- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-WLAN漫游配置
本章节下载: 01-WLAN漫游配置 (524.17 KB)
目 录
2.2.4 FT Over-the-DS方式802.11r典型配置举例(PSK模式)
2.2.5 FT Over-the-DS方式802.11r典型模式配置举例(802.1X)
3.10 配置设备加入漫游组时建立IADTP隧道的源IP地址
3.11 配置设备发送的IADTP隧道控制报文的DSCP优先级
在同属于一个ESS(Extended Service Set,拓展服务集)区域中的不同AP覆盖范围内,无线客户端从一个AP上接入转移到另一个AP上接入的过程称为漫游。在漫游期间,客户端的IP地址、授权信息等维持不变。
如图1-1所示,客户端漫游的具体过程如下:
(1) 客户端在Radio 1上初始上线,在FAT AP上会创建该客户端的漫游表项信息(漫游表项信息主要包括客户端上线SSID、PMKID、认证方式、安全认证模式以及漫游VLAN等)。
(2) 客户端漫游到Radio 2,FAT AP查找该客户端的漫游表项。
(3) 客户端重新认证,在Radio 2上上线。
图1-1 WLAN漫游实现方式介绍示意图
无线客户端漫游表项记录了客户端的PMK列表、接入VLAN以及其他授权信息。无线客户端断开连接之后,如果在客户端Cache老化时间内再次成功关联AP,则可继承表项记录的各种授权信息,实现快速漫游。如果客户端离线时间超过了老化时间,系统会自动清除该客户端的记录。
配置无线客户端漫游表项的老化时间为0时,表示客户端下线之后会立即删除客户端漫游表项相关信息,客户端无法实现快速漫游。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置客户端漫游表项老化时间。
client cache aging-time aging-time
缺省情况下,无线客户端漫游表项的老化时间为180秒。
在完成上述配置后,在任意视图下执行display命令可以显示配置后的漫游运行情况,通过查看显示信息验证配置的效果。
表1-1 WLAN漫游显示和维护
|
操作 |
命令 |
|
显示客户端的漫游跟踪信息 |
display wlan mobility roam-track mac-address mac-address |
如图1-2所示,要求客户端在FAT AP内的不同Radio间进行漫游。
图1-2 WLAN漫游典型配置组网图
# 创建无线服务模板service1,配置SSID为trade-off,并开启服务模板。
<AP> system-view
[AP] wlan service-template service1
[AP-wlan-st-service1] ssid trade-off
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
# 将无线服务模板service1绑定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template service1
[AP-WLAN-Radio1/0/1] quit
# 将无线服务模板service1绑定到WLAN-Radio 1/0/2接口。
[AP] interface wlan-radio 1/0/2
[AP-WLAN-Radio1/0/2] undo shutdown
[AP-WLAN-Radio1/0/2] service-template service1
[AP-WLAN-Radio1/0/2] quit
(1) 客户端在AP初次上线后,在AP上查看客户端的漫游信息。
# 通过display wlan client命令可以查看客户端关联到AP的Radio 1,漫游状态为初始上线。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : bce2-659a-3232
IPv4 address : 192.168.0.5
IPv6 address : N/A
Username : N/A
AID : 978
Radio ID : 1
Channel : 36
SSID : trade-off
BSSID : 74ea-c8fd-c1e0
VLAN ID : 1
Sleep count : 25
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Beamformee STS capability : 1
Number of Sounding Dimensions : 0
SU beamformee capability : Supported
MU beamformee capability : Supported
Block Ack : TID 0 Both
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 3
RSSI : 40
Rx/Tx rate : 263.3/325 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 28seconds
FT status : Inactive
# 通过display wlan mobility roam-track mac-address可以查看到客户端的漫游跟踪信息。
[AP] display wlan mobility roam-track mac-address bce2-659a-3232
Total entries: 1
Current entries: 1
BSSID Created at Online time AP IP address RID AP name
74ea-c8fd-c1e0 2016-02-06 02:40:09 00h 09m 34s 127.0.0.1 1 fatap
(2) 客户端漫游到Radio 2后,在AP上查看客户端的漫游信息。
# 通过display wlan client可以查看到客户端关联的Radio变成Radio 2,漫游状态为AP内漫游。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : bce2-659a-3232
IPv4 address : 192.168.0.5
IPv6 address : N/A
Username : N/A
AID : 978
Radio ID : 2
