- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-WLAN漫游配置
本章节下载: 02-WLAN漫游配置 (611.38 KB)
目 录
2.6.4 配置设备对异常802.11kv无线客户端进行非802.11kv处理
3.10 配置设备加入漫游组时建立IADTP隧道的源IP地址
3.11 配置设备发送的IADTP隧道控制报文的DSCP优先级
在同属于一个ESS(Extended Service Set,拓展服务集)区域中的不同BSS(Basic Service Set,基本服务集)覆盖范围内,无线客户端从一个BSS上接入转移到另一个BSS上接入的过程称为漫游。在漫游期间,客户端的IP地址、授权信息等维持不变。
如图1-1所示,客户端漫游的具体过程如下:
(1) 客户端在AP 1上初始上线,在AC上会创建该客户端的漫游表项信息(漫游表项信息主要包括客户端上线SSID、PMKID、认证方式、安全认证模式以及漫游VLAN等)。
(2) 客户端漫游到AP 2,AC查找该客户端的漫游表项。
(3) 客户端重新认证,在AP 2上上线。
图1-1 WLAN漫游实现方式介绍示意图
如图1-2所示,当客户端从AP 1漫游到AP 2时,设备无需任何特殊配置,即可完成跨VLAN的漫游。漫游具体过程请参见“WLAN漫游实现方式介绍”。
无线客户端漫游表项记录了客户端的PMK列表、接入VLAN以及其他授权信息。无线客户端断开连接之后,如果在客户端Cache老化时间内再次成功关联AP,则可继承表项记录的各种授权信息,实现快速漫游。如果客户端离线时间超过了老化时间,系统会自动清除该客户端的记录。
配置无线客户端漫游表项的老化时间为0时,表示客户端下线之后会立即删除客户端漫游表项相关信息,客户端无法实现快速漫游。
本命令仅支持配置AC内漫游客户端的Cache老化时间,不支持AC间漫游场景。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置客户端漫游表项老化时间。
client cache aging-time aging-time
缺省情况下,无线客户端漫游表项的老化时间为180秒。
在完成上述配置后,在任意视图下执行display命令可以显示配置后的漫游运行情况,通过查看显示信息验证配置的效果。
表1-1 WLAN漫游显示和维护
|
操作 |
命令 |
|
显示客户端的漫游跟踪信息 |
display wlan mobility roam-track mac-address mac-address |
WLAN漫游增强技术目前包括以下几种:
· 802.1X快速漫游:当客户端认证方式为RSN+802.1X认证,可以进行802.1X快速漫游,客户端不需要再次认证即可完成漫游上线。
· MAC快速漫游:当客户端认证方式为MAC地址认证时,可以进行MAC快速漫游,客户端不需要再次认证即可完成漫游上线。
· 802.11r:用来缩短无线客户端在漫游过程中的时间延迟,从而降低无线客户端连接中断率,提高漫游服务质量。
· 802.11v:用来辅助802.11v客户端接入更合适的AP,提高802.11v无线客户端的漫游服务质量。
· 虚拟BSS漫游:AC通过实时监控无线客户端信号强度,使客户端接入服务质量更好的AP,实现客户端在一个ESS(Extended Service Set,拓展服务集)区域中的无缝漫游。
· 协同漫游:结合IEEE802.11k、IEEE802.11r和IEEE802.11v协议实现无线客户端在一个ESS区域中的无缝漫游。
如图2-1所示,AC内漫游场景下,802.1X快速漫游机制的具体过程如下:
(1) 客户端在AP 1上通过802.1X认证初始上线,在AC上会创建该客户端的漫游表项信息。有关802.1X认证的详细介绍,请参见“WLAN配置指导”中的“WLAN用户接入认证”。
(2) 客户端漫游到AP 2,AC查找该客户端的漫游表项,当客户端认证方式为RSN+802.1X认证,且客户端携带的PMKID和设备缓存的PMKID校验一致时,就认为客户端已经进行过802.1X认证,直接跳过认证过程,利用缓存的PMK进行密钥协商以及后续的漫游上线。
设备支持以下两种方式缓存PMKID:
· SKC方式(Sticky Key Caching,粘滞密钥缓存):直接缓存无线客户端在802.1X认证过程中产生的PMKID。
· OKC方式(Opportunistic Key Caching,机会密钥缓存):使用无线客户端当前进行关联的BSSID以及客户端MAC地址、设备缓存的PMK等重新计算出PMKID。
无论是SKC方式还是OKC方式,均不需要配置,即可完成802.1X快速漫游。
图2-1 802.1X快速漫游示意图
如图2-2所示,AC间漫游场景中,802.1X快速漫游机制的具体过程如下。
(1) AC 1和AC 2组成漫游组,客户端在AP 1上通过802.1X认证初始上线,在AC 1上会创建该客户端的漫游表项。有关802.1X认证的详细介绍,
