选择区域语言: EN CN HK

H3C WX系列无线控制产品 Web网管配置指导-6W106

09-漫游

本章节下载  (800.41 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Configure/User_Manual/H3C_WX_WEB_UM-6W106/201011/699389_30005_0.htm

09-漫游


l          本手册的页面显示信息以WX5004设备为例,实际使用中请以设备实际显示的WEB页面为准。

l          页面上显示为灰色的功能或参数,表示设备不支持或在当前配置下不可修改。

 

1 无线漫游配置

1.1  WLAN漫游概述

IACTP(Inter Access Controller Tunneling Protocol 访问控制器间隧道协议)是H3C公司自主研发的隧道协议,该协议定义了AC(Access Controller)与AC之间是如何通信的。IACTP提供了无线控制器间报文的通用封装和传输机制,保证了AC之间的安全传输。无线控制器间通信的建立采用标准的TCP C/S模式。

多个无线控制器可以通过IACTP协议建立漫游组。在当前版本中一个漫游组最多允许有8个无线控制器。漫游组的建立和维护均由IACTP协议完成。

IACTP协议为应用(共享与交换信息)提供了一个控制通道,也同时提供封装AC间传输数据的数据通道。IACTP协议同时支持IPv4和IPv6。

当一个支持Key Caching快速漫游技术的用户终端第一次关联到漫游组内的任何一个无线控制器(该控制器即为他的家乡代理Home-AC,HA)时,用户终端会和HA之间进行完整的802.1x认证,并会采用11Key进行密钥协商。用户终端在漫游组内跨AC漫游之前,漫游组内的无线控制器之间(新关联的控制器为他的外地代理Foreign-AC,FA)会进行终端信息的同步。用户终端在发生漫游并关联到FA时不用再进行802.1x认证,FA可以快速认证无线终端的信息,只需执行11Key密钥协商即可在漫游组内实现方便地无缝漫游。

1.1.1  常用术语

l              HA(Home-AC):一个无线终端首次向漫游组内的某个无线控制器进行关联,该无线控制器即为他的HA。

l              FA(Foreign-AC):与无线终端正在连接,且不是HA的无线控制器,该无线控制器即为他的FA。

l              可快速漫游终端:一个关联到漫游组内AC、且支持快速漫游服务(支持Key Caching技术)的无线终端。

l              漫出终端:在漫游组中,一个漫游无线终端正连接到HA之外的无线控制器,该无线终端相对HA来说被称为漫出终端。

l              漫入终端:在漫游组中,一个漫游无线终端正连接到HA之外的某个无线控制器FA上,该无线终端相对当前FA来说被称为漫入终端。

l              AC内漫游(Intra-AC roaming):一个无线终端从无线控制器的一个AP漫游到同一个无线控制器内的另一个AP中,即称为AC内漫游。

l              AC间漫游(Inter-AC roaming):一个无线终端从无线控制器的AP漫游到另一个无线控制器内的AP中,即称为AC间漫游。

l              AC间快速漫游(Inter-AC fast roaming):如果一个终端可以协商采用802.1x(RSN)认证方式并支持Key Caching技术,则该终端具有AC间快速漫游能力。

1.1.2  漫游类型

1. AC内漫游

图1-1 AC内漫游

 

(1)        一个终端与AP 1关联,AP 1连接到AC。

(2)        该终端断开与AP 1的关联,漫游到与同一无线控制器AC相连的AP 2上。

(3)        该终端关联到AP 2的过程即为AC内漫游。

2. AC间漫游

图1-2 AC间漫游

 

(1)        一个终端与AP 1关联,AP 1连接到AC 1。

(2)        终端断开与AP 1的关联,漫游到AP 2,后者连接到另一个无线控制器成员AC 2。

(3)        该终端关联到AP 2的过程即为AC间漫游。在AC间漫游之前,AC 1需要和AC 2通过IACTP隧道同步预漫游终端的信息。

3. FA内漫游

图1-3 FA内漫游

 

(1)        一个终端与AP 1关联,AP 1连接到AC 1。

(2)        该终端断开与AP 1的关联,漫游到AP 2,后者连接到另一个无线控制器成员AC 2。这时AC 2就是终端的FA。

(3)        该终端通过AC间漫游关联到AP 2。在AC间漫游之前,AC 1需要和AC 2通过IACTP隧道同步预漫游终端的信息。

(4)        该终端断开与AP 2的关联,漫游到AP 3,AP 3和AP 2连接到同一个无线控制器AC 2下。终端关联到AP 3的过程即为FA内漫游。

4. FA间漫游

图1-4 FA间漫游

 