Channel : 36
SSID : trade-off
BSSID : 74ea-c8fd-c200
VLAN ID : 1
Sleep count : 49
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 In
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 3
RSSI : 40
Rx/Tx rate : 6.5/6.5 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : Intra-AP roam
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 54seconds
FT status : Inactive
# 通过display wlan mobility roam-track mac-address可以查看到漫游跟踪信息增添了客户端漫游到Radio 2的漫游轨迹。
[AP] display wlan mobility roam-track mac-address bce2-659a-3232
Total entries: 2
Current entries: 2
BSSID Created at Online time AP IP address RID AP name
74ea-c8fd-c200 2016-02-06 03:04:09 00h 04m 49s 127.0.0.1 2 fatap
74ea-c8fd-c1e0 2016-02-06 03:00:21 00h 01m 02s 127.0.0.1 1 fatap
WLAN漫游增强技术目前包括以下几种:
· 802.1X快速漫游:当客户端认证方式为RSN+802.1X认证,可以进行802.1X快速漫游,客户端不需要再次认证即可完成漫游上线。
· MAC快速漫游:当客户端认证方式为MAC地址认证时,可以进行MAC快速漫游,客户端不需要再次认证即可完成漫游上线。
· 802.11r:用来缩短无线客户端在漫游过程中的时间延迟,从而降低无线客户端连接中断率,提高漫游服务质量。
如图2-1所示,AP内漫游场景下,802.1X快速漫游机制的具体过程如下:
(1) 客户端在Radio 1上初始上线,在AP上会创建该客户端的漫游表项信息。有关802.1X认证的详细介绍,请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。
(2) 客户端漫游到Radio 2,AP查找该客户端的漫游表项,当客户端认证方式为RSN+802.1X认证,且客户端携带的PMKID和设备缓存的PMKID校验一致时,就认为客户端已经进行过802.1X认证,直接跳过认证过程,利用缓存的PMK进行密钥协商以及后续的漫游上线。
设备支持以下两种方式缓存PMKID:
· SKC方式(Sticky Key Caching,粘滞密钥缓存):直接缓存无线客户端在802.1X认证过程中产生的PMKID。
· OKC方式(Opportunistic Key Caching,机会密钥缓存):使用无线客户端当前进行关联的BSSID以及客户端MAC地址、设备缓存的PMK等重新计算出PMKID。
无论是SKC方式还是OKC方式,均不需要配置,即可完成802.1X快速漫游。
图2-1 802.1X快速漫游示意图
如图2-2所示,AP间漫游场景中,802.1X快速漫游机制的具体过程如下。
(1) AP 1和AP 2组成漫游组,客户端在AP 1上通过802.1X认证初始上线,在AP 1上会创建该客户端的漫游表项。有关802.1X认证的详细介绍,请参见“用户接入与认证指导”中的“WLAN用户接入认证”。
(2) AP 1通过IADTP隧道将漫游表项同步到漫游组成员AP 2上。
(3) 客户端漫游到AP 2,AP 2查找该客户端的漫游表项,当客户端认证方式为RSN+802.1X认证,且客户端携带的PMKID和设备缓存的PMKID检验一致时,就认为客户端已经进行过802.1X认证,直接跳过认证过程,利用缓存的PMK进行密钥协商以及后续的漫游上线。
图2-2 AP间802.1X快速漫游示意图
802.11r的核心功能是FT(Fast BSS Transition,快速BSS切换),它主要用来减少客户端在漫游过程中的时间延迟,从而降低连接中断概率、提高漫游服务质量。
FT支持两种实现方式:
· Over-the-Air:客户端直接与目标Radio通信,进行漫游前的认证,适用于对漫游兼容性要求高的场景。建议采用本方式配置FT功能。
· Over-the-DS:客户端通过当前Radio与目标Radio通信,进行漫游前的认证,适用于对漫游性能要求高的场景。
如图2-3所示,客户端在Radio间(Radio 1到Radio 2)漫游时,信息交互过程如下:
(1) 客户端已经与Radio 1连接并且要漫游到Radio 2;
(2) 客户端向Radio 2发送认证请求;
(3) 客户端收到Radio 2的认证请求回应;
(4) 客户端向Radio 2发送重关联请求;
(5) 客户端收到Radio 2的重关联请求回应;
(6) 客户端完成从Radio 1到Radio 2的漫游。
图2-3 Over-the-Air方式漫游示意图
如图2-4所示,AP 1和AP 2连接Switch,在同一漫游组内漫游的信息交互过程如下:
(1) 客户端与Radio 1建立连接;
(2) AP 1同步客户端漫游信息(PMK、VLAN等信息)到AP 2;
(3) 客户端准备漫游,发送FT认证请求到Radio 2;
(4) 客户端收到Radio 2发送的FT认证回复;
(5) 客户端向Radio 2发送重关联请求;
(6) 客户端收到Radio 2的重关联请求回应;
(7) 客户端完成从Radio 1到Radio 2的漫游。
图2-4 AP间Over-the-Air方式漫游示意图
如图2-5所示,客户端在Radio间(Radio 1到Radio 2)漫游时,信息交互过程如下:
(1) 客户端与Radio 1建立连接;
(2) 客户端准备漫游,向Radio 1发送FT认证请求;
(3) 客户端收到Radio 1的FT认证回复;
(4) 客户端向Radio 2发送重关联请求;
(5) 客户端收到Radio 2的重关联请求回应;
(6) 客户端完成从Radio 1到Radio 2的漫游。
图2-5 Over-the-Ds方式漫游示意图
配置802.11r的FT功能,需要注意的是:
