- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-WLAN漫遊配置
本章節下載: 02-WLAN漫遊配置 (611.38 KB)
目 錄
2.6.4 配置設備對異常802.11kv無線客戶端進行非802.11kv處理
3.10 配置設備加入漫遊組時建立IADTP隧道的源IP地址
3.11 配置設備發送的IADTP隧道控製報文的DSCP優先級
在同屬於一個ESS(Extended Service Set,拓展服務集)區域中的不同BSS(Basic Service Set,基本服務集)覆蓋範圍內,無線客戶端從一個BSS上接入轉移到另一個BSS上接入的過程稱為漫遊。在漫遊期間,客戶端的IP地址、授權信息等維持不變。
如圖1-1所示,客戶端漫遊的具體過程如下:
(1) 客戶端在AP 1上初始上線,在AC上會創建該客戶端的漫遊表項信息(漫遊表項信息主要包括客戶端上線SSID、PMKID、認證方式、安全認證模式以及漫遊VLAN等)。
(2) 客戶端漫遊到AP 2,AC查找該客戶端的漫遊表項。
(3) 客戶端重新認證,在AP 2上上線。
圖1-1 WLAN漫遊實現方式介紹示意圖
如圖1-2所示,當客戶端從AP 1漫遊到AP 2時,設備無需任何特殊配置,即可完成跨VLAN的漫遊。漫遊具體過程請參見“WLAN漫遊實現方式介紹”。
無線客戶端漫遊表項記錄了客戶端的PMK列表、接入VLAN以及其他授權信息。無線客戶端斷開連接之後,如果在客戶端Cache老化時間內再次成功關聯AP,則可繼承表項記錄的各種授權信息,實現快速漫遊。如果客戶端離線時間超過了老化時間,係統會自動清除該客戶端的記錄。
配置無線客戶端漫遊表項的老化時間為0時,表示客戶端下線之後會立即刪除客戶端漫遊表項相關信息,客戶端無法實現快速漫遊。
本命令僅支持配置AC內漫遊客戶端的Cache老化時間,不支持AC間漫遊場景。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置客戶端漫遊表項老化時間。
client cache aging-time aging-time
缺省情況下,無線客戶端漫遊表項的老化時間為180秒。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後的漫遊運行情況,通過查看顯示信息驗證配置的效果。
表1-1 WLAN漫遊顯示和維護
|
操作 |
命令 |
|
顯示客戶端的漫遊跟蹤信息 |
display wlan mobility roam-track mac-address mac-address |
WLAN漫遊增強技術目前包括以下幾種:
· 802.1X快速漫遊:當客戶端認證方式為RSN+802.1X認證,可以進行802.1X快速漫遊,客戶端不需要再次認證即可完成漫遊上線。
· MAC快速漫遊:當客戶端認證方式為MAC地址認證時,可以進行MAC快速漫遊,客戶端不需要再次認證即可完成漫遊上線。
· 802.11r:用來縮短無線客戶端在漫遊過程中的時間延遲,從而降低無線客戶端連接中斷率,提高漫遊服務質量。
· 802.11v:用來輔助802.11v客戶端接入更合適的AP,提高802.11v無線客戶端的漫遊服務質量。
· 虛擬BSS漫遊:AC通過實時監控無線客戶端信號強度,使客戶端接入服務質量更好的AP,實現客戶端在一個ESS(Extended Service Set,拓展服務集)區域中的無縫漫遊。
· 協同漫遊:結合IEEE802.11k、IEEE802.11r和IEEE802.11v協議實現無線客戶端在一個ESS區域中的無縫漫遊。
如圖2-1所示,AC內漫遊場景下,802.1X快速漫遊機製的具體過程如下:
(1) 客戶端在AP 1上通過802.1X認證初始上線,在AC上會創建該客戶端的漫遊表項信息。有關802.1X認證的詳細介紹,請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
(2) 客戶端漫遊到AP 2,AC查找該客戶端的漫遊表項,當客戶端認證方式為RSN+802.1X認證,且客戶端攜帶的PMKID和設備緩存的PMKID校驗一致時,就認為客戶端已經進行過802.1X認證,直接跳過認證過程,利用緩存的PMK進行密鑰協商以及後續的漫遊上線。
設備支持以下兩種方式緩存PMKID:
· SKC方式(Sticky Key Caching,粘滯密鑰緩存):直接緩存無線客戶端在802.1X認證過程中產生的PMKID。
· OKC方式(Opportunistic Key Caching,機會密鑰緩存):使用無線客戶端當前進行關聯的BSSID以及客戶端MAC地址、設備緩存的PMK等重新計算出PMKID。
無論是SKC方式還是OKC方式,均不需要配置,即可完成802.1X快速漫遊。
圖2-1 802.1X快速漫遊示意圖
如圖2-2所示,AC間漫遊場景中,802.1X快速漫遊機製的具體過程如下。
(1) AC 1和AC 2組成漫遊組,客戶端在AP 1上通過802.1X認證初始上線,在AC 1上會創建該客戶端的漫遊表項。有關802.1X認證的詳細介紹,
