請求;
(4) 客戶端收到AP 1的FT認證回複;
(5) 客戶端向AP 2發送重關聯請求;
(6) 客戶端收到AP 2的重關聯請求回應;
(7) 客戶端完成從AP 1到AP 2的漫遊。
圖2-7 over-the-ds方式漫遊示意圖
802.11r的核心功能是FT(Fast BSS Transition,快速BSS切換),它主要用來減少客戶端在漫遊過程中的時間延遲,從而降低連接中斷概率、提高漫遊服務質量。
FT支持兩種實現方式:
· Over-the-Air:客戶端直接與目標Radio通信,進行漫遊前的認證,適用於對漫遊兼容性要求高的場景。建議采用本方式配置FT功能。
· Over-the-DS:客戶端通過當前Radio與目標Radio通信,進行漫遊前的認證,適用於對漫遊性能要求高的場景。
如圖2-8所示,客戶端在Radio間(Radio 1到Radio 2)漫遊時,信息交互過程如下:
(1) 客戶端已經與Radio 1連接並且要漫遊到Radio 2;
(2) 客戶端向Radio 2發送認證請求;
(3) 客戶端收到Radio 2的認證請求回應;
(4) 客戶端向Radio 2發送重關聯請求;
(5) 客戶端收到Radio 2的重關聯請求回應;
(6) 客戶端完成從Radio 1到Radio 2的漫遊。
圖2-8 Over-the-Air方式漫遊示意圖
如圖2-9所示,AP 1和AP 2連接Switch,在同一漫遊組內漫遊的信息交互過程如下:
(1) 客戶端與Radio 1建立連接;
(2) AP 1同步客戶端漫遊信息(PMK、VLAN等信息)到AP 2;
(3) 客戶端準備漫遊,發送FT認證請求到Radio 2;
(4) 客戶端收到Radio 2發送的FT認證回複;
(5) 客戶端向Radio 2發送重關聯請求;
(6) 客戶端收到Radio 2的重關聯請求回應;
(7) 客戶端完成從Radio 1到Radio 2的漫遊。
圖2-9 AP間Over-the-Air方式漫遊示意圖
如圖2-10所示,客戶端在Radio間(Radio 1到Radio 2)漫遊時,信息交互過程如下:
(1) 客戶端與Radio 1建立連接;
(2) 客戶端準備漫遊,向Radio 1發送FT認證請求;
(3) 客戶端收到Radio 1的FT認證回複;
(4) 客戶端向Radio 2發送重關聯請求;
(5) 客戶端收到Radio 2的重關聯請求回應;
(6) 客戶端完成從Radio 1到Radio 2的漫遊。
圖2-10 Over-the-Ds方式漫遊示意圖
配置802.11r的FT功能,需要注意的是:
· 如果有客戶端無法關聯使能了FT功能的服務,可能是由於客戶端的型號較早而不支持FT協議。此時可以創建兩個SSID相同的服務,一個使能FT功能,另一個不使能FT功能,而其它配置均相同,以便客戶端可以正常使用網絡服務。
· 不建議在服務模板下同時開啟FT功能和802.1X周期性重認證功能,否則會導致客戶端在每次重認證時間間隔到達時重新上線。關於802.1X周期性重認證功能的介紹和配置請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
· 快速BSS切換協商成功的客戶端,不支持PTK更新。關於PTK更新的介紹和配置請參見“WLAN配置指導”中的“WLAN用戶安全”。
· 未配置身份認證與密鑰管理模式時,不支持開啟FT功能。
· 802.11r功能需配置AP發送信標和探查響應幀時攜帶RSN IE,認證方式不為本地認證、加密套件為CCMP時生效。
· 802.11r目前支持同一設備內的漫遊組網方式和漫遊組。
· 802.11r功能僅對關聯位置在AC上的無線客戶端生效。
· 802.11r功能僅能在服務模板未使能的情況下進行配置。
· 請不要同時開啟FT功能、WPA3安全模式或增強開放係統認證服務,否則會導致無線服務模板使能失敗。WPA3安全模式和增強開發係統認證服務的詳細信息請參見“WLAN配置指導”中的“WLAN用戶安全”。
(1) 進入係統視圖。
system-view
(2) 配置WLAN服務模板。
wlan service-template service-template-name
(3) 開啟FT功能。
ft enable
缺省情況下,FT功能處於關閉狀態。
(4) (可選)配置FT方式。
ft method { over-the-air | over-the-ds }
缺省情況下,FT方式為over-the-air。
(5) (可選)配置重關聯超時時間。
ft reassociation-timeout timeout
缺省情況下,重關聯超時時間為20秒。
重關聯超時時間指的是,客戶端在完成認證後,客戶端發起重關聯請求的最大時間間隔。如果在此時間內客戶端沒有發起重關聯,則會終止此次漫遊。
如圖2-11所示,客戶端在不同AP間進行漫遊,使用Over-the-DS方式,通過PSK模式對客戶端進行身份認證與密鑰管理。
圖2-11 FT Over-the-DS方式PSK身份認證與密鑰管理模式配置組網圖
# 創建無線服務模板acstname。
<AC> system-view
[AC] wlan service-template acstname
# 配置無線服務的SSID為service。
[AC-wlan-st-acstname] ssid service
# 配置身份認證與密鑰管理的模式是PSK模式,配置使用明文字符串12345678作為PSK密鑰。
[AC-wlan-st-acstname] akm mode psk
[AC-wlan-st-acstname] preshared-key pass-phrase simple 12345678
# 配置AES-CCMP加密套件,配置在AP發送信標和探查響應幀時攜帶RSN IE。
[AC-wlan-st-acstname] cipher-suite ccmp
[AC-wlan-st-acstname] security-ie rsn
# 開啟FT功能。
[AC-wlan-st-acstname] ft enable
# 配置重關聯超時時間為50秒。
[AC-wlan-st-acstname] ft reassociation-timeout 50
# 配置FT方式為Over-the-DS。
[AC-wlan-st-acstname] ft method over-the-ds
# 使能無線服務。
[AC-wlan-st-acstname] service-template enable
[AC-wlan-st-acstname] quit
# 創建AP,名稱為1,並將無線服務模板acstname綁定到AP 1的Radio1上。
[AC] wlan ap 1 model WA6320
[AC-wlan-ap-1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-1] radio 1
[AC-wlan-ap-1-radio-1] service-template acstname
[AC-wlan-ap-1-radio-1] radio enable
[AC-wlan-ap-1-radio-1] quit
[AC-wlan-ap-1] quit
# 創建AP,名稱為2,並將無線服務模板acstname綁定到AP 2的Radio1上。
[AC] wlan ap 2 model WA6320
[AC-wlan-ap-2] serial-id 219801A28N819CE0003T
[AC-wlan-ap-2] radio 1
[AC-wlan-ap-2-radio-1] service-template acstname
[AC-wlan-ap-2-radio-1] radio enable
[AC-wlan-ap-2-radio-1] quit
[AC-wlan-ap-2] quit
# 在AC上通過display wlan service-template命令可以查看服務模板的配置情況。
[AC] display wlan service-template acstname verbose
Service template name : acstname
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless-roam status : Disabled
Seamless-roam RSSI threshold : 50
Seamless-roam RSSI gap : 20
VLAN ID : 1
AKM mode : PSK
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT Status : Enable
FT Method : over-the-ds
FT Reassociation Deadline : 50 sec
QoS trust : Port
QoS priority : 0
# 客戶端上線後,在AC上通過display wlan client verbose命令可以查看客戶端的詳細信息。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 1
AP name : 1
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e266-7788
VLAN ID : 1
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : RSN
AKM mode : PSK
Encryption cipher : CCMP
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 1minutes 13seconds
FT status : Active
# 客戶端漫遊成功後,在AC上通過display wlan client verbose命令,可以看到結果如下。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : 2
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e211-2233
VLAN ID : 1
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : FT
Security mode : RSN
AKM mode : PSK
Encryption cipher : CCMP
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : Intra-AC roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Active
如圖2-11所示,客戶端在不同AP間進行漫遊,使用Over-the-DS方式,通過802.1X模式對客戶端進行身份認證與密鑰管理。
# 創建無線服務模板stname。
<AC> system-view
[AC] wlan service-template stname
# 配置無線服務的SSID為service。
[AC-wlan-st-stname] ssid service
# 配置身份認證與密鑰管理的模式是802.1X模式。
[AC-wlan-st-stname] akm mode dot1x
# 配置AES-CCMP加密套件,配置在AP發送信標和探查響應幀時攜帶RSN IE。
[AC-wlan-st-stname] cipher-suite ccmp
[AC-wlan-st-stname] security-ie rsn
# 配置客戶端安全認證方式為802.1X。
[AC-wlan-st-stname] client-security authentication-mode dot1x
[AC-wlan-st-stname] dot1x domain imc
# 開啟FT功能。
[AC-wlan-st-stname] ft enable
# 配置FT方法為Over-the-DS。
[AC-wlan-st-stname] ft method over-the-ds