(2) AC 1通过IADTP隧道将漫游表项同步到漫游组成员AC 2上。
(3) 客户端漫游到AP 2,AC 2查找该客户端的漫游表项,当客户端认证方式为RSN+802.1X认证,且客户端携带的PMKID和设备缓存的PMKID检验一致时,就认为客户端已经进行过802.1X认证,直接跳过认证过程,利用缓存的PMK进行密钥协商以及后续的漫游上线。
图2-2 AC间802.1X快速漫游示意图
如图2-3所示,MAC快速漫游机制的具体过程如下。
(1) 客户端在AP 1上通过MAC地址认证初始上线,在AC上会创建该客户端的漫游表项。有关MAC地址认证的详细介绍,请参见“WLAN配置指导”中的“WLAN用户接入认证”。
(2) 客户端漫游到AP 2,AC查找该客户端的漫游表项,当客户端认证方式为MAC认证,且开启MAC地址认证成功后的快速连接功能后,就认为客户端已经进行过MAC认证,直接跳过认证过程,继续后续的漫游上线。
图2-3 MAC快速漫游示意图
MAC快速漫游功能目前仅支持同一AC内的漫游组网方式。
开启MAC地址认证成功后的快速连接功能后,已经通过MAC地址认证的客户端在AC内漫游时,不需要再次进行MAC地址认证,可提高客户端AC内漫游的上线速度。
对于进行AC间漫游的MAC地址认证的客户端,配置本命令后,客户端可以继承漫游VLAN,但是漫游状态显示为N/A。当AC间漫游的客户端所属VLAN不同时,同一漫游组内的AC上行接口需要允许MAC地址认证的客户端VLAN通过。
本功能仅对在AC上进行认证和关联的无线客户端生效。
该命令只能在无线服务模板处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启MAC地址认证成功后的快速连接功能。
mac-authentication fast-connect enable
缺省情况下,MAC地址认证成功后的快速连接功能处于关闭状态。
802.11r的核心功能是FT(Fast BSS Transition,快速BSS切换),它主要用来减少客户端在漫游过程中的时间延迟,从而降低连接中断概率、提高漫游服务质量。
FT支持两种实现方式:
· Over-the-Air:客户端直接与目标AP通信,进行漫游前的认证,适用于对漫游兼容性要求高的场景。建议采用本方式配置FT功能。
· Over-the-DS:客户端通过当前AP与目标AP通信,进行漫游前的认证,适用于对漫游性能要求高的场景。
如图2-4所示,客户端在连接至同一AC的AP间(AP 1到AP 2)漫游时,信息交互过程如下:
(1) 客户端已经与AP 1连接并且要漫游到AP 2;
(2) 客户端向AP 2发送认证请求;
(3) 客户端收到AP 2的认证请求回应;
(4) 客户端向AP 2发送重关联请求;
(5) 客户端收到AP 2的重关联请求回应;
(6) 客户端完成从AP 1到AP 2的漫游。
图2-4 over-the-air方式漫游示意图
如图2-5所示,客户端在连接至同一AC的AP间(AP 1到AP 2)漫游时,信息交互过程如下:
(1) 客户端与AP 1建立连接;
(2) AC生成、同步、保存客户端的漫游表项;
(3) 客户端准备漫游,向AP 1发送FT认证请求;
(4) 客户端收到AP 1的FT认证回复;
(5) 客户端向AP 2发送重关联请求;
(6) 客户端收到AP 2的重关联请求回应;
(7) 客户端完成从AP 1到AP 2的漫游。
图2-5 over-the-ds方式漫游示意图
配置802.11r的FT功能,需要注意的是:
· 如果有客户端无法关联使能了FT功能的服务,可能是由于客户端的型号较早而不支持FT协议。此时可以创建两个SSID相同的服务,一个使能FT功能,另一个不使能FT功能,而其它配置均相同,以便客户端可以正常使用网络服务。
· 不建议在服务模板下同时开启FT功能和802.1X周期性重认证功能,否则会导致客户端在每次重认证时间间隔到达时重新上线。关于802.1X周期性重认证功能的介绍和配置请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· 快速BSS切换协商成功的客户端,不支持PTK更新。关于PTK更新的介绍和配置请参见“WLAN配置指导”中的“WLAN用户安全”。
· 未配置身份认证与密钥管理模式时,不支持开启FT功能。
· 802.11r功能需配置AP发送信标和探查响应帧时携带RSN IE,认证方式不为本地认证、加密套件为CCMP时生效。
· 802.11r目前支持同一设备内的漫游组网方式和漫游组。
· 802.11r功能仅对关联位置在AC上的无线客户端生效。
· 802.11r功能仅能在服务模板未使能的情况下进行配置。
· 对于支持802.11be、802.11abe和802.11gbe的AP而言:
¡ 6GHz射频不支持FT功能。
¡ 非6GHz射频支持FT功能,但无法同时使用WPA3企业级192bit模式。
· 对于不支持802.11be、802.11abe和802.11gbe的AP而言:支持FT功能,但无法与WPA3安全模式同时使用。