(2) AC 1通過IADTP隧道將漫遊表項同步到漫遊組成員AC 2上。
(3) 客戶端漫遊到AP 2,AC 2查找該客戶端的漫遊表項,當客戶端認證方式為RSN+802.1X認證,且客戶端攜帶的PMKID和設備緩存的PMKID檢驗一致時,就認為客戶端已經進行過802.1X認證,直接跳過認證過程,利用緩存的PMK進行密鑰協商以及後續的漫遊上線。
圖2-2 AC間802.1X快速漫遊示意圖
如圖2-3所示,MAC快速漫遊機製的具體過程如下。
(1) 客戶端在AP 1上通過MAC地址認證初始上線,在AC上會創建該客戶端的漫遊表項。有關MAC地址認證的詳細介紹,請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
(2) 客戶端漫遊到AP 2,AC查找該客戶端的漫遊表項,當客戶端認證方式為MAC認證,且開啟MAC地址認證成功後的快速連接功能後,就認為客戶端已經進行過MAC認證,直接跳過認證過程,繼續後續的漫遊上線。
圖2-3 MAC快速漫遊示意圖
MAC快速漫遊功能目前僅支持同一AC內的漫遊組網方式。
開啟MAC地址認證成功後的快速連接功能後,已經通過MAC地址認證的客戶端在AC內漫遊時,不需要再次進行MAC地址認證,可提高客戶端AC內漫遊的上線速度。
對於進行AC間漫遊的MAC地址認證的客戶端,配置本命令後,客戶端可以繼承漫遊VLAN,但是漫遊狀態顯示為N/A。當AC間漫遊的客戶端所屬VLAN不同時,同一漫遊組內的AC上行接口需要允許MAC地址認證的客戶端VLAN通過。
本功能僅對在AC上進行認證和關聯的無線客戶端生效。
該命令隻能在無線服務模板處於關閉狀態時配置。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟MAC地址認證成功後的快速連接功能。
mac-authentication fast-connect enable
缺省情況下,MAC地址認證成功後的快速連接功能處於關閉狀態。
802.11r的核心功能是FT(Fast BSS Transition,快速BSS切換),它主要用來減少客戶端在漫遊過程中的時間延遲,從而降低連接中斷概率、提高漫遊服務質量。
FT支持兩種實現方式:
· Over-the-Air:客戶端直接與目標AP通信,進行漫遊前的認證,適用於對漫遊兼容性要求高的場景。建議采用本方式配置FT功能。
· Over-the-DS:客戶端通過當前AP與目標AP通信,進行漫遊前的認證,適用於對漫遊性能要求高的場景。
如圖2-4所示,客戶端在連接至同一AC的AP間(AP 1到AP 2)漫遊時,信息交互過程如下:
(1) 客戶端已經與AP 1連接並且要漫遊到AP 2;
(2) 客戶端向AP 2發送認證請求;
(3) 客戶端收到AP 2的認證請求回應;
(4) 客戶端向AP 2發送重關聯請求;
(5) 客戶端收到AP 2的重關聯請求回應;
(6) 客戶端完成從AP 1到AP 2的漫遊。
圖2-4 over-the-air方式漫遊示意圖
如圖2-5所示,客戶端在連接至同一AC的AP間(AP 1到AP 2)漫遊時,信息交互過程如下:
(1) 客戶端與AP 1建立連接;
(2) AC生成、同步、保存客戶端的漫遊表項;
(3) 客戶端準備漫遊,向AP 1發送FT認證請求;
(4) 客戶端收到AP 1的FT認證回複;
(5) 客戶端向AP 2發送重關聯請求;
(6) 客戶端收到AP 2的重關聯請求回應;
(7) 客戶端完成從AP 1到AP 2的漫遊。
圖2-5 over-the-ds方式漫遊示意圖
配置802.11r的FT功能,需要注意的是:
· 如果有客戶端無法關聯使能了FT功能的服務,可能是由於客戶端的型號較早而不支持FT協議。此時可以創建兩個SSID相同的服務,一個使能FT功能,另一個不使能FT功能,而其它配置均相同,以便客戶端可以正常使用網絡服務。
· 不建議在服務模板下同時開啟FT功能和802.1X周期性重認證功能,否則會導致客戶端在每次重認證時間間隔到達時重新上線。關於802.1X周期性重認證功能的介紹和配置請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
· 快速BSS切換協商成功的客戶端,不支持PTK更新。關於PTK更新的介紹和配置請參見“WLAN配置指導”中的“WLAN用戶安全”。
· 未配置身份認證與密鑰管理模式時,不支持開啟FT功能。
· 802.11r功能需配置AP發送信標和探查響應幀時攜帶RSN IE,認證方式不為本地認證、加密套件為CCMP時生效。
· 802.11r目前支持同一設備內的漫遊組網方式和漫遊組。
· 802.11r功能僅對關聯位置在AC上的無線客戶端生效。
· 802.11r功能僅能在服務模板未使能的情況下進行配置。
· 對於支持802.11be、802.11abe和802.11gbe的AP而言:
¡ 6GHz射頻不支持FT功能。
¡ 非6GHz射頻支持FT功能,但無法同時使用WPA3企業級192bit模式。
