无线漫游.docx

上传人：夺命阿水

文档编号：1094884

上传时间：2024-03-15

格式：DOCX

页数：25

大小：187.99KB

《无线漫游.docx》由会员分享，可在线阅读，更多相关《无线漫游.docx（25页珍藏版）》请在课桌文档上搜索。

1、什么是无线漫游当网络环境存在多个AP,且它们的微单元互相有一定范围的重合时，无线用户可以在整个WLAN覆盖区内移动，无线网卡能够自动发现附近信号强度最大的AP,并通过这个AP收发数据，保持不间断的网络连接，这就称为无线漫游。漫游的核心是保持业务不中断，而业务不中断的核心是保持STA在漫游前后IP地址保持不变。当前我司产品支持以下两种漫游：同一AC下的快速漫游O辆除用户与APl句的美联建立用户5AP2间的关联如下图，AC已经与APl建立关联信息。此时，用户需要从APl的覆盖范围切换到AP2的覆盖范围，AC会按照如下的流程实现切换功能：1 .STA在各种信道中发送802.11请求帧。AP2在信道6

2、（AP2使用的信道）中收到请求后，通过在信道6中发送应答来进行响应。STA收到应答后，对其进行评估，确定同哪个AP关联最适宜。2 .如图中的标号1所示，删除用户与API现有的关联。STA通过信道I（API使用的信道）向API发送802.11解除关联信息，解除用户与APl间的关联。3 .如图中的标号2所示，STA通过信道6向AP2发送关联请求，AP2使用关联响应做出应答，建立用户与AP2间的关联。此时，用户实现了从APl到AP2的快速漫游。注：a.）API和AP2必须使用相同的SSID,例如，图中所示的SSIDHUawei,同时各业务模板的配置相同。b.）APl和AP2连接的必须是同一个控制器A

3、Co2.）跨VLAN的三层漫游SSID：HuaweiSSID：HuaweiSTA关联到API时,STA通过业务VLANl传输数据.STA浸游到AP2时，STA仍然通过业务VLANl传输数据业务如下图，跨VLAN的三层漫游的具体过程为：1. STA通过APl（属于VLANl）申请同AC发生关联，AC判断该STA为首次接入用户，为其创立并保存相关的用户数据信息，以备将来漫游时使用。2. 该STA从APl覆盖区域向AP2（属于VLAN2）覆盖区域移动；STA断开同APl的关联，漫游到同一AC相连的AP2上。3. STA通过AP2重新同AC发生关联，AC通过用户数据信息判断该STA为漫游用户，更新用户

4、数据库信息；尽管漫游前后不在同一个子网中，AC仍然把STA视为从原始子网（VLANl）连过来一样，允许STA保持其原有IP并支持已建立的IP通讯。4. 里来解释下：5. 1、WLAN漫游的根本特征如下：6. BSTA可以在属于同一个ESS内的WIFI网络中任意移动比方客户端可以在SSID为university”校园内任意移动。7. 保证已有的业务不中断：在漫游的过程中，客户端的业务不中断。8. 用户的标识UP地址不改变：客户端在连接网络初期获得了IP地址，整个漫游过程IP地址不改变。9. 2、有关二层漫游和三层漫游的介绍，楼上的同事根本解释到了。10. 二层漫游：AP与AC直连组网，多个AP连

5、接在同一个VLAN内，由于STA在不同的AP间切换时,始终在一个VLAN子网内，获取到的IP地址也不变，从而保证业务不中断。11. 三层漫游：也称为“跨VLAN漫游”，用户在不同VLAN间漫游时，但依旧保持用户的VLAN为初始VLAN,从而保证用户在不同VLAN间漫游而业务不中断。12. 3、无缝漫游，是指在漫游过程中，从用户体验角度去说的，即漫游过程业务不中断，无缝切换。并非如上的分类。其STA的IP地址不会变。同时业务不中断，用户无感知。不管二层、还是三层漫游，都是漫游，那么就具备如下特征：STA可以在属于同一个ESS内的WlFl网络中任意移动：比方:客户端可以在SSID为“univers

6、ity”校园内任意移动。保证已有的业务不中断：在漫游的过程中，客户端的业务不中断。.用户的标识（IP地址）不改变：客户端在连接网络初期获得了IP地址，整个漫游过程IP地址不改变。华为7.1WLAN漫游概述介绍WLAN漫游的根本概念、原理和分类。随着WLAN网络从家庭网络逐步开展到企业局域网、运营商广域网，由于WLAN网络不同于有线网络，而类似无线网络的特点，用户对于在一定范围内的WLAN网络中STA可以自由漫游提出了要求。即下文中所说的WLAN漫游技术。WLAN漫游是指STA可以在同属一个ESS的AP中接入，并且在移动的过程中保证已有的业务不中断。WLAN漫游要求，各个AP的网络参数匹配: V