(1) 进入系统视图。
system-view
(2) 配置WLAN服务模板。
wlan service-template service-template-name
(3) 开启FT功能。
ft enable
缺省情况下,FT功能处于关闭状态。
(4) (可选)配置FT方式。
ft method { over-the-air | over-the-ds }
缺省情况下,FT方式为over-the-air。
(5) (可选)配置重关联超时时间。
ft reassociation-timeout timeout
缺省情况下,重关联超时时间为20秒。
重关联超时时间指的是,客户端在完成认证后,客户端发起重关联请求的最大时间间隔。如果在此时间内客户端没有发起重关联,则会终止此次漫游。
802.11v的核心功能是BTM(BSS Transition Management,BSS切换管理),它主要用来通知802.11v无线客户端离开当前BSS,接入更合适的AP,从而提高802.11v无线客户端的接入质量。如图2-6所示,BSS切换管理的基本流程如下:
(1) 802.11v无线客户端RSSI值过低或找到一个更合适的AP时,会主动向AP发送BSS切换查询,请求连接到其它BSS上。AP接收到客户端的BSS切换查询后,会向其发送BSS切换请求。
(2) 802.11v无线客户端接收到BSS切换请求后,有可能向AP发送切换响应,通知AP BSS切换的结果。
(3) 经过一段时间后,若无线客户端还未离开当前BSS,AP会主动向无线客户端发送解除关联请求,强制无线客户端下线。
图2-6 BSS切换管理
802.11v功能目前仅支持同一AC内的漫游组网方式。
本功能只能在无线服务模板处于关闭状态时配置。
建议开启BSS切换管理功能的同时,通过bss transition-management disassociation命令配置BSS切换解除关联时间,否则某些客户端可能无法进行BSS切换。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启BSS切换管理功能。
bss transition-management enable
缺省情况下,BSS切换管理功能处于关闭状态。
配置BSS切换解除关联功能后,当设备收到无线客户端发送的BSS切换查询时,会向无线客户端发出请求切换BSS,引导客户端进行BSS切换。
若配置了强制客户端进行BSS切换,则当超过配置的BSS切换解除关联时间客户端还未离开时,设备会强制断开与客户端的连接,请谨慎使用该功能。
只有开启了BSS切换管理功能,BSS切换解除关联功能才能生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置BSS切换解除关联功能。
bss transition-management disassociation { forced | recommended } [ timer time ]
缺省情况下,BSS切换解除关联功能处于开启状态,即设备会推荐客户端进行BSS切换,推荐解除关联时间为90s。
开启虚拟BSS漫游功能的多个AP为客户端提供统一的虚拟服务,客户端选择接入一个AP后,其余AP实时监控客户端的信号强度。当AC发现其它AP能够比当前AP提供更高质量的服务时,将指定新AP为客户端提供无线服务。
如图2-7所示,无线网络中存在两个AP,虚拟BSS漫游的实现方式如下所述:
(1) AP上开启虚拟BSS漫游功能后,当网络中的AP收到来自客户端的Probe Request帧,AC会为该客户端生成一个虚拟的服务,该虚拟服务的BSSID将由AC的桥MAC地址、AP ID和客户端的MAC地址组成,AP会用这个虚拟BSSID来与客户端进行交互。
(2) 如果客户端选择通过AP 1上线,则AC会将AP 1的虚拟BSSID通告到AP 2上。AP 2将替换本地的虚拟BSSID,并监控该客户端的信号强度。
(3) 当AC发现AP 2对客户端而言服务质量更好时,即AP 2接收到客户端报文的RSSI(Received Signal Strength Indicator,接收信号强度指示)值达到/超过RSSI门限值,并且与AP 1所接收到的客户端报文RSSI值的差值达到/超过RSSI差值门限,那么AC将指定AP 2为客户端提供无线服务。
由于客户端始终使用相同的虚拟BSSID发送数据,所以即使为客户端提供无线服务的AP发生变化,对客户端而言使用的无线服务却是相同的。
图2-7 虚拟BSS漫游示意图
虚拟BSS漫游功能是针对无线服务模板的,对某个无线服务模板配置虚拟BSS漫游功能后,仅对接入该无线服务模板的客户端进行漫游,通过其它无线服务模板接入的客户端不受影响。
虚拟BSS漫游目前仅支持同一AC内的漫游组网方式。
(1) 进入系统视图。
system-view
(2) 进入服务模板视图。
wlan service-template service-template-name
(3) 开启虚拟BSS漫游功能。
seamless-roaming enable