# 使能無線服務。
[AC-wlan-st-stname] service-template enable
[AC-wlan-st-stname] quit
# 配置802.1X認證方式為EAP。
[AC] dot1x authentication-method eap
# 創建RADIUS方案imcc。配置主認證服務器的IP地址為10.1.1.3,與認證服務器交互報文時的共享密鑰為明文12345678。配置主計費服務器的IP地址為10.1.1.3,與計費服務器交互報文時的共享密鑰為明文12345678。配置發送給RADIUS服務器的用戶名不帶ISP域名。
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 10.1.1.3
[AC-radius-imcc] primary accounting 10.1.1.3
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
# 創建認證域並配置使用RADIUS方案進行認證、授權、計費。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
# 創建AP,名稱為1,並將無線服務模板acstname綁定到AP 1的Radio1上。
[AC] wlan ap 1 model WA6320
[AC-wlan-ap-1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-1] radio 1
[AC-wlan-ap-1-radio-1] service-template acstname
[AC-wlan-ap-1-radio-1] radio enable
[AC-wlan-ap-1-radio-1] quit
[AC-wlan-ap-1] quit
# 創建AP,名稱為2,並將無線服務模板acstname綁定到AP 2的Radio1上。
[AC] wlan ap 2 model WA6320
[AC-wlan-ap-2] serial-id 219801A28N819CE0003T
[AC-wlan-ap-2] radio 1
[AC-wlan-ap-2-radio-1] service-template acstname
[AC-wlan-ap-2-radio-1] radio enable
[AC-wlan-ap-2-radio-1] quit
[AC-wlan-ap-2] quit
# 在AC上通過display wlan service-template命令可以查看服務模板的配置情況。
[AC] display wlan service-template stname verbose
Service template name : stname
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless-roam status : Disabled
Seamless-roam RSSI threshold : 50
Seamless-roam RSSI gap : 20
VLAN ID : 1
AKM mode : 802.1X
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : 802.1X
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : imc
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT Status : Enable
FT Method : over-the-ds
FT Reassociation Deadline : 20 sec
QoS trust : Port
QoS priority : 0
# 客戶端上線後,在AC上通過display wlan client verbose命令可以看到結果如下。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 1
AP name : 1
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e266-7788
VLAN ID : 1
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Encryption cipher : CCMP
User authentication mode : 802.1X
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 1minutes 13seconds
FT status : Active
# 客戶端漫遊成功後,在AC上通過display wlan client verbose命令可以看到結果如下。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : 2
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e211-2233
VLAN ID : 1
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : FT
Security mode : RSN
AKM mode : 802.1X
Encryption cipher : CCMP
User authentication mode : 802.1X
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : Intra-AC roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Active
如圖2-12所示,客戶端在不同Radio間進行漫遊,使用Over-the-DS方式,通過PSK模式對客戶端進行身份認證與密鑰管理。
圖2-12 FT Over-the-DS方式PSK身份認證與密鑰管理模式配置組網圖
# 創建無線服務模板acstname。
<AP> system-view
[AP] wlan service-template acstname
# 配置無線服務的SSID為service。
[AP-wlan-st-acstname] ssid service
# 配置身份認證與密鑰管理的模式是PSK模式,配置使用明文字符串12345678作為PSK密鑰。
[AP-wlan-st-acstname] akm mode psk
[AP-wlan-st-acstname] preshared-key pass-phrase simple 12345678
# 配置AES-CCMP加密套件,配置在AP發送信標和探查響應幀時攜帶RSN IE。
[AP-wlan-st-acstname] cipher-suite ccmp
[AP-wlan-st-acstname] security-ie rsn
# 開啟FT功能。
[AP-wlan-st-acstname] ft enable
# 配置重關聯超時時間為50秒。
[AP-wlan-st-acstname] ft reassociation-timeout 50
# 配置FT方式為Over-the-DS。
[AP-wlan-st-acstname] ft method over-the-ds
# 使能無線服務。
[AP-wlan-st-acstname] service-template enable
[AP-wlan-st-acstname] quit
# 將無線服務模板acstname綁定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template acstname
[AP-WLAN-Radio1/0/1] quit
# 將無線服務模板acstname綁定到WLAN-Radio 1/0/2接口。
[AP] interface wlan-radio 1/0/2
[AP-WLAN-Radio1/0/2] undo shutdown
[AP-WLAN-Radio1/0/2] service-template acstname
# 在AP上通過display wlan service-template命令可以查看服務模板的配置情況。
[AP] display wlan service-template acstname verbose
Service template name : acstname
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless-roam status : Disabled
Seamless-roam RSSI threshold : 50
Seamless-roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : PSK
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT Status : Enable
FT Method : over-the-ds
FT Reassociation Deadline : 50 sec
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Disabled
# 客戶端上線後,在AP上通過display wlan client verbose命令可以查看客戶端的詳細信息。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 1
AP name : 1
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e266-7788
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : RSN
AKM mode : PSK
Encryption cipher : CCMP
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 1minutes 13seconds
FT status : Active
# 客戶端漫遊成功後,在AP上通過display wlan client verbose命令,可以看到結果如下。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : 2
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e211-2233
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : FT
Security mode : RSN
AKM mode : PSK
Encryption cipher : CCMP
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : Intra-AP roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Active
如圖2-12所示,客戶端在不同Radio間進行漫遊,使用Over-the-DS方式,通過802.1X模式對客戶端進行身份認證與密鑰管理。
# 創建無線服務模板stname。
<AP> system-view
[AP] wlan service-template stname
# 配置無線服務的SSID為service。
[AP-wlan-st-stname] ssid service
# 配置身份認證與密鑰管理的模式是802.1X模式。
[AP-wlan-st-stname] akm mode dot1x
# 配置AES-CCMP加密套件,配置在AP發送信標和探查響應幀時攜帶RSN IE。
[AP-wlan-st-stname] cipher-suite ccmp
[AP-wlan-st-stname] security-ie rsn