· 對於不支持802.11be、802.11abe和802.11gbe的AP而言:支持FT功能,但無法與WPA3安全模式同時使用。
(1) 進入係統視圖。
system-view
(2) 配置WLAN服務模板。
wlan service-template service-template-name
(3) 開啟FT功能。
ft enable
缺省情況下,FT功能處於關閉狀態。
(4) (可選)配置FT方式。
ft method { over-the-air | over-the-ds }
缺省情況下,FT方式為over-the-air。
(5) (可選)配置重關聯超時時間。
ft reassociation-timeout timeout
缺省情況下,重關聯超時時間為20秒。
重關聯超時時間指的是,客戶端在完成認證後,客戶端發起重關聯請求的最大時間間隔。如果在此時間內客戶端沒有發起重關聯,則會終止此次漫遊。
802.11v的核心功能是BTM(BSS Transition Management,BSS切換管理),它主要用來通知802.11v無線客戶端離開當前BSS,接入更合適的AP,從而提高802.11v無線客戶端的接入質量。如圖2-6所示,BSS切換管理的基本流程如下:
(1) 802.11v無線客戶端RSSI值過低或找到一個更合適的AP時,會主動向AP發送BSS切換查詢,請求連接到其它BSS上。AP接收到客戶端的BSS切換查詢後,會向其發送BSS切換請求。
(2) 802.11v無線客戶端接收到BSS切換請求後,有可能向AP發送切換響應,通知AP BSS切換的結果。
(3) 經過一段時間後,若無線客戶端還未離開當前BSS,AP會主動向無線客戶端發送解除關聯請求,強製無線客戶端下線。
圖2-6 BSS切換管理
802.11v功能目前僅支持同一AC內的漫遊組網方式。
本功能隻能在無線服務模板處於關閉狀態時配置。
建議開啟BSS切換管理功能的同時,通過bss transition-management disassociation命令配置BSS切換解除關聯時間,否則某些客戶端可能無法進行BSS切換。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟BSS切換管理功能。
bss transition-management enable
缺省情況下,BSS切換管理功能處於關閉狀態。
配置BSS切換解除關聯功能後,當設備收到無線客戶端發送的BSS切換查詢時,會向無線客戶端發出請求切換BSS,引導客戶端進行BSS切換。
若配置了強製客戶端進行BSS切換,則當超過配置的BSS切換解除關聯時間客戶端還未離開時,設備會強製斷開與客戶端的連接,請謹慎使用該功能。
隻有開啟了BSS切換管理功能,BSS切換解除關聯功能才能生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置BSS切換解除關聯功能。
bss transition-management disassociation { forced | recommended } [ timer time ]
缺省情況下,BSS切換解除關聯功能處於開啟狀態,即設備會推薦客戶端進行BSS切換,推薦解除關聯時間為90s。
開啟虛擬BSS漫遊功能的多個AP為客戶端提供統一的虛擬服務,客戶端選擇接入一個AP後,其餘AP實時監控客戶端的信號強度。當AC發現其它AP能夠比當前AP提供更高質量的服務時,將指定新AP為客戶端提供無線服務。
如圖2-7所示,無線網絡中存在兩個AP,虛擬BSS漫遊的實現方式如下所述:
(1) AP上開啟虛擬BSS漫遊功能後,當網絡中的AP收到來自客戶端的Probe Request幀,AC會為該客戶端生成一個虛擬的服務,該虛擬服務的BSSID將由AC的橋MAC地址、AP ID和客戶端的MAC地址組成,AP會用這個虛擬BSSID來與客戶端進行交互。
(2) 如果客戶端選擇通過AP 1上線,則AC會將AP 1的虛擬BSSID通告到AP 2上。AP 2將替換本地的虛擬BSSID,並監控該客戶端的信號強度。
(3) 當AC發現AP 2對客戶端而言服務質量更好時,即AP 2接收到客戶端報文的RSSI(Received Signal Strength Indicator,接收信號強度指示)值達到/超過RSSI門限值,並且與AP 1所接收到的客戶端報文RSSI值的差值達到/超過RSSI差值門限,那麼AC將指定AP 2為客戶端提供無線服務。
由於客戶端始終使用相同的虛擬BSSID發送數據,所以即使為客戶端提供無線服務的AP發生變化,對客戶端而言使用的無線服務卻是相同的。
圖2-7 虛擬BSS漫遊示意圖
虛擬BSS漫遊功能是針對無線服務模板的,對某個無線服務模板配置虛擬BSS漫遊功能後,僅對接入該無線服務模板的客戶端進行漫遊,通過其它無線服務模板接入的客戶端不受影響。
虛擬BSS漫遊目前僅支持同一AC內的漫遊組網方式。
(1) 進入係統視圖。
system-view
(2) 進入服務模板視圖。
wlan service-template service-template-name
(3) 開啟虛擬BSS漫遊功能。