· 如果有客户端无法关联使能了FT功能的服务,可能是由于客户端的型号较早而不支持FT协议。此时可以创建两个SSID相同的服务,一个使能FT功能,另一个不使能FT功能,而其它配置均相同,以便客户端可以正常使用网络服务。
· 不建议在服务模板下同时开启FT功能和802.1X周期性重认证功能,否则会导致客户端在每次重认证时间间隔到达时重新上线。关于802.1X周期性重认证功能的介绍和配置请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。
· 快速BSS切换协商成功的客户端,不支持PTK更新。关于PTK更新的介绍和配置请参见“WLAN安全配置指导”中的“WLAN用户安全”。
· 未配置身份认证与密钥管理模式时,不支持开启FT功能。
· 802.11r功能需配置AP发送信标和探查响应帧时携带RSN IE,认证方式不为本地认证、加密套件为CCMP时生效。
· 802.11r目前支持同一设备内的漫游组网方式和漫游组。
· 802.11r功能仅能在服务模板未使能的情况下进行配置。
· 请不要同时开启FT功能、WPA3安全模式或增强开放系统认证服务,否则会导致无线服务模板使能失败。WPA3安全模式和增强开发系统认证服务的详细信息请参见“WLAN安全配置指导”中的“WLAN用户安全”。
(1) 进入系统视图。
system-view
(2) 配置WLAN服务模板。
wlan service-template service-template-name
(3) 开启FT功能。
ft enable
缺省情况下,FT功能处于关闭状态。
(4) (可选)配置FT方式。
ft method { over-the-air | over-the-ds }
缺省情况下,FT方式为over-the-air。
(5) (可选)配置重关联超时时间。
ft reassociation-timeout timeout
缺省情况下,重关联超时时间为20秒。
重关联超时时间指的是,客户端在完成认证后,客户端发起重关联请求的最大时间间隔。如果在此时间内客户端没有发起重关联,则会终止此次漫游。
如图2-6所示,客户端在不同Radio间进行漫游,使用Over-the-DS方式,通过PSK模式对客户端进行身份认证与密钥管理。
图2-6 FT Over-the-DS方式PSK身份认证与密钥管理模式配置组网图
# 创建无线服务模板acstname。
<AP> system-view
[AP] wlan service-template acstname
# 配置无线服务的SSID为service。
[AP-wlan-st-acstname] ssid service
# 配置身份认证与密钥管理的模式是PSK模式,配置使用明文字符串12345678作为PSK密钥。
[AP-wlan-st-acstname] akm mode psk
[AP-wlan-st-acstname] preshared-key pass-phrase simple 12345678
# 配置AES-CCMP加密套件,配置在AP发送信标和探查响应帧时携带RSN IE。
[AP-wlan-st-acstname] cipher-suite ccmp
[AP-wlan-st-acstname] security-ie rsn
# 开启FT功能。
[AP-wlan-st-acstname] ft enable
# 配置重关联超时时间为50秒。
[AP-wlan-st-acstname] ft reassociation-timeout 50
# 配置FT方式为Over-the-DS。
[AP-wlan-st-acstname] ft method over-the-ds
# 使能无线服务。
[AP-wlan-st-acstname] service-template enable
[AP-wlan-st-acstname] quit
# 将无线服务模板acstname绑定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template acstname
[AP-WLAN-Radio1/0/1] quit
# 将无线服务模板acstname绑定到WLAN-Radio 1/0/2接口。
[AP] interface wlan-radio 1/0/2
[AP-WLAN-Radio1/0/2] undo shutdown
[AP-WLAN-Radio1/0/2] service-template acstname
# 在AP上通过display wlan service-template命令可以查看服务模板的配置情况。
[AP] display wlan service-template acstname verbose
Service template name : acstname
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless-roam status : Disabled
Seamless-roam RSSI threshold : 50
Seamless-roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : PSK
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : Not configured
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT Status : Enable
FT Method : over-the-ds
FT Reassociation Deadline : 50 sec
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Disabled
# 客户端上线后,在AP上通过display wlan client verbose命令可以查看客户端的详细信息。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 1
AP name : 1
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e266-7788
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : RSN
AKM mode : PSK
Encryption cipher : CCMP