缺省情况下,虚拟BSS漫游功能处于关闭状态。
(4) 配置虚拟BSS漫游RSSI门限和RSSI差值。
seamless-roaming switch rssi-threshold value [ rssi-gap gap-value ]
缺省情况下,虚拟BSS漫游RSSI门限值为50,RSSI差值门限为20。
协同漫游是H3C研发的结合IEEE802.11k、IEEE802.11r和IEEE802.11v协议的一种漫游技术,由AP和无线客户端协同引导,实现了无线客户端在一个ESS(Extended Service Set,拓展服务集)区域中的无缝漫游。其中:
· 802.11k协议中定义的Beacon射频测量功能,实现了对2.4GHz和5GHz频段的信道质量及可用资源性能的监控。
· 802.11r协议中定义的FT(Fast BSS Transition,快速BSS切换)功能用来减少客户端在漫游过程中的时间延迟,从而降低连接中断概率、提高漫游服务质量。
· 802.11v协议中定义的BTM(BSS Transition Management,BSS切换管理)功能用来被动引导支持802.11v协议的无线客户端离开当前BSS,接入更合适的AP,从而提高802.11v无线客户端的接入质量。
· 协同漫游功能新增支持通过AP监测802.11v无线客户端信号强度,主动引导无线客户端接入更合适的服务。
协同漫游目前仅支持同一AC内的漫游组网方式,且协同漫游要求AP必须支持Wi-Fi 6标准。
开启无线客户端反粘滞功能后,AP将按照配置的时间间隔检测无线客户端的信号强度。当无线客户端信号强度低于门限值时:
· 若该无线客户端关联过程中协商为支持802.11v协议,则按照BSS切换管理功能,引导无线客户端连接到其它的BSS。
· 若该无线客户端关联过程中协商为不支持802.11v协议,则不会引导无线客户端连接到其它BSS上。
对于无线客户端频繁进行BSS切换的场景,建议配置基于ACL的无线客户端反粘滞,通过将不同类型客户端加入到不同ACL中,由设备对不同类型的客户端根据ACL下配置的信号强度门限值进行针对性反粘滞控制。
只有开启了无线客户端反粘滞功能,基于ACL对无线客户端进行反粘滞才能生效。
同一AP的同一射频下仅支持绑定一个ACL规则。
可以通过display wlan client verbose命令查看客户端信号强度RSSI,根据该RSSI,配置基于ACL的无线客户端反粘滞RSSI。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组ap-model视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 请依次执行以下命令进入AP组ap-model视图。
wlan ap-group group-name
ap-model ap-model
(3) 进入Radio视图。
radio radio-id
(4) 配置无线客户端反粘滞功能。
sacp anti-sticky { disable | enable [ rssi rssi-value ] [ interval interval ] [ forced-logoff ] }
缺省情况下:
Radio视图:继承AP组Radio配置。
AP组Radio视图:继承AP组公共Radio视图配置。
(5) (可选)配置基于ACL的无线客户端反粘滞。
sacp anti-sticky acl { acl-number rssi rssi-value | remove }
缺省情况下:
Radio视图:继承AP组Radio配置。
AP组Radio视图:继承AP组公共Radio视图配置。
配置基于ACL的无线客户端反粘滞后,若指定remove关键字,则表示该Radio不基于ACL进行无线客户端反粘滞。
(1) 进入系统视图。
system-view
(2) 进入AP组视图。
wlan ap-group group-name
(3) 进入AP组全局Radio视图。
radio { 2.4g | 5g }
(4) 配置无线客户端反粘滞功能。
sacp anti-sticky { disable | enable [ rssi rssi-value ] [ interval interval ] [ forced-logoff ] }
缺省情况下,无线客户端反粘滞功能处于开启状态。
(5) (可选)配置基于ACL的无线客户端反粘滞。
sacp anti-sticky acl acl-number [ rssi rssi-value ]
缺省情况下:设备不基于ACL对无线客户端进行反粘滞。
(1) 进入系统视图。
system-view
(2) 进入全局配置视图。
wlan global-configuration
(3) 配置无线客户端反粘滞功能。
sacp anti-sticky enable [ rssi rssi-value ] [ interval interval ] [ forced-logoff ]