7、AP使用相同的SSID。 AP连接的都是同一个控制器AC。 AP使用的是相同的平安模板。根据用户是否在同一个子网内漫游，可以分为：二层漫游：在同一个子网内的漫游。三层漫游：在不同子网间的漫游。根据用户是否支持快速漫游产生不同的情况，如果用户漫游为快速漫游，那么用户使用的认证加密方式一定为WPA2+D0T1X的加密认证方式，反之那么未必成立。其他漫游都属于非快速漫游。WLAN漫游原理如图ILL所示。图7-1WLAN漫游原理组网图SSID：HuaweiSSID：Huawei解除用户与APlM的关联佳汇用户IJAP23的美联如下图，AC己经与APl建立关联信息。此时，用户需要从APl的覆盖范围切

8、换到AP2的覆盖范围，AC会按照如下的流程实现切换功能：1 .STA在各种信道中发送802.11请求帧。AP2在使用的信道中收到请求后，通过在该信道中发送应答来进行响应。STA收到应答后，对其进行评估，确定同哪个AP关联最适宜。2 .如图中的标号1所示，删除用户与APl现有的关联。STA通过APl使用的信道向APl发送802.11解除关联信息，解除用户与APl间的关联。3 .如图中的标号2所示，STA通过AP2使用的信道向AP2发送关联请求，AP2使用关联响应做出应答，建立用户与AP2间的关联。7.2设备支持的WLAN漫游特性设备支持的WLAN漫游特性为AC内漫游，包括非快速漫游、快速漫游、跨

9、VLAN三层漫游等。下面按照认证和加密方式的不同来一一描述：开放式系统认证漫游开放式系统认证方式下，加密方式可以支持OPEN不加密和WEP加密两种。STA的漫游只需要在AP与STA间完成，AC不参与具体的漫游过程。当STA发生漫游切换时，向新AP发送认证请求，所有请求认证的STA都会通过认证，认证通过后发送重关联请求，重关联请求通过后完成漫游。共享式认证漫游共享式认证方式下，STA的漫游仍然只需要在AP与STA间完成，AC不参与具体的漫游过程。当STA发生漫游切换时，向新AP发送认证请求，认证过程需要STA和AP进行加密和解密的过程，如果发生漫游的两个AP采用相同的认证方式和与共享密钥，STA

10、认证成功，认证通过后STA发送重关联请求，AC判断是否允许STA接入。WPA-PSK认证漫游WPA-PSK认证方式下，STA在两个AP间漫游需耍求重新启动四次握手过程以协商出加密密钥。密钥协商完成之后AC需要下发消息让STA原来关联的AP删除对应的密钥，同时AC上需要完成STA关联AP的切换。WPA802.IX认证漫游对于是WPA802.IX认证的方式，AC支持用户在切换后，进行802.IX认证+四次握手过程；同时也支持只进行4次握手过程（即快速漫游），由终端决定是否发起802.IX认证的过程。目前AC实现方案，如果是WPA的802.IX认证方式，AC在回应重关联请求后，立马启动4次握手过程，

11、如果4次握手过程当中，发现STA有802.IX的认证报文，AC中止握手过程。启动802IX认证+四次握手流程。如果四次握手结束并且成功，那么漫游成功。7.3WLAN漫游显示和维护WLAN漫游后，查看漫游结果。操作步骤1 .执行命令displaystationroam-trackstasta-macf查看指定STA的漫游轨迹。2 .执行命令displaystationassoc-infostaInaC-address,查看指定终端的接入信息。可以查看到该终端关联的AP发生了变化。7.4配置举例介绍WLAN漫游的配置举例。配置举例中包括组网需求、配置考前须知、配置思路等。配置二层漫游切换例如组网需

12、求如图7-2所示,AC通过接入交换机和会聚交换机连接和管理APl和AP2o当无线用户从一个AP的无线信号覆盖区域移动到另一个AP的无线信号覆盖区域时，会重新关联新AP。用户希望在关联过程中，无线业务不会中断。配置流程1 .配置SWitCh和AC,实现AP和AC互通。2 .配置AC的根本功能，包括配置AC运营商标识和ID、AC与AP之间通信的源接口，实现AC作为DHCP效劳器给AP、STA分配IP地址。3 .配置AP上线的认证方式，并把AP参加到AP域中，实现AP正常工作。4 .配置VAP,下发WLAN业务，实现STA访问WLAN网络功能。a.配置WLAN-ESS接口，并在效劳集下绑定该接口，实