# 配置客戶端安全認證方式為802.1X。
[AP-wlan-st-stname] client-security authentication-mode dot1x
[AP-wlan-st-stname] dot1x domain imc
# 開啟FT功能。
[AP-wlan-st-stname] ft enable
# 配置FT方法為Over-the-DS。
[AP-wlan-st-stname] ft method over-the-ds
# 使能無線服務。
[AP-wlan-st-stname] service-template enable
[AP-wlan-st-stname] quit
# 配置802.1X認證方式為EAP。
[AP] dot1x authentication-method eap
# 創建RADIUS方案imcc。配置主認證服務器的IP地址為10.1.1.3,與認證服務器交互報文時的共享密鑰為明文12345678。配置主計費服務器的IP地址為10.1.1.3,與計費服務器交互報文時的共享密鑰為明文12345678。配置發送給RADIUS服務器的用戶名不帶ISP域名。
[AP] radius scheme imcc
[AP-radius-imcc] primary authentication 10.1.1.3
[AP-radius-imcc] primary accounting 10.1.1.3
[AP-radius-imcc] key authentication simple 12345678
[AP-radius-imcc] key accounting simple 12345678
[AP-radius-imcc] user-name-format without-domain
[AP-radius-imcc] quit
# 創建認證域並配置使用RADIUS方案進行認證、授權、計費。
[AP] domain imc
[AP-isp-imc] authentication lan-access radius-scheme imcc
[AP-isp-imc] authorization lan-access radius-scheme imcc
[AP-isp-imc] accounting lan-access radius-scheme imcc
[AP-isp-imc] quit
# 將無線服務模板stname綁定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template stname
[AP-WLAN-Radio1/0/1] quit
# 將無線服務模板stname綁定到WLAN-Radio 1/0/2接口。
[AP] interface wlan-radio 1/0/2
[AP-WLAN-Radio1/0/2] undo shutdown
[AP-WLAN-Radio1/0/2] service-template stname
# 在AP上通過display wlan service-template命令可以查看服務模板的配置情況。
[AP] display wlan service-template stname verbose
Service template name : stname
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless-roam status : Disabled
Seamless-roam RSSI threshold : 50
Seamless-roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : 802.1X
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : 802.1X
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : imc
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT Status : Enable
FT Method : over-the-ds
FT Reassociation Deadline : 20 sec
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Disabled
# 客戶端上線後,在AP上通過display wlan client verbose命令可以看到結果如下。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 1
AP name : 1
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e266-7788
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Encryption cipher : CCMP
User authentication mode : 802.1X
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 1minutes 13seconds
FT status : Active
# 客戶端漫遊成功後,在AP上通過display wlan client verbose命令可以看到結果如下。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : 2
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e211-2233
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : FT
Security mode : RSN
AKM mode : 802.1X
Encryption cipher : CCMP
User authentication mode : 802.1X
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : Intra-AP roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Active
802.11v的核心功能是BTM(BSS Transition Management,BSS切換管理),它主要用來通知802.11v無線客戶端離開當前BSS,接入更合適的AP,從而提高802.11v無線客戶端的接入質量。如圖2-13所示,BSS切換管理的基本流程如下:
(1) 802.11v無線客戶端RSSI值過低或找到一個更合適的AP時,會主動向AP發送BSS切換查詢,請求連接到其它BSS上。AP接收到客戶端的BSS切換查詢後,會向其發送BSS切換請求。
(2) 802.11v無線客戶端接收到BSS切換請求後,有可能向AP發送切換響應,通知AP BSS切換的結果。
(3) 經過一段時間後,若無線客戶端還未離開當前BSS,AP會主動向無線客戶端發送解除關聯請求,強製無線客戶端下線。
圖2-13 BSS切換管理
802.11v功能目前僅支持同一AC內的漫遊組網方式。
本功能隻能在無線服務模板處於關閉狀態時配置。
建議開啟BSS切換管理功能的同時,通過bss transition-management disassociation命令配置BSS切換解除關聯時間,否則某些客戶端可能無法進行BSS切換。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟BSS切換管理功能。
bss transition-management enable
缺省情況下,BSS切換管理功能處於關閉狀態。
配置BSS切換解除關聯功能後,當設備收到無線客戶端發送的BSS切換查詢時,會向無線客戶端發出請求切換BSS,引導客戶端進行BSS切換。
若配置了強製客戶端進行BSS切換,則當超過配置的BSS切換解除關聯時間客戶端還未離開時,設備會強製斷開與客戶端的連接,請謹慎使用該功能。
隻有開啟了BSS切換管理功能,BSS切換解除關聯功能才能生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置BSS切換解除關聯功能。
bss transition-management disassociation { forced | recommended } [ timer time ]
缺省情況下,BSS切換解除關聯功能處於開啟狀態,即設備會推薦客戶端進行BSS切換,推薦解除關聯時間為90s。
如圖2-14所示,通過BSS切換管理功能,當AP發現802.11v無線客戶端RSSI值過低時,會對客戶端進行BSS切換管理引導,引導客戶端去更合適的AP上線。
圖2-14 BSS典型配置組網圖
# 創建無線服務模板service。
<AC> system-view
[AC] wlan service-template service
# 配置無線服務的SSID為service。
[AC-wlan-st-service] ssid service
# 開啟BSS切換管理功能。
[AC-wlan-st-service] bss transition-management enable
# 配置切換解除關聯時間為45秒。
[AC-wlan-st-service] bss transition-management disassociation recommended timer 45
# 使能無線服務。
[AC-wlan-st-service] service-template enable
[AC-wlan-st-service] quit
# 創建AP,名稱為ap1,開啟獲取BSS候選列表功能並將無線服務模板service綁定到AP 1的Radio1上。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] sacp roam-optimize bss-candidate-list enable
[AC-wlan-ap-ap1-radio-1] service-template service
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 在AC上通過display wlan service-template命令可以查看BSS切換管理功能處於開啟狀態。
[AC] display wlan service-template service verbose
Service template name : service
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Disabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : Not configured
Security IE : Not configured
Cipher suite : Not configured
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 512
Max MAC-auth users per BSS : 512
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Enabled
# 在AC上通過display wlan client命令可以查看客戶端已經上線,經過45秒後,在查看客戶端,發現已經被強製下線。
<AC> display wlan client
Total number of clients: 3
MAC address Username AP name R IP address VLAN
4581-61ac-885a N/A ap1 1 192.168.66.230 1
如圖2-15所示,通過BSS切換管理功能,當AP發現802.11v無線客戶端RSSI值過低時,會對客戶端進行BSS切換管理引導,引導客戶端去更合適的AP上線。
圖2-15 BSS典型配置組網圖
# 創建無線服務模板service。
<AP> system-view