缺省情况下,无线客户端反粘滞功能处于开启状态。
当网络环境中同时存在802.11kv协议支持较好(即支持正常,可以通过802.11kv处理接入更合适的BSS)和支持不够好(即支持异常,客户端与设备通信时,时延过大或无法通信,无法通过802.11kv处理接入更合适的BSS)的无线客户端时:
· 不配置本功能,设备会对所有客户端进行802.11kv处理,这样就会导致异常客户端网络通信异常。
· 配置本功能后,通过ACL规则过滤的客户端被认为是异常802.11kv客户端,对这些客户端进行非802.11kv处理,这样既可以保证正常客户端的BSS切换,又可以保证异常客户端的网络性能。未通过ACL规则过滤的无线客户端,设备会继续对其进行802.11kv处理。
本功能仅对从未匹配过异常ACL规则的已在线客户端和新上线客户端生效。当需要对已在线客户端重新进行ACL规则匹配时,需要该客户端重新上线。
本功能仅对关联位置在AC上的无线客户端生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置设备对异常802.11kv无线客户端进行非802.11kv处理。
sacp roam-optimize abnormal-802.11kv acl acl-number
缺省情况下,设备对所有802.11kv无线客户端进行802.11kv处理。
开启获取BSS候选列表功能后,AP将按照配置的时间间隔周期性地向支持Beacon测量的客户端发送Beacon Request帧以请求获取无线客户端检测到的BSS信息,无线客户端通过Beacon Report帧上报当前工作信道检测到的BSS信息。关闭该功能后,已获取到的BSS候选列表的BSS信息到达老化时间后会被删除。
开启BSS切换管理功能后,设备将使用BSS候选列表的BSS信息,引导无线客户端漫游到信号质量更好的无线服务上。
仅对配置本功能后新上线的无线客户端生效。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组ap-model视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 请依次执行以下命令进入AP组ap-model视图。
wlan ap-group group-name
ap-model ap-model
(3) 进入Radio视图。
radio radio-id
(4) 配置获取BSS候选列表功能。
sacp roam-optimize bss-candidate-list { disable | enable [ interval interval ] }
缺省情况下:
Radio视图:继承AP组Radio配置。
AP组Radio视图:继承AP组全局Radio配置。
(1) 进入系统视图。
system-view
(2) 进入AP组视图。
wlan ap-group group-name
(3) 进入AP组全局Radio视图。
radio { 2.4g | 5g }
(4) 配置无线客户端反粘滞功能。
sacp roam-optimize bss-candidate-list { disable | enable [ interval interval ] }
缺省情况下,获取BSS候选列表功能处于关闭状态。
漫游优化流量保持高级功能开启期间,当设备检测到客户端信号强度低于无线客户端反粘滞功能配置的门限值时,会缓存需要发送给客户端的数据报文,一段时间后,再将缓存的数据报文发送给客户端,减少了客户端信号强度较弱情况下的丢包数量。关闭本功能后,设备一段时间后会对缓存的数据报文做老化处理,不再重新发送给客户端。对于开启了无线客户端反粘滞控制功能的协同漫游场景,建议开启本功能。
本功能仅当客户端关联位置和数据报文转发位置在AC上时生效。
本功能不支持分层AC组网。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启漫游优化流量保持高级功能。
sacp roam-optimize traffic-hold enable advanced
缺省情况下,漫游优化流量保持高级功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后协同漫游的运行情况,通过查看显示信息验证配置效果。
表2-1 协同漫游显示和维护
|
操作 |
命令 |
|
显示指定AP或所有AP的运行配置 |
display wlan ap { all | name ap-name } running-configuration [ verbose ] |
|
显示客户端的信息 |
display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name | frequency-band { 2.4 | 5 } | vlan vlan-id ] [ verbose ] |
|
显示客户端上报的射频资源测量能力集 |