seamless-roaming enable
缺省情況下,虛擬BSS漫遊功能處於關閉狀態。
(4) 配置虛擬BSS漫遊RSSI門限和RSSI差值。
seamless-roaming switch rssi-threshold value [ rssi-gap gap-value ]
缺省情況下,虛擬BSS漫遊RSSI門限值為50,RSSI差值門限為20。
協同漫遊是H3C研發的結合IEEE802.11k、IEEE802.11r和IEEE802.11v協議的一種漫遊技術,由AP和無線客戶端協同引導,實現了無線客戶端在一個ESS(Extended Service Set,拓展服務集)區域中的無縫漫遊。其中:
· 802.11k協議中定義的Beacon射頻測量功能,實現了對2.4GHz和5GHz頻段的信道質量及可用資源性能的監控。
· 802.11r協議中定義的FT(Fast BSS Transition,快速BSS切換)功能用來減少客戶端在漫遊過程中的時間延遲,從而降低連接中斷概率、提高漫遊服務質量。
· 802.11v協議中定義的BTM(BSS Transition Management,BSS切換管理)功能用來被動引導支持802.11v協議的無線客戶端離開當前BSS,接入更合適的AP,從而提高802.11v無線客戶端的接入質量。
· 協同漫遊功能新增支持通過AP監測802.11v無線客戶端信號強度,主動引導無線客戶端接入更合適的服務。
協同漫遊目前僅支持同一AC內的漫遊組網方式,且協同漫遊要求AP必須支持Wi-Fi 6標準。
開啟無線客戶端反粘滯功能後,AP將按照配置的時間間隔檢測無線客戶端的信號強度。當無線客戶端信號強度低於門限值時:
· 若該無線客戶端關聯過程中協商為支持802.11v協議,則按照BSS切換管理功能,引導無線客戶端連接到其它的BSS。
· 若該無線客戶端關聯過程中協商為不支持802.11v協議,則不會引導無線客戶端連接到其它BSS上。
對於無線客戶端頻繁進行BSS切換的場景,建議配置基於ACL的無線客戶端反粘滯,通過將不同類型客戶端加入到不同ACL中,由設備對不同類型的客戶端根據ACL下配置的信號強度門限值進行針對性反粘滯控製。
隻有開啟了無線客戶端反粘滯功能,基於ACL對無線客戶端進行反粘滯才能生效。
同一AP的同一射頻下僅支持綁定一個ACL規則。
可以通過display wlan client verbose命令查看客戶端信號強度RSSI,根據該RSSI,配置基於ACL的無線客戶端反粘滯RSSI。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組ap-model視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 請依次執行以下命令進入AP組ap-model視圖。
wlan ap-group group-name
ap-model ap-model
(3) 進入Radio視圖。
radio radio-id
(4) 配置無線客戶端反粘滯功能。
sacp anti-sticky { disable | enable [ rssi rssi-value ] [ interval interval ] [ forced-logoff ] }
缺省情況下:
Radio視圖:繼承AP組Radio配置。
AP組Radio視圖:繼承AP組公共Radio視圖配置。
(5) (可選)配置基於ACL的無線客戶端反粘滯。
sacp anti-sticky acl { acl-number rssi rssi-value | remove }
缺省情況下:
Radio視圖:繼承AP組Radio配置。
AP組Radio視圖:繼承AP組公共Radio視圖配置。
配置基於ACL的無線客戶端反粘滯後,若指定remove關鍵字,則表示該Radio不基於ACL進行無線客戶端反粘滯。
(1) 進入係統視圖。
system-view
(2) 進入AP組視圖。
wlan ap-group group-name
(3) 進入AP組全局Radio視圖。
radio { 2.4g | 5g }
(4) 配置無線客戶端反粘滯功能。
sacp anti-sticky { disable | enable [ rssi rssi-value ] [ interval interval ] [ forced-logoff ] }
缺省情況下,無線客戶端反粘滯功能處於開啟狀態。
(5) (可選)配置基於ACL的無線客戶端反粘滯。
sacp anti-sticky acl acl-number [ rssi rssi-value ]
缺省情況下:設備不基於ACL對無線客戶端進行反粘滯。
(1) 進入係統視圖。
system-view
(2) 進入全局配置視圖。
wlan global-configuration
(3) 配置無線客戶端反粘滯功能。
sacp anti-sticky enable [ rssi rssi-value ] [ interval interval ] [ forced-logoff ]