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 1minutes 13seconds
FT status : Active
# 客户端漫游成功后,在AP上通过display wlan client verbose命令,可以看到结果如下。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : 2
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e211-2233
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : FT
Security mode : RSN
AKM mode : PSK
Encryption cipher : CCMP
User authentication mode : Bypass
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : Intra-AP roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Active
如图2-6所示,客户端在不同Radio间进行漫游,使用Over-the-DS方式,通过802.1X模式对客户端进行身份认证与密钥管理。
# 创建无线服务模板stname。
<AP> system-view
[AP] wlan service-template stname
# 配置无线服务的SSID为service。
[AP-wlan-st-stname] ssid service
# 配置身份认证与密钥管理的模式是802.1X模式。
[AP-wlan-st-stname] akm mode dot1x
# 配置AES-CCMP加密套件,配置在AP发送信标和探查响应帧时携带RSN IE。
[AP-wlan-st-stname] cipher-suite ccmp
[AP-wlan-st-stname] security-ie rsn
# 配置客户端安全认证方式为802.1X。
[AP-wlan-st-stname] client-security authentication-mode dot1x
[AP-wlan-st-stname] dot1x domain imc
# 开启FT功能。
[AP-wlan-st-stname] ft enable
# 配置FT方法为Over-the-DS。
[AP-wlan-st-stname] ft method over-the-ds
# 使能无线服务。
[AP-wlan-st-stname] service-template enable
[AP-wlan-st-stname] quit
# 配置802.1X认证方式为EAP。
[AP] dot1x authentication-method eap
# 创建RADIUS方案imcc。配置主认证服务器的IP地址为10.1.1.3,与认证服务器交互报文时的共享密钥为明文12345678。配置主计费服务器的IP地址为10.1.1.3,与计费服务器交互报文时的共享密钥为明文12345678。配置发送给RADIUS服务器的用户名不带ISP域名。
[AP] radius scheme imcc
[AP-radius-imcc] primary authentication 10.1.1.3
[AP-radius-imcc] primary accounting 10.1.1.3
[AP-radius-imcc] key authentication simple 12345678
[AP-radius-imcc] key accounting simple 12345678
[AP-radius-imcc] user-name-format without-domain
[AP-radius-imcc] quit
# 创建认证域并配置使用RADIUS方案进行认证、授权、计费。
[AP] domain imc
[AP-isp-imc] authentication lan-access radius-scheme imcc
[AP-isp-imc] authorization lan-access radius-scheme imcc
[AP-isp-imc] accounting lan-access radius-scheme imcc
[AP-isp-imc] quit
# 将无线服务模板stname绑定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template stname
[AP-WLAN-Radio1/0/1] quit
# 将无线服务模板stname绑定到WLAN-Radio 1/0/2接口。
[AP] interface wlan-radio 1/0/2
[AP-WLAN-Radio1/0/2] undo shutdown
[AP-WLAN-Radio1/0/2] service-template stname
# 在AP上通过display wlan service-template命令可以查看服务模板的配置情况。
[AP] display wlan service-template stname verbose
Service template name : stname
Description : Not configured
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless-roam status : Disabled
Seamless-roam RSSI threshold : 50
Seamless-roam RSSI gap : 20
VLAN ID : 1
Service VLAN ID : N/A
Service VLAN TPID : dot1q
AKM mode : 802.1X
Security IE : RSN
Cipher suite : CCMP
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Disabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : 802.1X
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : imc