13、现无线侧报文到达AC后能够送至WLAN业务处理模块功能。b.配置AP对应的射频模板，并在射频下绑定该模板，实现STA与AP之间的无线通信参数配置。c.配置AP对应的效劳集，并在效劳集下配置数据直接转发模式，绑定平安模板、流量模板，实现STA接入网络平安策略及QoS控制。d.配置VAP并下发，实现STA访问WLAN网络功能。C说明：STA从一个AP漫游到新的AP时，必须确保: AP都接在同一AC下。 WLAN-ESS接口下配的认证方式相同。平安模板配置必须保持一致。效劳集模板中配置的SSID必须相同。如果认证和加密方式不同，那么STA与新AP重关联和重认证的时间也会存在差异，开放式认证方式时

14、间最短，Share-key、PSK认证方式的时间较长，802.IX、MAC认证的时间最长。操作步骤1. 配置接入交换机#使接入交换机透传业务VLAN,由交换机给AP管理报文打tag。Q说明：需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离，如果不配置端口隔离，可能会在VLAN内存在不必要的播送报文，或者导致不同AP间的WLAN用户二层互通的问题。system-viewQuidwayvlanbatch101800Quidwayinterfaceethernet0/0/1Quidway-EthernetO/0/1 Quidway-Ethernet0/0/1 Quidwa

15、y-Ethernet0/0/1 Quidway-EthernetO/0/1 Quidway-EthernetO/0/1port link-type trunkport trunk pvid vlan 800 port trunk allow-pass vlan port-isolate enablequit101 800Quidwayinterfaceethernet0/0/2Quidway-EthernetO/0/2 Quidway-Ethernet002 Quidway-Ethernet002 Quidway-EthernetO/0/2 Quidway-EthernetO/0/2port

16、link-type trunkport trunk pvid vlan 800 port trunk allow-pass vlan port-isolate enablequit101 800Quidwayinterfaceethernet0/0/3link-type trunk trunk allow-pass vlan101 800Quidway-Ethernet003portQuidway-Ethernet0/3portQuidway-Ethernet0/3quit2. 配置AC连接接入交换机的接口，使能AC的DHCP效劳器功能3. system-view4. Huaweisysnam

17、eAC5. ACvlanbatch1018006. ACinterfaceethernet2/0/07. AC-Ethernet200portlink-typetrunk8. AC-Ethernet200porttrunkallow-passvlan1018009. AC-Ethernet2/0/0quit10. ACdhcpenable11. ACinterfacevlanif80012. AC-Vlanif800ipaddress172.1.1.12413. AC-Vlanif800dhcpselectinterface14. AC-Vlanif800quit15. ACinterface

18、vlanif10116. AC-VlaniflOlipaddress192.168.10.12417. AC-VlaniflOldhcpselectinterface18. AC-VlaniflOlquit19. 配置WLAN业务a.配置AC的全局参数U配置AC全局参数(运营商标识、ID、国家码)和AC的源接口。b. ACwlanac-globalacid1carrieridotherc. ACwlanac-globalcountry-codecnd. ACwlanace. AC-wla11-viewwlanacsourceinterfaceVlanif800f.配置AP并上线#配置AP的认证

19、方式为不认证。g. AC-wla11-viewap-auth-modeno-auth#查看AP的上线状态。C-wlan-viewdisplayapallAllPinformation(Normal-2,UnNormal-0):APAPIDStateAPTypeAPMACProfileIDRegionID1normalW603SN286E-D42B-0CE5002normalW603SN0025-9EE8-DF7000Totalnumber:2#创立AP域，分别将AP参加指定域。AC-wla11-viewap-regionid5AC-w1a11-ap-regio11-5quitAC-wla11-

20、viewap-regionid6AC-wla11-ap-region-6quitap id 1 region-id 5 quit ap id 2 region-id 6 quit quitAC-wIan-viewAC-wla11-ap-lAC-wlan-ap-1AC-wla11-viewAC-wlan-ap-2AC-wlan-ap-2AC-wla11-viewh.配置WLAN-ESS虚接口i. ACinterfacewlan-ess0j. AC-Wlan-EssOportlink-typehybridk. AC-Wlan-EssOporthybridtaggedvlan101l. AC-Wla