缺省情況下,無線客戶端反粘滯功能處於開啟狀態。
當網絡環境中同時存在802.11kv協議支持較好(即支持正常,可以通過802.11kv處理接入更合適的BSS)和支持不夠好(即支持異常,客戶端與設備通信時,時延過大或無法通信,無法通過802.11kv處理接入更合適的BSS)的無線客戶端時:
· 不配置本功能,設備會對所有客戶端進行802.11kv處理,這樣就會導致異常客戶端網絡通信異常。
· 配置本功能後,通過ACL規則過濾的客戶端被認為是異常802.11kv客戶端,對這些客戶端進行非802.11kv處理,這樣既可以保證正常客戶端的BSS切換,又可以保證異常客戶端的網絡性能。未通過ACL規則過濾的無線客戶端,設備會繼續對其進行802.11kv處理。
本功能僅對從未匹配過異常ACL規則的已在線客戶端和新上線客戶端生效。當需要對已在線客戶端重新進行ACL規則匹配時,需要該客戶端重新上線。
本功能僅對關聯位置在AC上的無線客戶端生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置設備對異常802.11kv無線客戶端進行非802.11kv處理。
sacp roam-optimize abnormal-802.11kv acl acl-number
缺省情況下,設備對所有802.11kv無線客戶端進行802.11kv處理。
開啟獲取BSS候選列表功能後,AP將按照配置的時間間隔周期性地向支持Beacon測量的客戶端發送Beacon Request幀以請求獲取無線客戶端檢測到的BSS信息,無線客戶端通過Beacon Report幀上報當前工作信道檢測到的BSS信息。關閉該功能後,已獲取到的BSS候選列表的BSS信息到達老化時間後會被刪除。
開啟BSS切換管理功能後,設備將使用BSS候選列表的BSS信息,引導無線客戶端漫遊到信號質量更好的無線服務上。
僅對配置本功能後新上線的無線客戶端生效。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組ap-model視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 請依次執行以下命令進入AP組ap-model視圖。
wlan ap-group group-name
ap-model ap-model
(3) 進入Radio視圖。
radio radio-id
(4) 配置獲取BSS候選列表功能。
sacp roam-optimize bss-candidate-list { disable | enable [ interval interval ] }
缺省情況下:
Radio視圖:繼承AP組Radio配置。
AP組Radio視圖:繼承AP組全局Radio配置。
(1) 進入係統視圖。
system-view
(2) 進入AP組視圖。
wlan ap-group group-name
(3) 進入AP組全局Radio視圖。
radio { 2.4g | 5g }
(4) 配置無線客戶端反粘滯功能。
sacp roam-optimize bss-candidate-list { disable | enable [ interval interval ] }
缺省情況下,獲取BSS候選列表功能處於關閉狀態。
漫遊優化流量保持高級功能開啟期間,當設備檢測到客戶端信號強度低於無線客戶端反粘滯功能配置的門限值時,會緩存需要發送給客戶端的數據報文,一段時間後,再將緩存的數據報文發送給客戶端,減少了客戶端信號強度較弱情況下的丟包數量。關閉本功能後,設備一段時間後會對緩存的數據報文做老化處理,不再重新發送給客戶端。對於開啟了無線客戶端反粘滯控製功能的協同漫遊場景,建議開啟本功能。
本功能僅當客戶端關聯位置和數據報文轉發位置在AC上時生效。
本功能不支持分層AC組網。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟漫遊優化流量保持高級功能。
sacp roam-optimize traffic-hold enable advanced
缺省情況下,漫遊優化流量保持高級功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後協同漫遊的運行情況,通過查看顯示信息驗證配置效果。
表2-1 協同漫遊顯示和維護
|
操作 |
命令 |
|
顯示指定AP或所有AP的運行配置 |
display wlan ap { all | name ap-name } running-configuration [ verbose ] |
|
顯示客戶端的信息 |
display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name | frequency-band { 2.4 | 5 } | vlan vlan-id ] [ verbose ] |
|
顯示客戶端上報的射頻資源測量能力集 |
display wlan client rm-capabilities [ mac-address mac-address ] |