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT Status : Enable
FT Method : over-the-ds
FT Reassociation Deadline : 20 sec
QoS trust : Port
QoS priority : 0
QoS U-APSD mode : 1
BTM status : Disabled
# 客户端上线后,在AP上通过display wlan client verbose命令可以看到结果如下。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 1
AP name : 1
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e266-7788
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Encryption cipher : CCMP
User authentication mode : 802.1X
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 1minutes 13seconds
FT status : Active
# 客户端漫游成功后,在AP上通过display wlan client verbose命令可以看到结果如下。
[AP] display wlan client verbose
Total number of clients: 1
MAC address : fc25-3f03-8361
IPv4 address : 10.1.1.114
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 2
AP name : 2
Radio ID : 1
Channel : 36
SSID : service
BSSID : 000f-e211-2233
VLAN ID : 1
VLAN ID2 : N/A
Sleep count : 242
Wireless mode : 802.11ac
Channel bandwidth : 80MHz
SM power save : Enabled
SM power save mode : Dynamic
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
SU beamformee capability : Not supported
MU beamformee capability : Not supported
Beamformee STS capability : N/A
Block Ack : TID 0 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20,
21, 22, 23
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11
Authentication method : FT
Security mode : RSN
AKM mode : 802.1X
Encryption cipher : CCMP
User authentication mode : 802.1X
Authorization ACL ID : 3001(Not effective)
Authorization user profile : N/A
Roam status : Intra-AP roam
Key derivation : SHA1
PMF status : Enabled
Forward policy name : Not configured
Online time : 0days 0hours 5minutes 13seconds
FT status : Active
多个设备可以加入一个相同的组,客户端可以在组内漫游,该组即为漫游组,在漫游组漫游期间,客户端的IP地址、授权信息等维持不变,可以实现客户端在更大物理区域内的漫游。
· IADTP(Inter Access Device Tunneling Protocol,接入设备间隧道协议):H3C私有隧道协议,该协议提供了设备间报文的通用封装和传输机制。提供漫游服务的设备之间会建立IADTP隧道,用于保证设备间控制报文以及客户端漫游信息的安全传输。
· HA(Home-AP):一个客户端首次与IADTP隧道内的某个AP进行关联,该AP即为它的HA。
· FA(Foreign-AP):客户端跨AP漫游后,客户端与某个不是HA的AP进行关联,该AP即为FA。
· 漫游组:多个设备可以加入一个相同的组,客户端可以在组内漫游,该组即为漫游组。
如图3-1所示,客户端从AP 1漫游到AP 2上接入。该组网方式下,通过创建漫游组,统一管理参与漫游的FAT AP,没有加入漫游组的FAT AP将不参与漫游。
客户端完成FAT AP间漫游的过程如下:
(1) 客户端在AP 1上初始上线,在AP 1上会创建该客户端的漫游表项,并通过IADTP隧道将漫游表项同步到漫游组成员AP 2上;
(2) 客户端漫游到AP 2,AP 2查找该客户端的漫游表项,如果是RSN+802.1X认证方式,且客户端携带的PMKID和设备缓存的PMKID一致,则对其进行快速漫游,其他情况,则不对其进行快速漫游;
(3) 如果进行快速漫游,客户端不需要再次认证,即可在AP 2上成功上线;否则需要重新认证;
(4) 客户端在AP 2上线,AP 2会给AP 1发送漫游请求消息;
(5) AP 1收到漫游请求消息,并校验漫游信息是否正确。如果校验失败,则给AP 2回复漫游失败的漫游响应消息。如果校验成功,AP 1添加该客户端的漫游轨迹和漫出信息,并给AP 2回复漫游成功的漫游响应信息;
(6) AP 2收到AP 1回复的漫游响应信息。如果漫游失败,AP 2将通知客户端下线;如果漫游成功,AP 2添加该客户端的漫入信息。
图3-1 漫游组实现方式示意图
漫游组中的成员设备分为如下角色:
· Client端:负责发起连接建立请求。
· Server端:监听并应答连接建立请求。
缺省情况下,IP地址小的成员设备作为Client端,IP地址大的成员设备作为Server端。如果漫游组成员设备跨NAT设备,则需要手工指定成员设备在漫游组中的角色。
设备间建立IADTP隧道的具体过程如下:
(1) Device A向Device B发送Join Request报文。