(1)        一个终端与AP 1关联,AP 1连接到AC 1。

(2)        该终端断开与AP 1的关联,漫游到另一个无线控制器成员AC 2所连接的AP 2上。这时AC 2就是终端的FA。

(3)        该终端关联到AP 2的过程即为AC间漫游。

(4)        该终端断开与AP 2的关联,漫游到另一个无线控制器成员AC 3所连接的AP 3上。这时AC 3是该终端的FA。该终端关联到AP3的过程即为FA间漫游。在AC间漫游前,AC 1需要和AC 2、AC 3通过IACTP隧道同步预漫游终端的信息。

5. 往返漫游

图1-5 往返漫游

 

(1)        一个终端与AP 1关联,AP 1连接到AC 1。AC 1是这个终端的HA。

(2)        该终端断开与AP 1的关联,漫游到另一个无线控制器成员AC 2所连接的AP 3上。这时AC 2就是这个终端的FA。

(3)        该终端关联到AP 3的过程就是AC间漫游。在AC间漫游前,AC1需要同无线控制器AC 2通过IACTP隧道同步预漫游终端的信息。

(4)        该终端断开与AP 3的关联,漫游回AP2,AP 2和AP 1都连接在AC 1上,即该终端的HA。该过程即为返回HA。

1.2  配置无线漫游

1.2.1  配置漫游组

在界面左侧的导航栏中选择“漫游 > 漫游组设置”,进入如图1-6所示的页面。

图1-6 配置漫游组

 

漫游组的详细配置如表1-1所示。

表1-1 漫游组的详细配置

配置项

说明

服务状态

开启:开启IACTP服务

关闭:关闭IACTP服务

地址类型

选择类型为IPv4或IPv6

源地址

IACTP协议的源IP地址

认证模式

选中“认证模式”前的复选框,选用MD5认证模式。该选项对漫游功能来说是可选项

选用MD5认证模式可以验证控制报文的完整性。发起方使用MD5算法计算出报文内容的消息摘要,接收方(漫游组内的其他AC)也会使用MD5计算出消息摘要,如果得出的摘要和发送方的摘要相同,则表示报文是完整未经篡改的

认证密钥

MD5认证密钥

如果选用MD5认证模式,需要输入认证密钥

 

漫游组的配置只针对AC间漫游,AC间漫游的配置举例请参见“1.3.2  AC间漫游典型配置举例”。

 

1.2.2  添加漫游组成员

在界面左侧的导航栏中选择“漫游 > 漫游组设置”,进入如图1-7所示的页面。

图1-7 添加漫游组成员

 

添加漫游组成员的详细配置如表1-2所示。

表1-2 漫游组成员的详细配置

配置项

说明

成员地址

添加一个AC的IP地址到一个漫游组中

在配置漫游组时,同一漫游组内的AC的漫游组名应该保持一致

VLAN

配置漫游组成员地址所属的VLAN

该选项为可选配置。配置VLAN可以实现流量引导,详细应用的可以参见“1.3.3  通过配置漫游成员地址所属VLAN实现流量引导典型配置举例

 

l          不要将漫游组内的AC配置为双AC备份。

l          漫游组内的AC的User Profile的配置必须一致。

 

1.2.3  查看客户端信息

在界面左侧的导航栏中选择“漫游 >客户端信息”,进入如图1-8所示的页面。

只有发生AC间漫游时,才能通过“漫游 >客户端信息”查看到漫游的客户端信息。

 

图1-8 查看客户端信息

 

点击指定的客户端后,可以查看相关的详细信息和漫游信息。通过“漫游 > 客户端信息”查看到的客户端的详细信息和漫游信息和通过“概览 > 客户端”查看到的内容完全一致,此部分内容请参见“概览”。

1.3  无线漫游配置举例

1.3.1  AC内漫游典型配置举例

1. 组网需求

AC、AP 1和AP 2在VLAN 1中,客户端先通过AP 1连接至无线网络,然后漫游到与同一无线控制器相连的AP 2上。

图1-9 AC内漫游组网图

 

2. 配置步骤

如果选择的认证方式涉及远程认证,需要对相关Radius服务器进行设置,具体步骤请参见“认证”。

 