display wlan client rm-capabilities [ mac-address mac-address ] |
|
显示无线客户端的迁移历史信息 |
display wlan sacp move-history [ mac-address mac-address ] |
|
显示无线服务模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
多个设备可以加入一个相同的组,客户端可以在组内漫游,该组即为漫游组,在漫游组漫游期间,客户端的IP地址、授权信息等维持不变,可以实现客户端在更大物理区域内的漫游。
· IADTP(Inter Access Device Tunneling Protocol,接入设备间隧道协议):H3C私有隧道协议,该协议提供了设备间报文的通用封装和传输机制。提供漫游服务的设备之间会建立IADTP隧道,用于保证设备间控制报文以及客户端漫游信息的安全传输。
· HA(Home-AC):一个客户端首次与IADTP隧道内的某个AC进行关联,该AC即为它的HA。
· FA(Foreign-AC):客户端跨AC漫游后,客户端与某个不是HA的AC进行关联,该AC即为FA。
· 漫游组:多个设备可以加入一个相同的组,客户端可以在组内漫游,该组即为漫游组。
如图3-1所示,客户端从一个AC内的AP漫游到另一个AC内的AP上接入。该组网方式下,通过创建漫游组,统一管理参与漫游的AC,没有加入漫游组的AC将不参与漫游。
客户端完成AC间漫游的过程如下:
(1) 客户端在AP 2上初始上线,在AC 1上会创建该客户端的漫游表项,并通过IADTP隧道将漫游表项同步到漫游组成员AC 2上;
(2) 客户端漫游到AP 3,AC 2查找该客户端的漫游表项,如果是RSN+802.1X认证方式,且客户端携带的PMKID和设备缓存的PMKID一致,则对其进行快速漫游,其他情况,则不对其进行快速漫游;
(3) 如果进行快速漫游,客户端不需要再次认证,即可在AP 3上成功上线;否则需要重新认证;
(4) 客户端在AP 3上线,AC 2会给AC 1发送漫游请求消息;
(5) AC 1收到漫游请求消息,并校验漫游信息是否正确。如果校验失败,则给AC 2回复漫游失败的漫游响应消息。如果校验成功,AC 1添加该客户端的漫游轨迹和漫出信息,并给AC 2回复漫游成功的漫游响应信息;
(6) AC 2收到AC 1回复的漫游响应信息。如果漫游失败,AC 2将通知客户端下线;如果漫游成功,AC 2添加该客户端的漫入信息。
图3-1 漫游组网方式示意图
漫游组中的成员设备分为如下角色:
· Client端:负责发起连接建立请求。
· Server端:监听并应答连接建立请求。
缺省情况下,IP地址小的成员设备作为Client端,IP地址大的成员设备作为Server端。如果漫游组成员设备跨NAT设备,则需要手工指定成员设备在漫游组中的角色。
设备间建立IADTP隧道的具体过程如下:
(1) Device A向Device B发送Join Request报文。
(2) Device B收到Join Request报文后,根据本地配置和报文内容判断是否和Device A属于同一漫游组。当属于同一漫游组时,回复Result Code为成功的Join Response报文;否则,回复Result Code为失败的Join Response报文。
(3) Device A收到Result Code为成功的Join Response报文后,会向Device B发送Join Confirm报文,建立IADTP隧道;否则,不回复报文。
(4) Device B收到Join Confirm报文后,建立IADTP隧道。
图3-2 IADTP隧道建立过程
配置漫游组,需要注意以下事项:
· 对于配置用户接入认证位置在AP的无线服务模板,不支持客户端漫游。有关用户接入认证位置相关配置的详细介绍请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· 如果存在RSN+802.1X认证方式的客户端,且客户端所属的VLAN不同时,同一漫游组内的设备上行接口需要允许所有RSN+802.1X认证方式的客户端VLAN通过。
漫游组配置任务如下:
(1) 创建漫游组
(2) (可选)配置漫游组认证模式
(5) (可选)配置设备发送的IADTP隧道控制报文的DSCP优先级
(6) 添加漫游组内的成员设备
在手动和自动添加漫游组内的成员设备中选择一项任务进行配置:
(7) (可选)配置本成员设备在漫游组中的角色
(8) (可选)关闭IADTP数据隧道功能
(9) (可选)开启漫游中继功能
(10) 开启漫游组功能
(11) (可选)开启漫游组隧道隔离功能
(12) (可选)开启漫游组告警功能
属于同一个漫游组的每个设备上都必须创建漫游组,并互相添加漫游组成员。每个设备上只允许创建一个漫游组。
(1) 进入系统视图。
system-view
(2) 创建漫游组,并进入漫游组视图。
wlan mobility group group-name