(2) Device B收到Join Request报文后,根据本地配置和报文内容判断是否和Device A属于同一漫游组。当属于同一漫游组时,回复Result Code为成功的Join Response报文;否则,回复Result Code为失败的Join Response报文。
(3) Device A收到Result Code为成功的Join Response报文后,会向Device B发送Join Confirm报文,建立IADTP隧道;否则,不回复报文。
(4) Device B收到Join Confirm报文后,建立IADTP隧道。
图3-2 IADTP隧道建立过程
配置漫游组,需要注意以下事项:
· 对于配置用户接入认证位置在AP的无线服务模板,不支持客户端漫游。有关用户接入认证位置相关配置的详细介绍请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。
· 如果存在RSN+802.1X认证方式的客户端,且客户端所属的VLAN不同时,同一漫游组内的设备上行接口需要允许所有RSN+802.1X认证方式的客户端VLAN通过。
漫游组配置任务如下:
(1) 创建漫游组
(2) (可选)配置漫游组认证模式
(5) (可选)配置设备发送的IADTP隧道控制报文的DSCP优先级
(6) 添加漫游组内的成员
在手动和自动添加漫游组内的成员设备中选择一项任务进行配置:
(7) (可选)配置本成员设备在漫游组中的角色
(8) (可选)关闭IADTP数据隧道功能
(9) 开启漫游组功能
(10) (可选)开启漫游组隧道隔离功能
属于同一个漫游组的每个设备上都必须创建漫游组,并互相添加漫游组成员。每个设备上只允许创建一个漫游组。
(1) 进入系统视图。
system-view
(2) 创建漫游组,并进入漫游组视图。
wlan mobility group group-name
配置认证模式后,所有在IADTP隧道中传输的控制消息都会附带一个摘要(完整性代码),当设备接收到控制消息后会使用相同的算法对消息内容进行计算,并与消息中所携带的摘要进行比较,以验证收到的消息的完整性。目前,漫游组认证模式仅支持MD5认证算法。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置漫游组认证模式。
authentication-mode authentication-mode { cipher | simple } string
缺省情况下,未配置漫游组认证模式。
创建漫游组之后,必须指定漫游组隧道IP地址类型。只有设备加入漫游组时建立IADTP隧道的源IP地址与隧道IP地址类型相同,设备加入漫游组时才会生效并建立隧道。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置漫游组IADTP隧道IP地址类型。
tunnel-type { ipv4 | ipv6 }
缺省情况下,IADTP隧道IP地址类型为IPv4。
设备在加入漫游组后需要使用IADTP隧道源IP地址和同一漫游组内成员设备建立IADTP隧道。
配置设备加入漫游组时建立IADTP隧道的源IP地址,需要注意的是:
· 只能在漫游组处于关闭状态的情况下,才能指定设备加入漫游组时建立IADTP隧道的源IP地址。
· 可以同时配置IPv4和IPv6类型的源地址,每种类型的源地址只能配置一个。
· 只有与漫游组IADTP隧道IP地址类型相同的源地址可以生效。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置设备加入漫游组时建立IADTP隧道的源IP地址。
source { ip ipv4-address | ipv6 ipv6-address }
缺省情况下,未配置建立IADTP隧道的源IP地址。
DSCP(Differentiated Services Code Point,差分服务编码点)携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。配置的DSCP优先级的取值越大,报文的优先级越高。
跨NAT设备建立IADTP隧道时,需要借助IPsec隧道功能完成IADTP控制隧道的加密和数据隧道的建立及加密。由于控制报文和数据报文缺省DSCP优先级都为0,当漫游隧道通过IPsec加密后,为了防止在IADTP隧道繁忙时,成员设备因为长时间接收不到IADTP隧道保活报文而断开IADTP隧道的连接,需要提高IADTP隧道保活报文发送的优先级。
建议配置设备发送的IADTP隧道控制报文的DSCP优先级为63。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置设备发送的IADTP隧道控制报文的DSCP优先级。
tunnel-dscp dscp-value
缺省情况下,设备发送的IADTP隧道控制报文的DSCP优先级为0。
漫游组内的成员设备通过IP地址标识,该IP地址为成员设备建立IADTP隧道的源IP地址。漫游组内可以同时添加IPv4和IPv6类型的漫游组成员,但是只有与隧道类型相同的成员可以生效。当指定了漫游组内的成员设备所属VLAN后,漫游组内的其他设备就可以直接转发属于该VLAN的客户端的数据流量,而无需客户端漫游到该设备上。
每一个成员只能属于一个漫游组,并且一个漫游组中最多可以添加31个IPv4漫游组成员或31个IPv6漫游组成员。配置漫游组内的成员设备所属VLAN后,该VLAN不能在应用于其它接口或业务。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 添加漫游组内的成员设备。
member { ip ipv4-address | ipv6 ipv6-address } [ vlan vlan-id-list ]
漫游组内的成员设备通过IP地址标识,该IP地址为成员设备建立IADTP隧道的源IP地址。漫游组内可以同时添加IPv4和IPv6类型的漫游组成员,但是只有与隧道类型相同的漫游组成员可以生效。
开启漫游组成员自动添加功能后,要加入漫游组的设备会通过自动添加成员设备报文在漫游组内广播自己的IP地址。漫游组的其它开启自动添加功能的设备收到广播报文后与要加入漫游组的设备建立IADTP隧道。隧道建立成功后,则设备成功加入漫游组。
每一个成员只能属于一个漫游组,并且一个漫游组中最多可以添加31个IPv4漫游组成员或31个IPv6漫游组成员,当漫游组成员达到最大数量后,当前设备不会再与其它设备建立IADTP隧道。