[AP] wlan service-template service
# 配置無線服務的SSID為service。
[AP-wlan-st-service] ssid service
# 開啟BSS切換管理功能。
[AP-wlan-st-service] bss transition-management enable
# 配置切換解除關聯時間為45秒。
[AP-wlan-st-service] bss transition-management disassociation recommended timer 45
# 使能無線服務。
[AP-wlan-st-service] service-template enable
[AP-wlan-st-service] quit
# 開啟獲取BSS候選列表功能。
[AP] sacp roam-optimize bss-candidate-list enable
# 將無線服務模板service1綁定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template service1
[AP-WLAN-Radio1/0/1] quit
# 在AP上通過display wlan service-template命令可以查看BSS切換管理功能處於開啟狀態。
[AP] display wlan service-template service verbose
Service template name : service
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Disabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : Not configured
Security IE : Not configured
Cipher suite : Not configured
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 512
Max MAC-auth users per BSS : 512
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Enabled
# 在AP上通過display wlan client命令可以查看客戶端已經上線,經過45秒後,在查看客戶端,發現已經被強製下線。
<AC> display wlan client
Total number of clients: 3
MAC address Username R IP address VLAN
4581-61ac-885a N/A 1 192.168.66.230 1
開啟虛擬BSS漫遊功能的多個AP為客戶端提供統一的虛擬服務,客戶端選擇接入一個AP後,其餘AP實時監控客戶端的信號強度。當AC發現其它AP能夠比當前AP提供更高質量的服務時,將指定新AP為客戶端提供無線服務。
如圖2-16所示,無線網絡中存在兩個AP,虛擬BSS漫遊的實現方式如下所述:
(1) AP上開啟虛擬BSS漫遊功能後,當網絡中的AP收到來自客戶端的Probe Request幀,AC會為該客戶端生成一個虛擬的服務,該虛擬服務的BSSID將由AC的橋MAC地址、AP ID和客戶端的MAC地址組成,AP會用這個虛擬BSSID來與客戶端進行交互。
(2) 如果客戶端選擇通過AP 1上線,則AC會將AP 1的虛擬BSSID通告到AP 2上。AP 2將替換本地的虛擬BSSID,並監控該客戶端的信號強度。
(3) 當AC發現AP 2對客戶端而言服務質量更好時,即AP 2接收到客戶端報文的RSSI(Received Signal Strength Indicator,接收信號強度指示)值達到/超過RSSI門限值,並且與AP 1所接收到的客戶端報文RSSI值的差值達到/超過RSSI差值門限,那麼AC將指定AP 2為客戶端提供無線服務。
由於客戶端始終使用相同的虛擬BSSID發送數據,所以即使為客戶端提供無線服務的AP發生變化,對客戶端而言使用的無線服務卻是相同的。
圖2-16 虛擬BSS漫遊示意圖
虛擬BSS漫遊功能是針對無線服務模板的,對某個無線服務模板配置虛擬BSS漫遊功能後,僅對接入該無線服務模板的客戶端進行漫遊,通過其它無線服務模板接入的客戶端不受影響。
虛擬BSS漫遊目前僅支持同一AC內的漫遊組網方式。
(1) 進入係統視圖。
system-view
(2) 進入服務模板視圖。
wlan service-template service-template-name
(3) 開啟虛擬BSS漫遊功能。
seamless-roaming enable
缺省情況下,虛擬BSS漫遊功能處於關閉狀態。
(4) 配置虛擬BSS漫遊RSSI門限和RSSI差值。
seamless-roaming switch rssi-threshold value [ rssi-gap gap-value ]
缺省情況下,虛擬BSS漫遊RSSI門限值為50,RSSI差值門限為20。
協同漫遊是我司研發的結合IEEE802.11k、IEEE802.11r和IEEE802.11v協議的一種漫遊技術,由AP和無線客戶端協同引導,實現了無線客戶端在一個ESS(Extended Service Set,拓展服務集)區域中的無縫漫遊。其中:
· 802.11k協議中定義的Beacon射頻測量功能,實現了對2.4GHz和5GHz頻段的信道質量及可用資源性能的監控。
· 802.11r協議中定義的FT(Fast BSS Transition,快速BSS切換)功能用來減少客戶端在漫遊過程中的時間延遲,從而降低連接中斷概率、提高漫遊服務質量。
· 802.11v協議中定義的BTM(BSS Transition Management,BSS切換管理)功能用來被動引導支持802.11v協議的無線客戶端離開當前BSS,接入更合適的AP,從而提高802.11v無線客戶端的接入質量。
· 協同漫遊功能新增支持通過AP監測802.11v無線客戶端信號強度,主動引導無線客戶端接入更合適的服務。
協同漫遊目前僅支持同一AC內的漫遊組網方式,且協同漫遊要求AP必須支持Wi-Fi 6標準。
開啟無線客戶端反粘滯功能後,AP將按照配置的時間間隔檢測無線客戶端的信號強度。當無線客戶端信號強度低於門限值時:
· 若該無線客戶端關聯過程中協商為支持802.11v協議,則按照BSS切換管理功能,引導無線客戶端連接到其它的BSS。
· 若該無線客戶端關聯過程中協商為不支持802.11v協議,則不會引導無線客戶端連接到其它BSS上。
對於無線客戶端頻繁進行BSS切換的場景,建議配置基於ACL的無線客戶端反粘滯,通過將不同類型客戶端加入到不同ACL中,由設備對不同類型的客戶端根據ACL下配置的信號強度門限值進行針對性反粘滯控製。
隻有開啟了無線客戶端反粘滯功能,基於ACL對無線客戶端進行反粘滯才能生效。
同一AP的同一射頻下僅支持綁定一個ACL規則。
可以通過display wlan client verbose命令查看客戶端信號強度RSSI,根據該RSSI,配置基於ACL的無線客戶端反粘滯RSSI。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組ap-model視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 請依次執行以下命令進入AP組ap-model視圖。
wlan ap-group group-name
ap-model ap-model
(3) 進入Radio視圖。
radio radio-id
(4) 配置無線客戶端反粘滯功能。
sacp anti-sticky { disable | enable [ rssi rssi-value ] [ interval interval ] [ forced-logoff ] }
缺省情況下:
Radio視圖:繼承AP組Radio配置。
AP組Radio視圖:無線客戶端反粘滯功能處於開啟狀態。
(5) (可選)配置基於ACL的無線客戶端反粘滯。
Radio視圖:
sacp anti-sticky acl { acl-number rssi rssi-value | remove }
AP組Radio視圖:
sacp anti-sticky acl acl-number [ rssi rssi-value ]
缺省情況下:
Radio視圖:繼承AP組Radio配置。
AP組Radio視圖:未配置基於ACL的無線客戶端反粘滯。
配置基於ACL的無線客戶端反粘滯後,若指定remove關鍵字,則表示該Radio不基於ACL進行無線客戶端反粘滯。
(1) 進入係統視圖。
system-view
(2) 進入WLAN射頻接口視圖。
interface wlan-radio interface-number
(3) 配置無線客戶端反粘滯功能。
sacp anti-sticky { disable | enable [ rssi rssi-value ] [ interval interval ] [ forced-logoff ] }
缺省情況下,無線客戶端反粘滯功能處於開啟狀態。
開啟獲取BSS候選列表功能後,AP將按照配置的時間間隔周期性地向支持Beacon測量的客戶端發送Beacon Request幀以請求獲取無線客戶端檢測到的BSS信息,無線客戶端通過Beacon Report幀上報當前工作信道檢測到的BSS信息。關閉該功能後,已獲取到的BSS候選列表的BSS信息到達老化時間後會被刪除。
開啟BSS切換管理功能後,設備將使用BSS候選列表的BSS信息,引導無線客戶端漫遊到信號質量更好的無線服務上。
僅對配置本功能後新上線的無線客戶端生效。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組ap-model視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 請依次執行以下命令進入AP組ap-model視圖。
wlan ap-group group-name
ap-model ap-model
(3) 進入Radio視圖。
radio radio-id
(4) 配置獲取BSS候選列表功能。
sacp roam-optimize bss-candidate-list { disable | enable [ interval interval ] }
缺省情況下:
Radio視圖:繼承AP組Radio配置。
AP組Radio視圖:獲取BSS候選列表功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WLAN射頻接口視圖。
interface wlan-radio interface-number
(3) 配置獲取BSS候選列表功能。
sacp roam-optimize bss-candidate-list { disable | enable [ interval interval ] }
缺省情況下,獲取BSS候選列表功能處於關閉狀態。
漫遊優化流量保持高級功能開啟期間,當設備檢測到客戶端信號強度低於無線客戶端反粘滯功能配置的門限值時,會緩存需要發送給客戶端的數據報文,一段時間後,再將緩存的數據報文發送給客戶端,減少了客戶端信號強度較弱情況下的丟包數量。關閉本功能後,設備一段時間後會對緩存的數據報文做老化處理,不再重新發送給客戶端。對於開啟了無線客戶端反粘滯控製功能的協同漫遊場景,建議開啟本功能。
本功能僅當客戶端關聯位置和數據報文轉發位置在AC上時生效。
本功能不支持分層AC組網。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟漫遊優化流量保持高級功能。
sacp roam-optimize traffic-hold enable advanced
缺省情況下,漫遊優化流量保持高級功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後協同漫遊的運行情況,通過查看顯示信息驗證配置效果。