|
顯示無線客戶端的遷移曆史信息 |
display wlan sacp move-history [ mac-address mac-address ] |
|
顯示無線服務模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
多個設備可以加入一個相同的組,客戶端可以在組內漫遊,該組即為漫遊組,在漫遊組漫遊期間,客戶端的IP地址、授權信息等維持不變,可以實現客戶端在更大物理區域內的漫遊。
· IADTP(Inter Access Device Tunneling Protocol,接入設備間隧道協議):H3C私有隧道協議,該協議提供了設備間報文的通用封裝和傳輸機製。提供漫遊服務的設備之間會建立IADTP隧道,用於保證設備間控製報文以及客戶端漫遊信息的安全傳輸。
· HA(Home-AC):一個客戶端首次與IADTP隧道內的某個AC進行關聯,該AC即為它的HA。
· FA(Foreign-AC):客戶端跨AC漫遊後,客戶端與某個不是HA的AC進行關聯,該AC即為FA。
· 漫遊組:多個設備可以加入一個相同的組,客戶端可以在組內漫遊,該組即為漫遊組。
如圖3-1所示,客戶端從一個AC內的AP漫遊到另一個AC內的AP上接入。該組網方式下,通過創建漫遊組,統一管理參與漫遊的AC,沒有加入漫遊組的AC將不參與漫遊。
客戶端完成AC間漫遊的過程如下:
(1) 客戶端在AP 2上初始上線,在AC 1上會創建該客戶端的漫遊表項,並通過IADTP隧道將漫遊表項同步到漫遊組成員AC 2上;
(2) 客戶端漫遊到AP 3,AC 2查找該客戶端的漫遊表項,如果是RSN+802.1X認證方式,且客戶端攜帶的PMKID和設備緩存的PMKID一致,則對其進行快速漫遊,其他情況,則不對其進行快速漫遊;
(3) 如果進行快速漫遊,客戶端不需要再次認證,即可在AP 3上成功上線;否則需要重新認證;
(4) 客戶端在AP 3上線,AC 2會給AC 1發送漫遊請求消息;
(5) AC 1收到漫遊請求消息,並校驗漫遊信息是否正確。如果校驗失敗,則給AC 2回複漫遊失敗的漫遊響應消息。如果校驗成功,AC 1添加該客戶端的漫遊軌跡和漫出信息,並給AC 2回複漫遊成功的漫遊響應信息;
(6) AC 2收到AC 1回複的漫遊響應信息。如果漫遊失敗,AC 2將通知客戶端下線;如果漫遊成功,AC 2添加該客戶端的漫入信息。
圖3-1 漫遊組網方式示意圖
漫遊組中的成員設備分為如下角色:
· Client端:負責發起連接建立請求。
· Server端:監聽並應答連接建立請求。
缺省情況下,IP地址小的成員設備作為Client端,IP地址大的成員設備作為Server端。如果漫遊組成員設備跨NAT設備,則需要手工指定成員設備在漫遊組中的角色。
設備間建立IADTP隧道的具體過程如下:
(1) Device A向Device B發送Join Request報文。
(2) Device B收到Join Request報文後,根據本地配置和報文內容判斷是否和Device A屬於同一漫遊組。當屬於同一漫遊組時,回複Result Code為成功的Join Response報文;否則,回複Result Code為失敗的Join Response報文。
(3) Device A收到Result Code為成功的Join Response報文後,會向Device B發送Join Confirm報文,建立IADTP隧道;否則,不回複報文。
(4) Device B收到Join Confirm報文後,建立IADTP隧道。
圖3-2 IADTP隧道建立過程
配置漫遊組,需要注意以下事項:
· 對於配置用戶接入認證位置在AP的無線服務模板,不支持客戶端漫遊。有關用戶接入認證位置相關配置的詳細介紹請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
· 如果存在RSN+802.1X認證方式的客戶端,且客戶端所屬的VLAN不同時,同一漫遊組內的設備上行接口需要允許所有RSN+802.1X認證方式的客戶端VLAN通過。
漫遊組配置任務如下:
(1) 創建漫遊組
(2) (可選)配置漫遊組認證模式
(5) (可選)配置設備發送的IADTP隧道控製報文的DSCP優先級
(6) 添加漫遊組內的成員設備
在手動和自動添加漫遊組內的成員設備中選擇一項任務進行配置:
(7) (可選)配置本成員設備在漫遊組中的角色
(8) (可選)關閉IADTP數據隧道功能
(9) (可選)開啟漫遊中繼功能
(10) 開啟漫遊組功能
(11) (可選)開啟漫遊組隧道隔離功能
(12) (可選)開啟漫遊組告警功能
屬於同一個漫遊組的每個設備上都必須創建漫遊組,並互相添加漫遊組成員。每個設備上隻允許創建一個漫遊組。
(1) 進入係統視圖。
system-view
(2) 創建漫遊組,並進入漫遊組視圖。
wlan mobility group group-name