21、n-EssOquitm.配置AP的各项参数#配置射频。h. ACwlanaco. AC-wla11-viewwmm-profilenamehuawei-aplp. AC-wlan-wmm-prof-huawei-ap1quitq. AC-wlan-viewwmm-profilenamehuawei-ap2r. AC-wlan-%rm11-prof-huawei-ap2quits. AC-wlan-viewradio-profilenamehuawei-aplt. AC-wlan-radio-prof-huawei-ap1wmm-profilenamehuawei-aplu. AC-w1an-r

22、adio-prof-huawei-ap1quitv. AC-wlan-viewradio-profilenamehuawei-ap2w. AC-w1an-radio-prof-huawei-ap2wmm-profilenamehuawei-ap2x. AC-wlan-radio-prof-huawei-ap2quity.AC-wlan-viewap1radio0z.AC-wlan-radio-1/0radio-profilenamehuawei-aplaa.Warning:ModifytheRadiotypemaycausesomeparametersofRadioresumedefaulbb

23、.tvalue,areyousuretocontinue?YN:ycc.AC-wlan-radio-1/0quitdd.AC-wlan-viewap2radio0ee.AC-wlan-radio_20radio-profilenamehuaweiap2ff.Warning:ModifytheRadiotypemaycausesomeparametersofRadioresumedefaulgg.tvalue,areyousuretocontinue?Y/N:yhh.AC-wla11-radio-20quit#配置平安模板。AC-wlan-viewsecurity-profi1enamehuaw

24、ei-apAC-wla11-sec-prof-huawei-apsecurity-policywepAC-wla11-sec-prof-huawei-apwepauthentication-methodopen-systemAC-wla11-sec-prof-huawei-apquit#配置流量模板。AC-wlan-viewtraffic-profilenamehuaweiapAC-wla11-traffic-prof-huawei-apquitn配置API和AP2的效劳集，在效劳集内绑定WLAN-ESS接口、平安模板和流量模板。AC-wlan-viewservice-setnamehuawe

25、iAC-wla-service-set-huawei AC-wlan-service-set-huawei AC-wlan-service-set-huawei AC-wlan-service-set-huawei AC-wlan-service-set-huawei AC-wlan-service-set-huawei AC-wlan-service-set-huaweissid huaweiwla-ess 0dhcp snoopingservice-vlan 101security-profile name huawei-ap traffic-profile name huawei-ap

26、quitii.配置AP对应的VAP并下发配置jj.AC-wlan-viewap1radio0kk.C-w1an-radio-1/0service-setnamehuawei11.C-wlan-radio-l0quitmm.AC-wlan-viewcommitap1nn.Warning:Committingconfigurationmaycauseserviceinterruption,continue?YNoo.ypp.AC-wlan-viewap2radio0qq.C-w1an-radio_20service-setnamehuaweirr.C-wlan-radio-20quitss.AC-

27、wlan-viewcommitap2tt.Warning:Committingconfigurationmaycauseserviceinterruption,continue?YNuu.y20.验证配置结果o完成配置后，STA在APl的覆盖范围内可以搜索到SSID为huawei的无线网络，并成功关联。oSTA长Ping效劳器地址，并缓慢的从区域101移动到区域102,发现与用户关联的AP由APl切换到P2,长ping效劳器地址有少量丢包。o在AC上执行displaystationassoc-infostanac-address命令查看无线终端的接入信息，可查看到STA关联的AP发生了变化。o

28、在AC上执行displaystationroam-trackstasta-mac,可以查看该STA的漫游轨迹。配置文件接入交换机的配置文件 # vlanbatchIOl800 # interfaceEthernet00l portlink-typetrunk porttrunkpvidvlan800 porttrunkallow-passvlan101800 port-isolateenable n interfaceEthernet002 portlink-typetrunk porttrunkpvidvlan800 porttrunkallow-passvlan101800 port-i

29、solateenable # interfaceEthernet003 portlink-typetrunk porttrunkallow-passvlan101800 nreturn AC的配置文件 n sysnameAC # vlanbatch101800 n wIanac-globalcarrieridotheracid1 # interfaceVlaniflOl ipaddress192.168.10.1255.255.255.0 dhcpselectinterface n interfaceVlanif800 ipaddress172.1.1.1255.255.255.0 dhcps

30、electinterface n interfaceWLAN-ESS0 porthybridtaggedvlan101 # interfaceEthernet200 portlink-typetrunk porttrunkallow-passvlan101800 n wIanac wIanacsourceinterfacevIanif800 ap-regionid101 ap-auth-modeno-auth apid1type-id6mac286E-D42B-0CE5snAB34002078 region-id101 apid2type-id6mac0025-9EE8-DF70snAB360