· display wlan service-template命令及display wlan client命令的詳細信息,請參見“WLAN命令參考”中的“WLAN接入”。
· display wlan ap name running-configuration命令的詳細信息,請參見“WLAN命令參考”中的“AP管理”。
表2-1 協同漫遊顯示和維護
|
操作 |
命令 |
|
顯示指定AP或所有AP的運行配置 |
display wlan ap { all | name ap-name } running-configuration [ verbose ] |
|
顯示客戶端的信息 |
display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name | frequency-band { 2.4 | 5 } | vlan vlan-id ] [ verbose ] |
|
顯示客戶端上報的射頻資源測量能力集 |
display wlan client rm-capabilities [ mac-address mac-address ] |
|
顯示無線客戶端的遷移曆史信息 |
display wlan sacp move-history [ mac-address mac-address ] |
|
顯示無線服務模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後協同漫遊的運行情況,通過查看顯示信息驗證配置效果。
display wlan service-template命令及display wlan client命令的詳細信息,請參見“WLAN命令參考”中的“WLAN接入”。
表2-2 協同漫遊顯示和維護
|
操作 |
命令 |
|
顯示客戶端的信息 |
display wlan client [ interface wlan-radio interface-number | mac-address mac-address | service-template service-template-name | vlan vlan-id ] [ verbose ] |
|
顯示客戶端上報的射頻資源測量能力集 |
display wlan client rm-capabilities [ mac-address mac-address ] |
|
顯示無線服務模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
如圖2-17所示,網絡中的大部分無線客戶端支持802.11k和802.11v協議,通過配置協同漫遊功能,實現無線客戶端在一個ESS(Extended Service Set,拓展服務集)區域中的無縫漫遊。
· 配置設備接口IP地址及路由,保證各設備之間路由可達。
· 當網絡中的大部分無線客戶端不支持802.11k和802.11v協議時,隻需要配置BSS切換管理功能、切換解除管理功能、反粘滯功能以及漫遊優化流量保持高級功能,即可實現無線客戶端在一個ESS區域中的無縫漫遊。
# 創建無線服務模板wifi6_zero。
<AC> system-view
[AC] wlan service-template wifi6_zero
# 配置無線服務的SSID為wifi6_zero。
[AC-wlan-st-wifi6_zero] ssid wifi6_zero
# 開啟BSS切換管理功能。
[AC-wlan-st-wifi6_zero] bss transition-management enable
# (可選)配置切換解除關聯功能。
[AC-wlan-st-wifi6_zero] bss transition-management disassociation recommended timer 45
# (可選)開啟漫遊優化流量保持高級功能。
[AC-wlan-st-wifi6_zero] sacp roam-optimize traffic-hold enable advanced
# 開啟FT功能。
[AC-wlan-st-wifi6_zero] ft enable
如果網絡中存在的客戶端型號較早而不支持FT協議,建議不開啟本功能。
# 使能無線服務。
[AC-wlan-st-wifi6_zero] service-template enable
[AC-wlan-st-wifi6_zero] quit
# 創建手工AP,名稱為ap1,序列號為219801A28N819CE0002T。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 開啟射頻資源測量功能。
[AC-wlan-ap-ap1-radio-1] resource-measure enable
# (可選)開啟獲取BSS候選列表功能。
[AC-wlan-ap-ap1-radio-1] sacp roam-optimize bss-candidate-list enable
# (可選)配置射頻每2秒進行信號強度檢測,在支持802.11v的無線客戶端信號強度低於-30dBm時,引導其進行BSS切換,對不支持802.11v的客戶端強製下線處理。
[AC-wlan-ap-ap1-radio-1] sacp anti-sticky enable rssi 30 interval 2 forced-logoff
# 將無線服務模板wifi6_zero綁定到ap1的Radio1上。
[AC-wlan-ap-ap1-radio-1] service-template wifi6_zero
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# (可選)配置對無線客戶端進行差異化反粘滯管控製。
當網絡中存在不同類型的客戶端且客戶端發射功率差異較大,出現AP上行檢測出的客戶端信號強度差異較大時,建議配置基於ACL對無線客戶端進行差異化反粘滯控製。
· 創建ACL規則,將CCC9-5DE2-512D終端按照OUI匹配規則加入到弱信號ACL匹配規則中。
[AC] acl number 4500
[AC-acl-mac-4500] rule permit source-mac ccc9-5de2-512d ffff-ff00-0000
[AC-acl-mac-4500] quit
· 指定編號為4500的ACL匹配的無線客戶端,在信號強度低於-25dBm時,由AP引導其進行BSS切換。
[AC] wlan ap ap1
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] sacp anti-sticky acl 4500 rssi 25
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
· # 在AC上通過display wlan service-template命令可以查看BSS切換管理功能處於開啟狀態。
[AC] display wlan service-template wifi6_zero verbose
Service template name : wifi6_zero
Description : Not configured
SSID : wifi6_zero
SSID-hide : Disabled
User-isolation : Disabled
Service template status : enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : Not configured
Security IE : Not configured
Cipher suite : Not configured
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Enabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 512
Max MAC-auth users per BSS : 512
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT status : Enabled
FT method : Over-the-air
FT reassociation deadline : 20 sec
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Enabled
· # 在AC上通過display wlan client rm-capabilities命令可以查看到新接入客戶端的射頻資源能力支持情況。
[AC] display wlan client rm-capabilities
Total number of clients: 1
MAC address : ccc9-5de2-512d
Neighbor report capability : Disabled
Beacon passive measurement : Enabled
Beacon active measurement : Enabled
Beacon table measurement : Disabled
· # 在AC上通過display wlan client verbose命令可以查看新接入客戶端支持802.11v BSS切換管理功能。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : ccc9-5de2-512d
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : ap1
Radio ID : 1
Channel : 64
SSID : wifi6_zero
BSSID : 0026-3e08-1150
VLAN ID : 1
VLAN ID2 : N/A
Sleep count :0
Wireless mode : 802.11ax
Channel bandwidth : 80MHz
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
5G 40And80MHz Channel bandwidth : Supported
5G 160MHz Channel bandwidth : Not Supported
5G 8080MHz Channel bandwidth : Not Supported
OFDMA random access RUs : Not supported
Supported HE-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11
TWT scheduled : no
QoS mode : WMM
Listen interval : 20
RSSI : 40
Rx/Tx rate : 54/6 Mbps
Speed : 0.968/0.104 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
WPA3 status : N/A
Authorization CAR : N/A
Authorization ACL ID : N/A
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 1minutes 53seconds
FT status : Inactive
BTM status : Active
· # 在AC上通過display wlan ap name ap1 running-config命令可以查看該AP下Radio 1生效的相關配置。
[AC] display wlan ap all running-configuration verbose
(i) -- Inherited from AP group
(g) -- Inherited from AP global-configuration
#
wlan ap ap1 model WA6320 id 2
ap group name default-group