(1)        配置AP

# 创建两个AP。

在导航栏中选择“AP > AP设置”,单击<新建>按钮。

l              设置AP1名称为“ap1”。

l              选择型号为“WA2220X-AG”。

l              选择序列号方式为“手动”,并输入AP的序列号。

l              单击<确定>按钮完成操作。

使用同样方法创建另一个AP2(名称为“ap2”)。

(2)        配置无线服务

# 创建无线服务。

在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮。

l              设置无线服务名称为“Roam”。

认证方式的配置请参考“无线服务”,需要注意的是,只有使用RSN+802.1x认证方式时,客户端才能进行快速漫游。

 

l              单击<确定>按钮完成操作。

# 开启无线服务。

在导航栏中选择“无线服务 > 接入服务”。

l              选中“Roam”前的复选框,

l              单击<开启>按钮完成操作。

(3)        绑定AP的射频

在导航栏中选择“无线服务 > 接入服务”,在列表里点击无线服务Roam右边的“绑定”按钮,进入如图1-10所示页面。

图1-10 绑定AP的射频

 

l              选中“ap1 802.11g”和“ap2 802.11n(2.4GHz)”前的复选框。

l              单击<绑定>按钮完成操作。

(4)        开启射频

在导航栏中选择“射频 > 射频设置”,进入图1-11所示射频设置页面。

图1-11 开启射频

 

l              在列表里找到需要开启的AP名称及相应的射频模式,选中“ap1 802.11g”和“ap2 802.11n(2.4GHz)”前的复选框。

l              单击<开启>按钮完成操作。

3. 验证配置结果

(1)        通过查看客户端的漫游信息验证

在界面左侧的导航栏中选择“概览 > 客户端”,进入页面后,选择“漫游信息”页签,点击指定的客户端后,可以查看相关的详细信息。

从漫游信息里可以看到一开始客户端从AP1接入无线网络,该AP的BSSID为000f-e27b-3d90。

图1-12 漫游前的客户端状态

 

发生AC内漫游后,从漫游信息里可以看到客户端从AP2接入无线网络,该AP的BSSID为000f-e233-5500。

图1-13 漫游后的客户端状态

 

(2)        通过Roam Status字段验证

发生漫游后,在界面左侧的导航栏中选择“概览 > 客户端”,进入页面后,选择“详细信息”页签,点击指定的客户端后,可以发现在Roam Status字段处显示Intra-AC roam association。

图1-14 验证AC内漫游

 

4. 配置注意事项

AC内漫游要求两个AP的SSID应该保持一致,即在1.3.1  2. (3)绑定AP的射频中同一个无线服务应该绑定到两个AP射频上。

1.3.2  AC间漫游典型配置举例

1. 组网需求

AC 1和AC 2通过一个二层交换机连接,两个AC处于同一个网段,AC 1的IP地址为192.168.1.100;AC 2的IP地址为192.168.1.101。客户端先通过AP 1连接至无线网络,然后漫游到与AC 2相连的AP 2上。

图1-15 AC间漫游组网图

 

2. 配置步骤

如果选择的认证方式涉及远程认证,需要对相关Radius服务器进行设置,具体步骤请参见“认证”。

 

(1)        建立CAPWAP连接

配置AC 1和AC 2,使AP 1和AC 1之间建立CAPWAP连接,AP 2和AC 2之间建立CAPWAP连接。在建立CAPWAP连接后,在两个AC上才能看到AP都处于Run状态。在界面左侧的导航栏中选择“概览 > AP”或“AP > AP设置”可以查看AP状态。

相关配置请参见“无线服务”,可以完全参照相关举例完成配置。

认证方式的配置请参考“无线服务”,需要注意的是,只有使用RSN+802.1x认证方式时,客户端才能进行支持Key Caching技术的快速漫游。

 

(2)        配置漫游组

在AC 1上配置漫游组。

在界面左侧的导航栏中选择“漫游 > 漫游组设置”。

图1-16 在AC 1上配置漫游组

 

l              在服务状态栏选择“开启”。

l              选择地址类型为“IPV4”,并输入源地址,即AC 1的IP地址。

l              在成员地址中输入AC 2的IP地址,单击<添加>按钮完成成员地址添加操作。

l              单击<确定>按钮完成操作。

在AC 2上配置漫游组,此时源地址为AC 2的IP地址,成员地址为AC 1的IP地址。

3. 验证配置结果

(1)        验证漫游组的状态

在AC 1上可以看到:

图1-17 检查漫游组状态

 

同样在AC 2上可以看到:

图1-18 检查漫游组状态

 