配置認證模式後,所有在IADTP隧道中傳輸的控製消息都會附帶一個摘要(完整性代碼),當設備接收到控製消息後會使用相同的算法對消息內容進行計算,並與消息中所攜帶的摘要進行比較,以驗證收到的消息的完整性。目前,漫遊組認證模式僅支持MD5認證算法。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置漫遊組認證模式。
authentication-mode authentication-mode { cipher | simple } string
缺省情況下,未配置漫遊組認證模式。
創建漫遊組之後,必須指定漫遊組隧道IP地址類型。隻有設備加入漫遊組時建立IADTP隧道的源IP地址與隧道IP地址類型相同,設備加入漫遊組時才會生效並建立隧道。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置漫遊組IADTP隧道IP地址類型。
tunnel-type { ipv4 | ipv6 }
缺省情況下,IADTP隧道IP地址類型為IPv4。
設備在加入漫遊組後需要使用IADTP隧道源IP地址和同一漫遊組內成員設備建立IADTP隧道。
配置設備加入漫遊組時建立IADTP隧道的源IP地址,需要注意的是:
· 隻能在漫遊組處於關閉狀態的情況下,才能指定設備加入漫遊組時建立IADTP隧道的源IP地址。
· 可以同時配置IPv4和IPv6類型的源地址,每種類型的源地址隻能配置一個。
· 隻有與漫遊組IADTP隧道IP地址類型相同的源地址可以生效。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置設備加入漫遊組時建立IADTP隧道的源IP地址。
source { ip ipv4-address | ipv6 ipv6-address }
缺省情況下,未配置建立IADTP隧道的源IP地址。
DSCP(Differentiated Services Code Point,差分服務編碼點)攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。配置的DSCP優先級的取值越大,報文的優先級越高。
跨NAT設備建立IADTP隧道時,需要借助IPsec隧道功能完成IADTP控製隧道的加密和數據隧道的建立及加密。由於控製報文和數據報文缺省DSCP優先級都為0,當漫遊隧道通過IPsec加密後,為了防止在IADTP隧道繁忙時,成員設備因為長時間接收不到IADTP隧道保活報文而斷開IADTP隧道的連接,需要提高IADTP隧道保活報文發送的優先級。
建議配置設備發送的IADTP隧道控製報文的DSCP優先級為63。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置設備發送的IADTP隧道控製報文的DSCP優先級。
tunnel-dscp dscp-value
缺省情況下,設備發送的IADTP隧道控製報文的DSCP優先級為0。
漫遊組內的成員設備通過IP地址標識,該IP地址為成員設備建立IADTP隧道的源IP地址。漫遊組內可以同時添加IPv4和IPv6類型的漫遊組成員,但是隻有與隧道類型相同的成員可以生效。當指定了漫遊組內的成員設備所屬VLAN後,漫遊組內的其他設備就可以直接轉發屬於該VLAN的客戶端的數據流量,而無需客戶端漫遊到該設備上。
每一個成員隻能屬於一個漫遊組,並且一個漫遊組中最多可以添加31個IPv4漫遊組成員或31個IPv6漫遊組成員。配置漫遊組內的成員設備所屬VLAN後,該VLAN不能在應用於其它接口或業務。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 添加漫遊組內的成員設備。
member { ip ipv4-address | ipv6 ipv6-address } [ vlan vlan-id-list ]
漫遊組內的成員設備通過IP地址標識,該IP地址為成員設備建立IADTP隧道的源IP地址。漫遊組內可以同時添加IPv4和IPv6類型的漫遊組成員,但是隻有與隧道類型相同的漫遊組成員可以生效。
開啟漫遊組成員自動添加功能後,要加入漫遊組的設備會通過自動添加成員設備報文在漫遊組內廣播自己的IP地址。漫遊組的其它開啟自動添加功能的設備收到廣播報文後與要加入漫遊組的設備建立IADTP隧道。隧道建立成功後,則設備成功加入漫遊組。
每一個成員隻能屬於一個漫遊組,並且一個漫遊組中最多可以添加31個IPv4漫遊組成員或31個IPv6漫遊組成員,當漫遊組成員達到最大數量後,當前設備不會再與其它設備建立IADTP隧道。
隻能自動添加同一網段內的漫遊組成員設備。
配置自動添加漫遊組內的成員設備之前,請先通過source命令配置成員設備加入漫遊組時建立IADTP隧道的源IP地址。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 開啟漫遊組成員自動添加功能。
member auto-discovery [ interval interval ]
缺省情況下,漫遊組成員自動添加功能處於關閉狀態。