serial-id 219801A28N819CE0002T
region code CN (g)
echo interval 10 (i)
…略…
radio 1
radio type 802.11ax
radio enable
channel auto<52> (i)
channel unlock (i)
fragment-threshold 2346 (i)
max-power 20 (i)
power unlock (i)
distance 1 kilometer (i)
ANI Enabled (i)
…略…
sacp anti-sticky enable rssi 35 interval 2 forced-logoff 1
sacp anti-sticky acl 4500 rssi 30
radio 2
radio type 802.11n(2.4GHz) (i)
radio disable (i)
channel auto<11> (i)
channel unlock (i)
fragment-threshold 2346 (i)
max-power 20 (i)
power unlock (i)
distance 1 kilometer (i)
ANI Enabled (i)
…略…
sacp anti-sticky enable rssi 20 interval 3 forced-logoff 0 (i)
sacp anti-sticky acl disable (i)
多個設備可以加入一個相同的組,客戶端可以在組內漫遊,該組即為漫遊組,在漫遊組漫遊期間,客戶端的IP地址、授權信息等維持不變,可以實現客戶端在更大物理區域內的漫遊。
· IADTP(Inter Access Device Tunneling Protocol,接入設備間隧道協議):H3C私有隧道協議,該協議提供了設備間報文的通用封裝和傳輸機製。提供漫遊服務的設備之間會建立IADTP隧道,用於保證設備間控製報文以及客戶端漫遊信息的安全傳輸。
· HA(Home-AC):一個客戶端首次與IADTP隧道內的某個AC進行關聯,該AC即為它的HA。
· FA(Foreign-AC):客戶端跨AC漫遊後,客戶端與某個不是HA的AC進行關聯,該AC即為FA。
· HA(Home-AP):一個客戶端首次與IADTP隧道內的某個AP進行關聯,該AP即為它的HA。
· FA(Foreign-AP):客戶端跨AP漫遊後,客戶端與某個不是HA的AP進行關聯,該AP即為FA。
· 漫遊組:多個設備可以加入一個相同的組,客戶端可以在組內漫遊,該組即為漫遊組。
如圖3-1所示,客戶端從一個AC內的AP漫遊到另一個AC內的AP上接入。該組網方式下,通過創建漫遊組,統一管理參與漫遊的AC,沒有加入漫遊組的AC將不參與漫遊。
客戶端完成AC間漫遊的過程如下:
(1) 客戶端在AP 2上初始上線,在AC 1上會創建該客戶端的漫遊表項,並通過IADTP隧道將漫遊表項同步到漫遊組成員AC 2上;
(2) 客戶端漫遊到AP 3,AC 2查找該客戶端的漫遊表項,如果是RSN+802.1X認證方式,且客戶端攜帶的PMKID和設備緩存的PMKID一致,則對其進行快速漫遊,其他情況,則不對其進行快速漫遊;
(3) 如果進行快速漫遊,客戶端不需要再次認證,即可在AP 3上成功上線;否則需要重新認證;
(4) 客戶端在AP 3上線,AC 2會給AC 1發送漫遊請求消息;
(5) AC 1收到漫遊請求消息,並校驗漫遊信息是否正確。如果校驗失敗,則給AC 2回複漫遊失敗的漫遊響應消息。如果校驗成功,AC 1添加該客戶端的漫遊軌跡和漫出信息,並給AC 2回複漫遊成功的漫遊響應信息;
(6) AC 2收到AC 1回複的漫遊響應信息。如果漫遊失敗,AC 2將通知客戶端下線;如果漫遊成功,AC 2添加該客戶端的漫入信息。
圖3-1 漫遊組網方式示意圖
如圖3-2所示,客戶端從AP 1漫遊到AP 2上接入。該組網方式下,通過創建漫遊組,統一管理參與漫遊的FAT AP,沒有加入漫遊組的FAT AP將不參與漫遊。
客戶端完成FAT AP間漫遊的過程如下:
(1) 客戶端在AP 1上初始上線,在AP 1上會創建該客戶端的漫遊表項,並通過IADTP隧道將漫遊表項同步到漫遊組成員AP 2上;
(2) 客戶端漫遊到AP 2,AP 2查找該客戶端的漫遊表項,如果是RSN+802.1X認證方式,且客戶端攜帶的PMKID和設備緩存的PMKID一致,則對其進行快速漫遊,其他情況,則不對其進行快速漫遊;
(3) 如果進行快速漫遊,客戶端不需要再次認證,即可在AP 2上成功上線;否則需要重新認證;
(4) 客戶端在AP 2上線,AP 2會給AP 1發送漫遊請求消息;
(5) AP 1收到漫遊請求消息,並校驗漫遊信息是否正確。如果校驗失敗,則給AP 2回複漫遊失敗的漫遊響應消息。如果校驗成功,AP 1添加該客戶端的漫遊軌跡和漫出信息,並給AP 2回複漫遊成功的漫遊響應信息;
(6) AP 2收到AP 1回複的漫遊響應信息。如果漫遊失敗,AP 2將通知客戶端下線;如果漫遊成功,AP 2添加該客戶端的漫入信息。
圖3-2 漫遊組實現方式示意圖
漫遊組中的成員設備分為如下角色:
· Client端:負責發起連接建立請求。
· Server端:監聽並應答連接建立請求。
缺省情況下,IP地址小的成員設備作為Client端,IP地址大的成員設備作為Server端。如果漫遊組成員設備跨NAT設備,則需要手工指定成員設備在漫遊組中的角色。
設備間建立IADTP隧道的具體過程如下:
(1) Device A向Device B發送Join Request報文。
(2) Device B收到Join Request報文後,根據本地配置和報文內容判斷是否和Device A屬於同一漫遊組。當屬於同一漫遊組時,回複Result Code為成功的Join Response報文;否則,回複Result Code為失敗的Join Response報文。
(3) Device A收到Result Code為成功的Join Response報文後,會向Device B發送Join Confirm報文,建立IADTP隧道;否則,不回複報文。
(4) Device B收到Join Confirm報文後,建立IADTP隧道。
圖3-3 IADTP隧道建立過程
配置漫遊組,需要注意以下事項:
· 對於配置用戶接入認證位置在AP的無線服務模板,不支持客戶端漫遊。有關用戶接入認證位置相關配置的詳細介紹請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
· 如果存在RSN+802.1X認證方式的客戶端,且客戶端所屬的VLAN不同時,同一漫遊組內的設備上行接口需要允許所有RSN+802.1X認證方式的客戶端VLAN通過。
漫遊組配置任務如下:
(1) 創建漫遊組
(2) (可選)配置漫遊組認證模式
(5) (可選)配置設備發送的IADTP隧道控製報文的DSCP優先級
(6) 添加漫遊組內的成員
在手動和自動添加漫遊組內的成員設備中選擇一項任務進行配置:
(7) (可選)配置本成員設備在漫遊組中的角色
(8) (可選)關閉IADTP數據隧道功能
(9) (可選)開啟漫遊中繼功能
(10) 開啟漫遊組功能
(11) (可選)開啟漫遊組隧道隔離功能
(12) (可選)開啟漫遊組告警功能
屬於同一個漫遊組的每個設備上都必須創建漫遊組,並互相添加漫遊組成員。每個設備上隻允許創建一個漫遊組。
(1) 進入係統視圖。
system-view
(2) 創建漫遊組,並進入漫遊組視圖。
wlan mobility group group-name
配置認證模式後,所有在IADTP隧道中傳輸的控製消息都會附帶一個摘要(完整性代碼),當設備接收到控製消息後會使用相同的算法對消息內容進行計算,並與消息中所攜帶的摘要進行比較,以驗證收到的消息的完整性。目前,漫遊組認證模式僅支持MD5認證算法。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置漫遊組認證模式。
authentication-mode authentication-mode { cipher | simple } string
缺省情況下,未配置漫遊組認證模式。
創建漫遊組之後,必須指定漫遊組隧道IP地址類型。隻有設備加入漫遊組時建立IADTP隧道的源IP地址與隧道IP地址類型相同,設備加入漫遊組時才會生效並建立隧道。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置漫遊組IADTP隧道IP地址類型。
tunnel-type { ipv4 | ipv6 }
缺省情況下,IADTP隧道IP地址類型為IPv4。
設備在加入漫遊組後需要使用IADTP隧道源IP地址和同一漫遊組內成員設備建立IADTP隧道。
配置設備加入漫遊組時建立IADTP隧道的源IP地址,需要注意的是:
· 隻能在漫遊組處於關閉狀態的情況下,才能指定設備加入漫遊組時建立IADTP隧道的源IP地址。
· 可以同時配置IPv4和IPv6類型的源地址,每種類型的源地址隻能配置一個。
· 隻有與漫遊組IADTP隧道IP地址類型相同的源地址可以生效。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置設備加入漫遊組時建立IADTP隧道的源IP地址。
source { ip ipv4-address | ipv6 ipv6-address }
缺省情況下,未配置建立IADTP隧道的源IP地址。
DSCP(Differentiated Services Code Point,差分服務編碼點)攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。配置的DSCP優先級的取值越大,報文的優先級越高。
跨NAT設備建立IADTP隧道時,需要借助IPsec隧道功能完成IADTP控製隧道的加密和數據隧道的建立及加密。由於控製報文和數據報文缺省DSCP優先級都為0,當漫遊隧道通過IPsec加密後,為了防止在IADTP隧道繁忙時,成員設備因為長時間接收不到IADTP隧道保活報文而斷開IADTP隧道的連接,需要提高IADTP隧道保活報文發送的優先級。
建議配置設備發送的IADTP隧道控製報文的DSCP優先級為63。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置設備發送的IADTP隧道控製報文的DSCP優先級。
tunnel-dscp dscp-value
缺省情況下,設備發送的IADTP隧道控製報文的DSCP優先級為0。
漫遊組內的成員設備通過IP地址標識,該IP地址為成員設備建立IADTP隧道的源IP地址。漫遊組內可以同時添加IPv4和IPv6類型的漫遊組成員,但是隻有與隧道類型相同的成員可以生效。當指定了漫遊組內的成員設備所屬VLAN後,漫遊組內的其他設備就可以直接轉發屬於該VLAN的客戶端的數據流量,而無需客戶端漫遊到該設備上。
每一個成員隻能屬於一個漫遊組,並且一個漫遊組中最多可以添加31個IPv4漫遊組成員或31個IPv6漫遊組成員。配置漫遊組內的成員設備所屬VLAN後,該VLAN不能在應用於其它接口或業務。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 添加漫遊組內的成員設備。
member { ip ipv4-address | ipv6 ipv6-address } [ vlan vlan-id-list ]
漫遊組內的成員設備通過IP地址標識,該IP地址為成員設備建立IADTP隧道的源IP地址。漫遊組內可以同時添加IPv4和IPv6類型的漫遊組成員,但是隻有與隧道類型相同的漫遊組成員可以生效。
開啟漫遊組成員自動添加功能後,要加入漫遊組的設備會通過自動添加成員設備報文在漫遊組內廣播自己的IP地址。漫遊組的其它開啟自動添加功能的設備收到廣播報文後與要加入漫遊組的設備建立IADTP隧道。隧道建立成功後,則設備成功加入漫遊組。
每一個成員隻能屬於一個漫遊組,並且一個漫遊組中最多可以添加31個IPv4漫遊組成員或31個IPv6漫遊組成員,當漫遊組成員達到最大數量後,當前設備不會再與其它設備建立IADTP隧道。
隻能自動添加同一網段內的漫遊組成員設備。