漫游组已经处于正常状态。

(2)        通过查看客户端信息验证

当客户端从AP1漫游到AP2时,在AC 1设备界面左侧的导航栏中选择“漫游 > 客户端信息”,可以通过如图1-19所示的页面,查看到客户端已经从“192.168.1.100”漫出。

图1-19 查看客户端信息

 

当客户端从AP1漫游到AP2时,在AC 2设备界面左侧的导航栏中选择“漫游 > 客户端信息”,可以看到查看到客户端已经从“192.168.1.100”漫入。

(3)        通过查看客户端连接的AC以及客户端详细信息中的Roam Status字段验证

l              漫游前:在AC 1设备界面左侧的导航栏中选择“概览 > 客户端”,可以查看到客户端的信息,说明客户端和AP 1关联。

l              漫游后:在AC 1设备界面左侧的导航栏中选择“概览 > 客户端”,由于客户端已经从AP 1漫游到AP 2,在AC 1设备上不会有该客户端的信息。在AC 2设备界面左侧的导航栏中选择“概览 > 客户端”,进入页面后,可以查看到客户端的信息。选择“详细信息”页签,点击指定的客户端后,可以发现在Roam Status字段处显示Inter-AC roam association,说明该客户端通是通过AC间漫游关联到AP 2。

图1-20 验证AC间漫游

 

(4)        通过查看BSSID字段验证

l              在界面左侧的导航栏中选择“概览 > 客户端”,进入页面后,选择“详细信息”页签,点击指定的客户端后,可以查看相关的详细信息。

l              从漫游信息里可以看到一开始客户端从AP1接入无线网络,该AP的BSSID为000f-e27b-3d90。

图1-21 漫游前的客户端状态

 

发生AC间漫游后,从漫游信息里可以看到客户端从AP2接入无线网络,该AP的BSSID为000f-e233-5500。

图1-22 漫游后的客户端状态

 

4. 配置注意事项

l              AC间漫游要求两个AP的SSID应该保持一致,并要求两个AP的接入方式必须完全一致。

l              两个AC上都需要进行漫游组配置。

l              不要将漫游组内的AC配置为双AC备份。

1.3.3  通过配置漫游成员地址所属VLAN实现流量引导典型配置举例

1. 组网需求

l              AC 1和AC 2通过一个二层交换机连接,两个AC处于同一个网段,AC 1的IP地址为192.168.1.100;AC 2的IP地址为192.168.1.101。

l              客户端先通过AP 1连接至无线网络,通过AC 1和AC 2之间的IACTP隧道,将客户端的流量引导到AC 2上。

图1-23 配置漫游成员的VLAN实现流量引导

 

2. 配置步骤

(1)        配置IP地址

在AC 1和AC 2上创建VLAN 3,并配置IP地址。在AC 1上VLAN 3的IP地址为192.168.3.100。AC 2上VLAN 3的IP地址为192.168.3.101。

# 在界面左侧的导航栏中选择“网路 > VLAN”,创建VLAN 3后的可以在“网络 > VLAN”页面看到如图1-24所示页面。

图1-24 创建VLAN

 

# 在界面左侧的导航栏中选择“设备 > 接口管理”,配置AC 1上VLAN 3的IP地址。

图1-25 配置IP地址

 

VLAN相关配置的详细介绍可以参考“平台Web配置手册  VLAN ”。

 

(2)        建立CAPWAP连接

配置AC 1,使AP 1和AC 1之间建立CAPWAP连接。

相关配置请参见“平台Web配置手册  无线服务”,可以完全参照相关举例完成配置。需要注意的十,创建服务模板时,需要将VLAN 3绑定到服务模板。

图1-26 创建服务模板

 

(3)        建立IACTP连接

在AC 1上配置漫游组。

# 在界面左侧的导航栏中选择“漫游 > 漫游组设置”。

图1-27 在AC 1上配置漫游组

 

l              在服务状态栏选择“开启”。

l              选择地址类型为“IPV4”,并输入源地址,即AC 1上VLAN 1的IP地址。

l              在成员地址中输入AC 2上VLAN 1的IP地址,单击<添加>按钮完成成员地址添加操作。

l              单击<确定>按钮完成操作。

# 在AC 2上配置漫游组,此时源地址为AC 2上VLAN 1的IP地址,成员地址为AC 1上VLAN 1的IP地址。具体配置页面如图1-28所示页面。

图1-28 在AC 2上配置漫游组

 

3. 验证配置结果

客户端通过SSID上线,此时客户端通过AP 1连接至无线网络,同时客户端的流量会被引导到AC 2。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!