當漫遊組成員設備間跨NAT設備建立IADTP隧道時,外網設備無法主動向內網設備發起連接請求。缺省情況下IP地址小的成員設備作為Client端發起連接建立請求,IP地址大的成員設備作為Server端監聽並應答連接建立請求,通過報文的交互最終完成IADTP隧道的建立。此時,如果外網設備的IP地址小於內網設備的IP地址,將無法建立IADTP隧道。在這種情況下,需要通過配置內網成員設備作為Client端發起連接建立請求,以便完成IADTP隧道的建立。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 配置本成員設備在漫遊組中的角色。
role { client | server }
缺省情況下,漫遊組中IP地址大的成員設備作為Server端,IP地址小的成員設備作為Client端。
為了減輕漫遊組成員設備處理IADTP數據隧道上接收的廣播報文的負擔,並減少設備維護IADTP數據隧道的資源消耗,如果客戶端漫遊後所在的VLAN在當前成員設備上有業務出口,可以通過本功能關閉IADTP數據隧道,不再通過IADTP數據隧道轉發客戶端數據,直接通過業務出口轉發。如果客戶端漫遊後所在的VLAN在當前成員設備上沒有業務出口,不能關閉IADTP數據隧道功能,否則會造成客戶端數據丟失。
漫遊組內所有成員設備需要同時開啟或者關閉IADTP數據隧道功能。
本功能隻能在漫遊組功能處於關閉狀態時配置。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 關閉IADTP數據隧道功能。
data-tunnel disable
缺省情況下,IADTP數據隧道功能處於開啟狀態。
WLAN客戶端在AC間漫遊時,需要在任意兩個AC之間建立漫遊組隧道,形成網狀拓撲結構。當網絡中AC設備數量比較多時,建立、維護漫遊組隧道以及漫遊信息同步都會占用一定的帶寬資源,並且網絡結構複雜、穩定性低。為了解決這一問題,可以在一台AC上開啟漫遊中繼功能,使得該AC作為中繼AC,並在其上指定其餘非中繼AC為漫遊組成員。中繼AC與每個非中繼AC分別建立一條IADTP隧道,形成一對多的星形漫遊組網。非中繼AC之間不需要建立漫遊組隧道。
漫遊組中的非中繼AC會通過IADTP隧道將漫遊表項同步到中繼AC。當客戶端在AC間發生漫遊時,漫遊後的AC會向中繼AC請求查詢當前客戶端的漫遊表項信息。
本命令隻能在漫遊組功能處於關閉狀態時配置。
同一漫遊組內隻能存在一個中繼AC,非中繼AC隻能指定中繼AC為漫遊組內唯一成員。
在漫遊中繼組網中,如果客戶端所屬的VLAN不同,中繼AC的上行接口需要允許所有客戶端的VLAN通過。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 開啟漫遊中繼功能。
roam-relay enable
缺省情況下,漫遊中繼功能處於關閉狀態。
開啟漫遊組功能後,設備會使用IADTP隧道源IP地址與組內其他成員設備建立IADTP隧道,並同步漫遊表項信息。
(1) 進入係統視圖。
system-view
(2) 進入漫遊組視圖。
wlan mobility group group-name
(3) 開啟漫遊組功能。
group enable
缺省情況下,漫遊組功能處於關閉狀態。
同一漫遊組內的多台設備間存在環路時,需要開啟漫遊組隧道隔離功能,確保設備不會在漫遊組的隧道之間轉發報文,從而避免出現廣播風暴等問題。
(1) 進入係統視圖。
system-view
(2) 開啟漫遊組隧道隔離功能。
wlan mobility-group-isolation enable
缺省情況下,漫遊組隧道隔離功能處於開啟狀態。
開啟了漫遊組告警功能之後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。(有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。)
(1) 進入係統視圖。
system-view
(2) 開啟漫遊組告警功能。
snmp-agent trap enable wlan mobility
缺省情況下,WLAN漫遊告警功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後的漫遊運行情況,通過查看顯示信息驗證配置的效果。
表3-1 漫遊組顯示和維護
|
操作 |
命令 |
|
顯示客戶端漫入或漫出的信息 |
display wlan mobility { roam-in | roam-out } [ member { ip ipv4-address | ipv6 ipv6-address } ] |
|
顯示漫遊組的信息 |
display wlan mobility group [ member { ip ipv4-address | ipv6 ipv6-address } ] |
|
顯示客戶端的漫遊次數 |
display wlan mobility roam-count |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