配置自動添加漫遊組內的成員設備之前,請先通過source命令配置成員設備加入漫遊組時建立IADTP隧道的源IP地址。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 開啟漫遊組成員自動添加功能。
member auto-discovery [ interval interval ]
缺省情況下,漫遊組成員自動添加功能處於關閉狀態。
當漫遊組成員設備間跨NAT設備建立IADTP隧道時,外網設備無法主動向內網設備發起連接請求。缺省情況下IP地址小的成員設備作為Client端發起連接建立請求,IP地址大的成員設備作為Server端監聽並應答連接建立請求,通過報文的交互最終完成IADTP隧道的建立。此時,如果外網設備的IP地址小於內網設備的IP地址,將無法建立IADTP隧道。在這種情況下,需要通過配置內網成員設備作為Client端發起連接建立請求,以便完成IADTP隧道的建立。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置本成員設備在漫遊組中的角色。
role { client | server }
缺省情況下,漫遊組中IP地址大的成員設備作為Server端,IP地址小的成員設備作為Client端。
為了減輕漫遊組成員設備處理IADTP數據隧道上接收的廣播報文的負擔,並減少設備維護IADTP數據隧道的資源消耗,如果客戶端漫遊後所在的VLAN在當前成員設備上有業務出口,可以通過本功能關閉IADTP數據隧道,不再通過IADTP數據隧道轉發客戶端數據,直接通過業務出口轉發。如果客戶端漫遊後所在的VLAN在當前成員設備上沒有業務出口,不能關閉IADTP數據隧道功能,否則會造成客戶端數據丟失。
漫遊組內所有成員設備需要同時開啟或者關閉IADTP數據隧道功能。
本功能隻能在漫遊組功能處於關閉狀態時配置。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 關閉IADTP數據隧道功能。
data-tunnel disable
缺省情況下,IADTP數據隧道功能處於開啟狀態。
WLAN客戶端在AC間漫遊時,需要在任意兩個AC之間建立漫遊組隧道,形成網狀拓撲結構。當網絡中AC設備數量比較多時,建立、維護漫遊組隧道以及漫遊信息同步都會占用一定的帶寬資源,並且網絡結構複雜、穩定性低。為了解決這一問題,可以在一台AC上開啟漫遊中繼功能,使得該AC作為中繼AC,並在其上指定其餘非中繼AC為漫遊組成員。中繼AC與每個非中繼AC分別建立一條IADTP隧道,形成一對多的星形漫遊組網。非中繼AC之間不需要建立漫遊組隧道。
漫遊組中的非中繼AC會通過IADTP隧道將漫遊表項同步到中繼AC。當客戶端在AC間發生漫遊時,漫遊後的AC會向中繼AC請求查詢當前客戶端的漫遊表項信息。
本命令隻能在漫遊組功能處於關閉狀態時配置。
同一漫遊組內隻能存在一個中繼AC,非中繼AC隻能指定中繼AC為漫遊組內唯一成員。
在漫遊中繼組網中,如果客戶端所屬的VLAN不同,中繼AC的上行接口需要允許所有客戶端的VLAN通過。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 開啟漫遊中繼功能。
roam-relay enable
缺省情況下,漫遊中繼功能處於關閉狀態。
開啟漫遊組功能後,設備會使用IADTP隧道源IP地址與組內其他成員設備建立IADTP隧道,並同步漫遊表項信息。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 開啟漫遊組功能。
group enable
缺省情況下,漫遊組功能處於關閉狀態。
同一漫遊組內的多台設備間存在環路時,需要開啟漫遊組隧道隔離功能,確保設備不會在漫遊組的隧道之間轉發報文,從而避免出現廣播風暴等問題。
(1) 進入係統視圖。
system-view
(2) 開啟漫遊組隧道隔離功能。
wlan mobility-group-isolation enable
缺省情況下,漫遊組隧道隔離功能處於開啟狀態。
開啟了漫遊組告警功能之後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。(有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。)
(1) 進入係統視圖。
system-view
(2) 開啟漫遊組告警功能。
snmp-agent trap enable wlan mobility
缺省情況下,WLAN漫遊告警功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後的漫遊運行情況,通過查看顯示信息驗證配置的效果。
表3-1 漫遊組顯示和維護
|
操作 |
命令 |
|
顯示客戶端漫入或漫出的信息 |
display wlan mobility { roam-in | roam-out } [ member { ip ipv4-address | ipv6 ipv6-address } ] |
|
顯示漫遊組的信息 |
display wlan mobility group [ member { ip ipv4-address | ipv6 ipv6-address } ] |
|
顯示客戶端的漫遊次數 |
display wlan mobility roam-count |
如圖3-4所示,在一個無線網絡中,有兩台AC,現要求客戶端可以在AC內漫遊,也可以跨AC漫遊。
(1) 配置AC 1
# 創建無線服務模板service,配置SSID為office,並使能服務模板。
<AC1> system-view
[AC1] wlan service-template service
[AC1-wlan-st-test] ssid office
[AC1-wlan-st-test] service-template enable
[AC1-wlan-st-test] quit
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
[AC1] wlan ap ap1 model WA6320
[AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 將服務模板綁定到ap1的Radio 1接口
[AC1-wlan-ap-ap1] radio 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] service-template service
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
# 創建手工AP,名稱為ap2,選擇AP型號並配置序列號。
[AC1] wlan ap ap2 model WA6320
[AC1-wlan-ap-ap2] serial-id 219801A28N819CE0003T
# 將服務模板綁定到ap2的Radio 1接口。
[AC1-wlan-ap-ap2] radio 1
[AC1-wlan-ap-ap2-radio-1] radio enable
[AC1-wlan-ap-ap2-radio-1] service-template service
[AC1-wlan-ap-ap2-radio-1] quit
[AC1-wlan-ap-ap2] quit
# 創建漫遊組office。
[AC1] wlan mobility group office
# 配置漫遊組IADTP隧道IP地址類型為IPv4。
[AC1-wlan-mg-office] tunnel-type ipv4
# 配置AC加入漫遊組時建立IADTP隧道的源IP地址為10.1.4.22。
[AC1-wlan-mg-office] source ip 10.1.4.22
# 添加漫遊組內的AC成員,該AC成員用於建立IADTP隧道的源IP地址為10.1.4.23。
[AC1-wlan-mg-office] member ip 10.1.4.23
# 開啟漫遊組功能。
[AC1-wlan-mg-office] group enable
[AC1-wlan-mg-office] quit
(2) 配置AC 2
# 創建無線服務模板service,配置SSID為office,並使能服務模板。
<AC2> system-view
[AC2] wlan service-template service
[AC2-wlan-st-service] ssid office
[AC2-wlan-st-service] service-template enable
[AC2-wlan-st-service] quit
# 創建手工AP,名稱為ap3,選擇AP型號並配置序列號。
[AC2] wlan ap ap3 model WA6320
[AC2-wlan-ap-ap3] serial-id 219801A28N819CE0004T
# 將服務模板綁定到ap3的Radio 1接口。
[AC2-wlan-ap-ap3] radio 1
[AC2-wlan-ap-ap3-radio-1] radio enable
[AC2-wlan-ap-ap3-radio-1] service-template service
[AC2-wlan-ap-ap3-radio-1] quit
[AC2-wlan-ap-ap3] quit
# 創建手工AP,名稱為ap4,選擇AP型號並配置序列號。
[AC2] wlan ap ap4 model WA6320
[AC2-wlan-ap-ap4] serial-id 219801A28N819CE0005T
# 將服務模板綁定到ap4的Radio 1接口。
[AC2-wlan-ap-ap4] radio 1
[AC2-wlan-ap-ap4-radio-1] radio enable
[AC2-wlan-ap-ap4-radio-1] service-template service
[AC2-wlan-ap-ap4-radio-1] quit
[AC2-wlan-ap-ap4] quit
# 創建漫遊組office。
[AC2] wlan mobility group office
# 配置漫遊組IADTP隧道IP地址類型為IPv4。
[AC2-wlan-mg-office] tunnel-type ipv4
# 配置AC加入漫遊組時建立IADTP隧道的源IP地址為10.1.4.23。
[AC2-wlan-mg-office] source ip 10.1.4.23
# 添加漫遊組內的AC成員,該AC成員用於建立IADTP隧道的源IP地址為10.1.4.22。
[AC2-wlan-mg-office] member ip 10.1.4.22
# 開啟漫遊組功能。
[AC2-wlan-mg-office] group enable
[AC2-wlan-mg-office] quit
# 在AC 1查看漫遊組信息。
[AC1] display wlan mobility group
Mobility group name: office
Tunnel type: IPv4
Source IPv4: 10.1.4.22
Source IPv6: Not configured
Authentication method: Not configured
Mobility group status: Enabled
Member entries: 1
IP address State Online time
10.1.4.23 Up 00hr 00min 12sec
# 在AC 2查看漫遊組信息。
[AC2] display wlan mobility group
Mobility group name: office
Tunnel type: IPv4
Source IPv4: 10.1.4.23
Source IPv6: Not configured
Authentication method: Not configured
Mobility group status: Enabled
Member entries: 1
IP address State Online time