只能自动添加同一网段内的漫游组成员设备。
配置自动添加漫游组内的成员设备之前,请先通过source命令配置成员设备加入漫游组时建立IADTP隧道的源IP地址。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 开启漫游组成员自动添加功能。
member auto-discovery [ interval interval ]
缺省情况下,漫游组成员自动添加功能处于关闭状态。
当漫游组成员设备间跨NAT设备建立IADTP隧道时,外网设备无法主动向内网设备发起连接请求。缺省情况下IP地址小的成员设备作为Client端发起连接建立请求,IP地址大的成员设备作为Server端监听并应答连接建立请求,通过报文的交互最终完成IADTP隧道的建立。此时,如果外网设备的IP地址小于内网设备的IP地址,将无法建立IADTP隧道。在这种情况下,需要通过配置内网成员设备作为Client端发起连接建立请求,以便完成IADTP隧道的建立。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置本成员设备在漫游组中的角色。
role { client | server }
缺省情况下,漫游组中IP地址大的成员设备作为Server端,IP地址小的成员设备作为Client端。
为了减轻漫游组成员设备处理IADTP数据隧道上接收的广播报文的负担,并减少设备维护IADTP数据隧道的资源消耗,如果客户端漫游后所在的VLAN在当前成员设备上有业务出口,可以通过本功能关闭IADTP数据隧道,不再通过IADTP数据隧道转发客户端数据,直接通过业务出口转发。如果客户端漫游后所在的VLAN在当前成员设备上没有业务出口,不能关闭IADTP数据隧道功能,否则会造成客户端数据丢失。
漫游组内所有成员设备需要同时开启或者关闭IADTP数据隧道功能。
本功能只能在漫游组功能处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 关闭IADTP数据隧道功能。
data-tunnel disable
缺省情况下,IADTP数据隧道功能处于开启状态。
开启漫游组功能后,设备会使用IADTP隧道源IP地址与组内其他成员设备建立IADTP隧道,并同步漫游表项信息。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 开启漫游组功能。
group enable
缺省情况下,漫游组功能处于关闭状态。
同一漫游组内的多台设备间存在环路时,需要开启漫游组隧道隔离功能,确保设备不会在漫游组的隧道之间转发报文,从而避免出现广播风暴等问题。
(1) 进入系统视图。
system-view
(2) 开启漫游组隧道隔离功能。
wlan mobility-group-isolation enable
缺省情况下,漫游组隧道隔离功能处于开启状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后的漫游运行情况,通过查看显示信息验证配置的效果。
表3-1 漫游组显示和维护
|
操作 |
命令 |
|
显示客户端漫入或漫出的信息 |
display wlan mobility { roam-in | roam-out } [ member { ip ipv4-address | ipv6 ipv6-address } ] |
|
显示漫游组的信息 |
display wlan mobility group [ member { ip ipv4-address | ipv6 ipv6-address } ] |
|
显示客户端的漫游次数 |
display wlan mobility roam-count |
如图3-3所示,在一个无线网络中,有两台FAT AP,现要求客户端可以在FAT AP内漫游,也可以跨FAT AP漫游。
(1) 配置AP 1
# 创建无线服务模板service1,配置SSID为trade-off,并开启服务模板。
<AP1> system-view
[AP1] wlan service-template service1
[AP1-wlan-st-service1] ssid trade-off
[AP1-wlan-st-service1] service-template enable
[AP1-wlan-st-service1] quit
# 将无线服务模板service1绑定到WLAN-Radio 1/0/1接口。
[AP1] interface wlan-radio 1/0/1
[AP1-WLAN-Radio1/0/1] undo shutdown
[AP1-WLAN-Radio1/0/1] service-template service1
[AP1-WLAN-Radio1/0/1] quit
# 将无线服务模板service1绑定到WLAN-Radio 1/0/2接口。
[AP1] interface wlan-radio 1/0/2
[AP1-WLAN-Radio1/0/2] undo shutdown
[AP1-WLAN-Radio1/0/2] service-template service1
[AP1-WLAN-Radio1/0/2] quit
# 创建漫游组office。
[AP1] wlan mobility group office
# 配置漫游组IADTP隧道IP地址类型为IPv4。
[AP1-wlan-mg-office] tunnel-type ipv4
# 配置AP加入漫游组时建立IADTP隧道的源IP地址为10.1.4.22。
[AP1-wlan-mg-office] source ip 10.1.4.22
# 添加漫游组内的AP成员,该AP成员用于建立IADTP隧道的源IP地址为10.1.4.23。
[AP1-wlan-mg-office] member ip 10.1.4.23
# 开启漫游组功能。
[AP1-wlan-mg-office] group enable
[AP1-wlan-mg-office] quit
(2) 配置AP 2
# 创建无线服务模板service1,配置SSID为trade-off,并开启服务模板。
<AP2> system-view
[AP2] wlan service-template service1
[AP2-wlan-st-service1] ssid trade-off
[AP2-wlan-st-service1] service-template enable