配置认证模式后,所有在IADTP隧道中传输的控制消息都会附带一个摘要(完整性代码),当设备接收到控制消息后会使用相同的算法对消息内容进行计算,并与消息中所携带的摘要进行比较,以验证收到的消息的完整性。目前,漫游组认证模式仅支持MD5认证算法。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置漫游组认证模式。
authentication-mode authentication-mode { cipher | simple } string
缺省情况下,未配置漫游组认证模式。
创建漫游组之后,必须指定漫游组隧道IP地址类型。只有设备加入漫游组时建立IADTP隧道的源IP地址与隧道IP地址类型相同,设备加入漫游组时才会生效并建立隧道。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置漫游组IADTP隧道IP地址类型。
tunnel-type { ipv4 | ipv6 }
缺省情况下,IADTP隧道IP地址类型为IPv4。
设备在加入漫游组后需要使用IADTP隧道源IP地址和同一漫游组内成员设备建立IADTP隧道。
配置设备加入漫游组时建立IADTP隧道的源IP地址,需要注意的是:
· 只能在漫游组处于关闭状态的情况下,才能指定设备加入漫游组时建立IADTP隧道的源IP地址。
· 可以同时配置IPv4和IPv6类型的源地址,每种类型的源地址只能配置一个。
· 只有与漫游组IADTP隧道IP地址类型相同的源地址可以生效。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置设备加入漫游组时建立IADTP隧道的源IP地址。
source { ip ipv4-address | ipv6 ipv6-address }
缺省情况下,未配置建立IADTP隧道的源IP地址。
DSCP(Differentiated Services Code Point,差分服务编码点)携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。配置的DSCP优先级的取值越大,报文的优先级越高。
跨NAT设备建立IADTP隧道时,需要借助IPsec隧道功能完成IADTP控制隧道的加密和数据隧道的建立及加密。由于控制报文和数据报文缺省DSCP优先级都为0,当漫游隧道通过IPsec加密后,为了防止在IADTP隧道繁忙时,成员设备因为长时间接收不到IADTP隧道保活报文而断开IADTP隧道的连接,需要提高IADTP隧道保活报文发送的优先级。
建议配置设备发送的IADTP隧道控制报文的DSCP优先级为63。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置设备发送的IADTP隧道控制报文的DSCP优先级。
tunnel-dscp dscp-value
缺省情况下,设备发送的IADTP隧道控制报文的DSCP优先级为0。
漫游组内的成员设备通过IP地址标识,该IP地址为成员设备建立IADTP隧道的源IP地址。漫游组内可以同时添加IPv4和IPv6类型的漫游组成员,但是只有与隧道类型相同的成员可以生效。当指定了漫游组内的成员设备所属VLAN后,漫游组内的其他设备就可以直接转发属于该VLAN的客户端的数据流量,而无需客户端漫游到该设备上。
每一个成员只能属于一个漫游组,并且一个漫游组中最多可以添加31个IPv4漫游组成员或31个IPv6漫游组成员。配置漫游组内的成员设备所属VLAN后,该VLAN不能在应用于其它接口或业务。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 添加漫游组内的成员设备。
member { ip ipv4-address | ipv6 ipv6-address } [ vlan vlan-id-list ]
漫游组内的成员设备通过IP地址标识,该IP地址为成员设备建立IADTP隧道的源IP地址。漫游组内可以同时添加IPv4和IPv6类型的漫游组成员,但是只有与隧道类型相同的漫游组成员可以生效。
开启漫游组成员自动添加功能后,要加入漫游组的设备会通过自动添加成员设备报文在漫游组内广播自己的IP地址。漫游组的其它开启自动添加功能的设备收到广播报文后与要加入漫游组的设备建立IADTP隧道。隧道建立成功后,则设备成功加入漫游组。
每一个成员只能属于一个漫游组,并且一个漫游组中最多可以添加31个IPv4漫游组成员或31个IPv6漫游组成员,当漫游组成员达到最大数量后,当前设备不会再与其它设备建立IADTP隧道。
只能自动添加同一网段内的漫游组成员设备。
配置自动添加漫游组内的成员设备之前,请先通过source命令配置成员设备加入漫游组时建立IADTP隧道的源IP地址。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 开启漫游组成员自动添加功能。
member auto-discovery [ interval interval ]