10.1.4.22 Up 00hr 00min 05sec
# 在AC 1上通過display wlan mobility roam-track mac-address可以查看到客戶端在AP 2初始上線,隨後從AP 2漫遊到AP 3上。
[AC1] display wlan mobility roam-track mac-address 9cd3-6d9e-6778
Total entries: 2
BSSID Created at Online time AC IP address RID AP name
000f-e203-8889 2016-06-14 11:12:28 00hr 06min 56sec 10.1.4.23 1 ap3
000f-e203-7777 2016-06-14 11:11:28 00hr 03min 30sec 127.0.0.1 1 ap2
# 在AC 1上通過display wlan mobility roam-out可以查看到客戶端漫出到AP 3上漫出信息。
[AC1] display wlan mobility roam-out
Total entries: 1
MAC address BSSID VLAN ID Online time FA IP address
9cd3-6d9e-6778 000f-e203-8889 1 00hr 01min 59sec 10.1.4.23
# 在AC 2上通過display wlan client可以查看到客戶端關聯的AP為AP 3,漫遊狀態為AC間漫遊。
[AC2] display wlan client verbose
Total number of clients: 1
MAC address : 9cd3-6d9e-6778
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 3
AP name : ap3
Radio ID : 1
Channel : 36
SSID : 1
BSSID : 000f-e203-8889
VLAN ID : 1
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : Inter-AC roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Inactive
# 在AC 2上通過display wlan mobility roam-in命令可以查看到客戶端從AP 3漫入的漫入信息。
[AC2] display wlan mobility roam-in
Total entries: 1
MAC address BSSID VLAN ID HA IP address
9cd3-6d9e-6778 000f-e203-8889 1 10.1.4.22
如圖3-5所示,在一個無線網絡中,有兩台FAT AP,現要求客戶端可以在FAT AP內漫遊,也可以跨FAT AP漫遊。
(1) 配置AP 1
# 創建無線服務模板service1,配置SSID為trade-off,並開啟服務模板。
<AP1> system-view
[AP1] wlan service-template service1
[AP1-wlan-st-service1] ssid trade-off
[AP1-wlan-st-service1] service-template enable
[AP1-wlan-st-service1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/1接口。
[AP1] interface wlan-radio 1/0/1
[AP1-WLAN-Radio1/0/1] undo shutdown
[AP1-WLAN-Radio1/0/1] service-template service1
[AP1-WLAN-Radio1/0/1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/2接口。
[AP1] interface wlan-radio 1/0/2
[AP1-WLAN-Radio1/0/2] undo shutdown
[AP1-WLAN-Radio1/0/2] service-template service1
[AP1-WLAN-Radio1/0/2] quit
# 創建漫遊組office。
[AP1] wlan mobility group office
# 配置漫遊組IADTP隧道IP地址類型為IPv4。
[AP1-wlan-mg-office] tunnel-type ipv4
# 配置AP加入漫遊組時建立IADTP隧道的源IP地址為10.1.4.22。
[AP1-wlan-mg-office] source ip 10.1.4.22
# 添加漫遊組內的AP成員,該AP成員用於建立IADTP隧道的源IP地址為10.1.4.23。
[AP1-wlan-mg-office] member ip 10.1.4.23
# 開啟漫遊組功能。
[AP1-wlan-mg-office] group enable
[AP1-wlan-mg-office] quit
(2) 配置AP 2
# 創建無線服務模板service1,配置SSID為trade-off,並開啟服務模板。
<AP2> system-view
[AP2] wlan service-template service1
[AP2-wlan-st-service1] ssid trade-off
[AP2-wlan-st-service1] service-template enable
[AP2-wlan-st-service1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/1接口。
[AP2] interface wlan-radio 1/0/1
[AP2-WLAN-Radio1/0/1] undo shutdown
[AP2-WLAN-Radio1/0/1] service-template service1
[AP2-WLAN-Radio1/0/1] quit
# 將無線服務模板service1綁定到WLAN-Radio 1/0/2接口。
[AP2] interface wlan-radio 1/0/2
[AP2-WLAN-Radio1/0/2] undo shutdown
[AP2-WLAN-Radio1/0/2] service-template service1
[AP2-WLAN-Radio1/0/2] quit
# 創建漫遊組office。
[AP2] wlan mobility group office
# 配置漫遊組IADTP隧道IP地址類型為IPv4。
[AP2-wlan-mg-office] tunnel-type ipv4
# 配置AP加入漫遊組時建立IADTP隧道的源IP地址為10.1.4.23。
[AP2-wlan-mg-office] source ip 10.1.4.23
# 添加漫遊組內的AP成員,該AP成員用於建立IADTP隧道的源IP地址為10.1.4.22。
[AP2-wlan-mg-office] member ip 10.1.4.22
# 開啟漫遊組功能。
[AP2-wlan-mg-office] group enable
[AP2-wlan-mg-office] quit
# 在AP 1查看漫遊組信息。
[AP1] display wlan mobility group
Mobility group name: office
Tunnel type: IPv4
Source IPv4: 10.1.4.22
Source IPv6: Not configured
Authentication method: Not configured
Mobility group status: Enabled
Member entries: 1
IP address State Online time
10.1.4.23 Up 00hr 00min 12sec
# 在AP 2查看漫遊組信息。
[AP2] display wlan mobility group
Mobility group name: office
Tunnel type: IPv4
Source IPv4: 10.1.4.23
Source IPv6: Not configured
Authentication method: Not configured
Mobility group status: Enabled
Member entries: 1
IP address State Online time
10.1.4.22 Up 00hr 00min 05sec
# 在AP 1上通過display wlan mobility roam-track mac-address可以查看到客戶端在AP 1初始上線,隨後漫遊到AP 2上。
[AP1] display wlan mobility roam-track mac-address bce2-659a-3232
Total entries : 2
Current entries: 2
BSSID Created at Online time AP IP address RID AP name
74ea-c8fd-c200 2016-06-14 11:12:28 00hr 06min 56sec 10.1.4.23 2 ap2
74ea-c8fd-c1e0 2016-06-14 11:11:28 00hr 03min 30sec 127.0.0.1 1 ap1
# 在AP 1上通過display wlan mobility roam-out可以查看到客戶端漫出到AP 2上漫出信息。
[AP1] display wlan mobility roam-out
Total entries: 1
MAC address BSSID VLAN ID Online time FA IP address
bce2-659a-3232 74ea-c8fd-c200 1 00hr 01min 59sec 10.1.4.23
# 在AP 2上通過display wlan client可以查看到客戶端關聯的AP為AP 2,漫遊狀態為AP間漫遊。
[AP2] display wlan client verbose
Total number of clients: 1
MAC address : bce2-659a-3232
IPv4 address : 192.168.0.5
IPv6 address : N/A
Username : N/A
AID : 978
Radio ID : 2
Channel : 36
SSID : trade-off
BSSID : 74ea-c8fd-c200
VLAN ID : 1
Sleep count : 49
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 In
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 3
RSSI : 40
Rx/Tx rate : 6.5/6.5 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : Inter-AP roam
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 54seconds
FT status : Inactive
# 在AP 2上通過display wlan mobility roam-in命令可以查看到客戶端從AP 2漫入的漫入信息。
[AP2] display wlan mobility roam-in
Total entries: 1
MAC address BSSID VLAN ID HA IP address
bce2-659a-3232 74ea-c8fd-c200 1 10.1.4.22
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
