09-漫游
本章节下载: 09-漫游 (655.96 KB)
目 录
IACTP(Inter Access Controller Tunneling Protocol 接入控制器间隧道协议)是H3C公司自主研发的隧道协议,该协议定义了AC(Access Controller,接入控制器)与AC之间是如何通信的。IACTP提供了无线控制器间报文的通用封装和传输机制,保证了AC之间的安全传输。无线控制器间通信的建立采用标准的TCP C/S模式。
多个无线控制器可以通过IACTP协议建立漫游组。在当前版本中一个漫游组最多允许有8个无线控制器。漫游组的建立和维护均由IACTP协议完成。
IACTP协议为应用(共享与交换信息)提供了一个控制通道,也同时提供封装AC间传输数据的数据通道。IACTP协议同时支持IPv4和IPv6。
当一个支持Key Caching快速漫游技术的用户终端第一次关联到漫游组内的任何一个无线控制器(该控制器即为他的家乡代理Home-AC,HA)时,客户端会和HA之间进行完整的802.1x认证,并会采用11Key进行密钥协商。客户端在漫游组内跨AC漫游之前,漫游组内的无线控制器之间(新关联的控制器为为他的外地代理Foreign-AC,FA)会进行客户端信息的同步。客户终端在发生漫游并关联到FA时不用再进行802.1x认证,FA可以快速认证客户端的信息,只需执行11key密钥协商即可在漫游组内实现方便地无缝漫游。
(1) 在界面左侧的导航栏中选择“漫游 > 漫游组设置”,进入如下图所示的页面。
(2) 配置漫游组,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
配置项 |
说明 |
服务状态 |
· 开启:开启IACTP服务 · 关闭:关闭IACTP服务 |
地址类型 |
选择类型为IPv4或IPv6 |
源地址 |
IACTP协议的源IP地址 |
认证模式 |
MD5:选用MD5认证模式。该选项对漫游功能来说是可选项 选用MD5认证模式可以验证控制报文的完整性。发起方使用MD5算法计算出报文内容的消息摘要,接收方(漫游组内的其他AC)也会使用MD5计算出消息摘要,如果得出的摘要和发送方的摘要相同,则表示报文是完整未经篡改的 |
认证密钥 |
MD5认证密钥。该选项对漫游功能来说是可选项 如果选用MD5认证模式,需要输入认证密钥 |
漫游组的配置只针对AC间漫游,AC间漫游的配置举例请参见“1.3.2 AC间漫游典型配置举例”。
(1) 在界面左侧的导航栏中选择“漫游 > 漫游组设置”,进入如下图所示的页面。
(2) 添加漫游组成员,详细配置如下表所示。
(3) 单击<添加>按钮完成成员添加。
(4) 单击<确定>按钮完成操作。
配置项 |
说明 |
成员地址 |
添加一个AC的IP地址到一个漫游组中 在配置漫游组时,同一漫游组内的AC的漫游组名应该保持一致 |
VLAN |
配置漫游组成员地址所属的VLAN 该选项为可选配置 |
· 不要将漫游组内的AC配置为双AC备份。
· 漫游组内的AC的用户方案配置必须保持一致,关于用户方案的详细介绍请参见“用户”。
(1) 在界面左侧的导航栏中选择“漫游 >客户端信息”,进入如下图所示的页面。
· 只有客户端发生AC间漫游时,才能通过“漫游 >客户端信息”查看到漫游的客户端信息。
· 客户端完成快速漫游后关联到FA上的AP,由于快速漫游的客户端信息保存在HA上,因此在该FA设备的“漫游 > 客户端信息”页面中的“漫游信息”页签上查看不到此客户端的漫游信息。
(2) 点击指定的客户端后,可以查看相关的详细信息和漫游信息。
通过“漫游 > 客户端信息”查看到的客户端的详细信息和漫游信息和通过“概览 > 客户端”查看到的内容完全一致,此部分内容请参见“概览”。
AC、AP 1和AP 2在VLAN 1中,客户端先通过AP 1连接至无线网络,然后从AP 1漫游到与同一无线控制器相连的AP 2上。
图1-4 AC内漫游组网图
如果选择的认证方式涉及远程认证,需要对相关Radius服务器进行设置,具体步骤请参见“认证”。
(1) 创建两个AP。
步骤1:在导航栏中选择“AP > AP设置”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置。
· 设置AP名称为“ap1”。
· 选择型号为“WA2620-AGN”。
· 选择序列号方式为“手动”,并输入AP的序列号。
步骤4:单击<确定>按钮完成操作。
使用同样方法创建另一个“ap2”。
(2) 配置无线服务
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<新建>按钮。
步骤3:进行如下配置。
· 设置无线服务名称为“Roam”。
认证方式的配置请参考“无线服务”,需要注意的是,只有使用RSN+802.1X认证方式时,客户端才能进行快速漫游。
· 单击<确定>按钮完成操作。
步骤4:开启无线服务。在导航栏中选择“无线服务 > 接入服务”。
步骤5:选中“Roam”前的复选框,单击<开启>按钮完成操作。
(3) 绑定AP的射频
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:在列表里点击无线服务Roam的操作栏中的图标,进入如下图所示页面。
步骤3:选中“ap1 802.11n(2.4GHz)”和“ap2 802.11n(2.4GHz)”前的复选框。
步骤4:单击<绑定>按钮完成操作。
图1-5 绑定AP的射频
(4) 开启射频
步骤1:在导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面。