缺省情况下,漫游组成员自动添加功能处于关闭状态。
当漫游组成员设备间跨NAT设备建立IADTP隧道时,外网设备无法主动向内网设备发起连接请求。缺省情况下IP地址小的成员设备作为Client端发起连接建立请求,IP地址大的成员设备作为Server端监听并应答连接建立请求,通过报文的交互最终完成IADTP隧道的建立。此时,如果外网设备的IP地址小于内网设备的IP地址,将无法建立IADTP隧道。在这种情况下,需要通过配置内网成员设备作为Client端发起连接建立请求,以便完成IADTP隧道的建立。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 配置本成员设备在漫游组中的角色。
role { client | server }
缺省情况下,漫游组中IP地址大的成员设备作为Server端,IP地址小的成员设备作为Client端。
为了减轻漫游组成员设备处理IADTP数据隧道上接收的广播报文的负担,并减少设备维护IADTP数据隧道的资源消耗,如果客户端漫游后所在的VLAN在当前成员设备上有业务出口,可以通过本功能关闭IADTP数据隧道,不再通过IADTP数据隧道转发客户端数据,直接通过业务出口转发。如果客户端漫游后所在的VLAN在当前成员设备上没有业务出口,不能关闭IADTP数据隧道功能,否则会造成客户端数据丢失。
漫游组内所有成员设备需要同时开启或者关闭IADTP数据隧道功能。
本功能只能在漫游组功能处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 关闭IADTP数据隧道功能。
data-tunnel disable
缺省情况下,IADTP数据隧道功能处于开启状态。
WLAN客户端在AC间漫游时,需要在任意两个AC之间建立漫游组隧道,形成网状拓扑结构。当网络中AC设备数量比较多时,建立、维护漫游组隧道以及漫游信息同步都会占用一定的带宽资源,并且网络结构复杂、稳定性低。为了解决这一问题,可以在一台AC上开启漫游中继功能,使得该AC作为中继AC,并在其上指定其余非中继AC为漫游组成员。中继AC与每个非中继AC分别建立一条IADTP隧道,形成一对多的星形漫游组网。非中继AC之间不需要建立漫游组隧道。
漫游组中的非中继AC会通过IADTP隧道将漫游表项同步到中继AC。当客户端在AC间发生漫游时,漫游后的AC会向中继AC请求查询当前客户端的漫游表项信息。
本命令只能在漫游组功能处于关闭状态时配置。
同一漫游组内只能存在一个中继AC,非中继AC只能指定中继AC为漫游组内唯一成员。
在漫游中继组网中,如果客户端所属的VLAN不同,中继AC的上行接口需要允许所有客户端的VLAN通过。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 开启漫游中继功能。
roam-relay enable
缺省情况下,漫游中继功能处于关闭状态。
开启漫游组功能后,设备会使用IADTP隧道源IP地址与组内其他成员设备建立IADTP隧道,并同步漫游表项信息。
(1) 进入系统视图。
system-view
(2) 进入漫游组视图。
wlan mobility group group-name
(3) 开启漫游组功能。
group enable
缺省情况下,漫游组功能处于关闭状态。
同一漫游组内的多台设备间存在环路时,需要开启漫游组隧道隔离功能,确保设备不会在漫游组的隧道之间转发报文,从而避免出现广播风暴等问题。
(1) 进入系统视图。
system-view
(2) 开启漫游组隧道隔离功能。
wlan mobility-group-isolation enable
缺省情况下,漫游组隧道隔离功能处于开启状态。
开启了漫游组告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)
(1) 进入系统视图。
system-view
(2) 开启漫游组告警功能。
snmp-agent trap enable wlan mobility
缺省情况下,WLAN漫游告警功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后的漫游运行情况,通过查看显示信息验证配置的效果。
表3-1 漫游组显示和维护
|
操作 |
命令 |
|
显示客户端漫入或漫出的信息 |
display wlan mobility { roam-in | roam-out } [ member { ip ipv4-address | ipv6 ipv6-address } ] |
|
显示漫游组的信息 |
display wlan mobility group [ member { ip ipv4-address | ipv6 ipv6-address } ] |
|
显示客户端的漫游次数 |
display wlan mobility roam-count |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