[AP2-wlan-st-service1] quit
# 将无线服务模板service1绑定到WLAN-Radio 1/0/1接口。
[AP2] interface wlan-radio 1/0/1
[AP2-WLAN-Radio1/0/1] undo shutdown
[AP2-WLAN-Radio1/0/1] service-template service1
[AP2-WLAN-Radio1/0/1] quit
# 将无线服务模板service1绑定到WLAN-Radio 1/0/2接口。
[AP2] interface wlan-radio 1/0/2
[AP2-WLAN-Radio1/0/2] undo shutdown
[AP2-WLAN-Radio1/0/2] service-template service1
[AP2-WLAN-Radio1/0/2] quit
# 创建漫游组office。
[AP2] wlan mobility group office
# 配置漫游组IADTP隧道IP地址类型为IPv4。
[AP2-wlan-mg-office] tunnel-type ipv4
# 配置AP加入漫游组时建立IADTP隧道的源IP地址为10.1.4.23。
[AP2-wlan-mg-office] source ip 10.1.4.23
# 添加漫游组内的AP成员,该AP成员用于建立IADTP隧道的源IP地址为10.1.4.22。
[AP2-wlan-mg-office] member ip 10.1.4.22
# 开启漫游组功能。
[AP2-wlan-mg-office] group enable
[AP2-wlan-mg-office] quit
# 在AP 1查看漫游组信息。
[AP1] display wlan mobility group
Mobility group name: office
Tunnel type: IPv4
Source IPv4: 10.1.4.22
Source IPv6: Not configured
Authentication method: Not configured
Mobility group status: Enabled
Member entries: 1
IP address State Online time
10.1.4.23 Up 00hr 00min 12sec
# 在AP 2查看漫游组信息。
[AP2] display wlan mobility group
Mobility group name: office
Tunnel type: IPv4
Source IPv4: 10.1.4.23
Source IPv6: Not configured
Authentication method: Not configured
Mobility group status: Enabled
Member entries: 1
IP address State Online time
10.1.4.22 Up 00hr 00min 05sec
# 在AP 1上通过display wlan mobility roam-track mac-address可以查看到客户端在AP 1初始上线,随后漫游到AP 2上。
[AP1] display wlan mobility roam-track mac-address bce2-659a-3232
Total entries : 2
Current entries: 2
BSSID Created at Online time AP IP address RID AP name
74ea-c8fd-c200 2016-06-14 11:12:28 00hr 06min 56sec 10.1.4.23 2 ap2
74ea-c8fd-c1e0 2016-06-14 11:11:28 00hr 03min 30sec 127.0.0.1 1 ap1
# 在AP 1上通过display wlan mobility roam-out可以查看到客户端漫出到AP 2上漫出信息。
[AP1] display wlan mobility roam-out
Total entries: 1
MAC address BSSID VLAN ID Online time FA IP address
bce2-659a-3232 74ea-c8fd-c200 1 00hr 01min 59sec 10.1.4.23
# 在AP 2上通过display wlan client可以查看到客户端关联的AP为AP 2,漫游状态为AP间漫游。
[AP2] display wlan client verbose
Total number of clients: 1
MAC address : bce2-659a-3232
IPv4 address : 192.168.0.5
IPv6 address : N/A
Username : N/A
AID : 978
Radio ID : 2
Channel : 36
SSID : trade-off
BSSID : 74ea-c8fd-c200
VLAN ID : 1
Sleep count : 49
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 In
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 3
RSSI : 40
Rx/Tx rate : 6.5/6.5 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : Inter-AP roam
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 54seconds
FT status : Inactive
# 在AP 2上通过display wlan mobility roam-in命令可以查看到客户端从AP 2漫入的漫入信息。
[AP2] display wlan mobility roam-in
Total entries: 1
MAC address BSSID VLAN ID HA IP address
bce2-659a-3232 74ea-c8fd-c200 1 10.1.4.22
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