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中“ap1 802.11n(2.4GHz)”和“ap2 802.11n(2.4GHz)”前的复选框。
步骤3:单击<开启>按钮完成操作。
图1-6 开启射频
(1) 通过查看客户端的漫游信息验证
步骤1:在界面左侧的导航栏中选择“概览 > 客户端”。
步骤2:进入页面后,选择“漫游信息”页签。
步骤3:点击指定的客户端后,可以查看相关的详细信息。从漫游信息里可以看到一开始客户端从AP 1接入无线网络,该AP的BSSID为000f-e27b-3d90。
图1-7 漫游前的客户端状态
步骤4:单击<刷新>按钮。出现如下图所示页面。发“漫游信息”页面上可以看到客户端完成AC内漫游后,客户端从AP 2接入无线网络,AP 2的BSSID为000f-e233-5500。
图1-8 漫游后的客户端状态
(2) 通过Roam Status字段验证
步骤1:客户端完成漫游后,在界面左侧的导航栏中选择“概览 > 客户端”。
步骤2:进入页面后,选择“详细信息”页签。
步骤3:点击指定的客户端后,可以发现在Roam Status字段处显示Intra-AC roam association。
图1-9 验证AC内漫游
AC内漫游要求两个AP的SSID应该保持一致,即在1.3.1 2. (3)绑定AP的射频中同一个无线服务应该绑定到两个AP射频上。
AC 1和AC 2通过一个二层交换机连接,两个AC处于同一个网段,AC 1的IP地址为192.168.1.100;AC 2的IP地址为192.168.1.101。客户端先通过AP 1连接至无线网络,然后漫游到与AC 2相连的AP 2上。
图1-10 AC间漫游组网图
如果选择的认证方式涉及远程认证,需要对相关Radius服务器进行设置,具体步骤请参见“认证”。
(1) 建立AC和AP间的连接
配置AC 1和AC 2,使AP 1和AC 1之间、AP 2和AC 2之间建立连接。在建立AC和AP间的连接后,在两个AC上才能看到AP都处于Run状态。在界面左侧的导航栏中选择“概览 > AP”或“AP > AP设置”可以查看AP状态。
相关配置请参见“无线服务”,可以完全参照相关举例完成配置。
认证方式的配置请参考“无线服务”,需要注意的是,只有使用RSN+802.1X认证方式时,客户端才能进行支持key caching技术的快速漫游。
(2) 配置漫游组
在AC 1上配置漫游组。
步骤1:在界面左侧的导航栏中选择“漫游 > 漫游组设置”。
步骤2:进行如下配置。
· 在服务状态栏选择“开启”。
· 选择地址类型为“IPv4”,并输入源地址,即AC 1的IP地址。
· 在成员地址中输入AC 2的IP地址,单击<添加>按钮完成成员地址添加操作。
步骤3:单击<确定>按钮完成操作。
图1-11 在AC 1上配置漫游组
在AC 2上配置漫游组,此时源地址为AC 2的IP地址,成员地址为AC 1的IP地址。(略)
(1) 验证漫游组的状态
步骤1:在AC 1上进行如下操作。在界面左侧的导航栏中选择“漫游 > 客户端信息”,可以查看到漫游组成员192.168.1.101处于“运行”状态。
图1-12 检查漫游组状态
步骤2:在AC 2上进行如下操作。在界面左侧的导航栏中选择“漫游 > 客户端信息”,可以查看到漫游组成员192.168.1.100也处于“运行”状态。
图1-13 检查漫游组状态
(2) 通过查看客户端信息验证
步骤1:当客户端从AP 1漫游到AP 2时,在AC 1设备界面左侧的导航栏中选择“漫游 > 客户端信息”,可以通过如下图所示的页面,查看到客户端已经从“192.168.1.100”漫出。
步骤2:当客户端从AP 1漫游到AP 2时,在AC 2设备界面左侧的导航栏中选择“漫游 > 客户端信息”,可以在“漫游方向”状态栏中看到查看到客户端已经从“192.168.1.100”漫入。
(3) 通过查看AC上客户端的连接情况以及客户端详细信息中的Roam Status字段验证
步骤1:客户端漫游前,在AC 1设备界面左侧的导航栏中选择“概览 > 客户端”,可以查看到客户端的信息,说明客户端和AP 1关联。
步骤2:客户端完成漫游后,在AC 1设备界面左侧的导航栏中选择“概览 > 客户端”,由于客户端已经从AP 1漫游到AP 2,在AC 1设备上不会有该客户端的信息。
步骤3:在AC 2设备界面左侧的导航栏中选择“概览 > 客户端”,进入如下图所示页面后,可以查看到客户端的信息。选择“详细信息”页签,点击指定的客户端后,可以发现在Roam Status字段处显示Inter-AC roam association,说明该客户端通是完成AC间漫游后,再关联到AP 2上的。
图1-15 验证AC间漫游
(4) 通过查看BSSID字段验证
步骤1:在AC 1设备界面左侧的导航栏中选择“概览 > 客户端”,进入页面后,选择“详细信息”页签,点击指定的客户端后,可以查看相关的详细信息。从“详细信息”页面上可以看到一开始客户端从AP 1接入无线网络,AP 1的BSSID为000f-e27b-3d90。
图1-16 漫游前的客户端状态
步骤2:在AC 2设备界面左侧的导航栏中选择“概览 > 客户端”,进入页面后,选择“详细信息”页签,点击指定的客户端后,可以查看相关的详细信息。从“详细信息”页面上可以查看到客户端完成AC间漫游后,客户端从AP 2接入无线网络,AP 2的BSSID为000f-e233-5500。
图1-17 漫游后的客户端状态
· AC间漫游要求两个AP的SSID应该保持一致,并要求两个AP的接入方式必须完全一致。
· 两个AC上都需要进行漫游组配置。
· 不要将漫游组内的AC配置为双AC备份。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!