31、15000 region-id102 wmm-profilenamehuawei-aplid0 wmm-profilenamehuawei-ap2id1 traffic-profilenamehuawei-apid0 security-profilenamehuawei-apid0 service-setnamehuaweiid0 wla11-ess0 ssidhuawei traffic-profileid0 security-profileid0 dhcpsnooping service-vlan101 radio-profilenamehuawei-aplid0 wmm-profilei

32、d0 radio-profilenamehuawei-ap2id1 wmm-profileid1 ap1radio0 radio-profileid0 service-setid0wlan1 ap2radio0 radio-profileid0 service-setid0wlan1 nreturn配置跨VLAN的三层漫游业务例如组网需求如图7-3所示,AC通过接入交换机连接和管理APl和AP2o当无线用户从一个AP的无线信号覆盖区域移动到另一个AP的无线信号覆盖区域时，会重新关联新AP。用户希望在关联过程中，无线业务不会中断。STA1配置思路1 .配置交换机和AC,实现AP和AC互通。2 .

33、配置AC的根本功能，包括配置AC运营商标识和ID、AC与AP之间通信的源接口，实现AC作为DHCP效劳器给AP、STA分配IP地址。3 .配置AP上线的认证方式，并把AP参加到AP域中，实现AP正常工作。4 .配置VAP,下发WLANIk务，实现STA访问WLAN网络功能。a.配置WLAN-ESS接口，配置允许两个业务VLAN通过，然后在效劳集下绑定该接口，实现无线侧报文到达AC后能够送至WLAN业务处理模块功能。b.配置AP对应的射频模板，并在射频下绑定该模板，实现STA与AP之间的无线通信参数配置。c.配置AP对应的效劳集，并在效劳集下配置数据直接转发模式，绑定平安模板、流量模板，实现ST

34、A接入网络平安策略及QOS控制。d.配置VAP并下发，实现STA访问WLAN网络功能。Q说明：跨VLAN三层漫游时，必须确保： AP都接在同一AC下。 WLAN-ESS接口下配的认证方式相同。每个WLAN-ESS接口下都必须配置两个业务VLANo 平安模板配置必须保持一致。效劳集模板中配置的SSlD和数据转发模式必须相同。操作步骤1.配置接入交换机#使接入交换机透传所有的业务VLAN,由交换机给AP管理报文打tago说明:需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离，如果不配置端口隔离，可能会在VLAN内存在不必要的播送报文，或者导致不同AP间的WLAN用户

35、二层互通的问题。system-viewQuidwayvlanbatchIOl800Quidway12protocol-tunneluser-defined-protocoleapprotocol-mac0180-c200-0022group-mac0100-5e00-0012Quidwayinterfaceethernet0/0/1Qidway-EthernetOOlportlink-typetrunkQidway-EthernetOOlporttrunkpvidvlan800Qidway-EthernetO/O/1porttrunkallow-passvlan101800Quidway-Et

36、hernetOOl12protocol-tunneluser-defined-protocoleapenableQidway-EthernetOOlbpduenableQidway-EthernetO/O/1port-isolateenableQidway-EthernetO/O/1quitQuidwayinterfaceethernet0/0/2Qidway-Ethernet002portlink-typetrunkQidway-Ethernet002porttrunkpvidvlan800Qidway-Ethernet002porttrunkallow-passvlan102800Quid

37、way-Ethernet002112protocol-tunneluser-defined-protocoleapenableQidway-Ethernet002bpduenableQidway-Ethernet002port-isolateenableQidway-Ethernet002quitQuidwayinterfaceethernet0/0/3Qidway-Ethernet003portlink-typetrunkQidway-Ethernet003porttrunkallow-passvlan101102800Qidway-Ethernet00312protocol-tunnelu

38、ser-defined-protocoleapenableQuidway-Ethernet003bpduenableQidway-Ethernet003quit23456789 system-view配置会聚交换机n使会聚交换机透传所有的业务VLAN和管理VLANQuidwayinterfaceethernet0/0/1Quidway-Ethernet0/1 Qui dway-EthernetO/0/1 Qui dway-Ethernet0/1 Quidway-Ethernet0/0/1 Quidway-Ethernet0/0/1portlink-typetrunkporttrunkallow

39、-passvlan101102800bpdubridgeenableport-isolateenablequit10.Quidwayinterfaceethernet0/0/211. Qidway-Ethernet00212. Quidway-Ethernet00213. Quidway-Ethernet00214. Quidway-Ethernet002portlink-typetrunkporttrunkallow-passvlan101102800bpdubridgeenablequit802.lx+数据直接转发的组网情况下，需要在AC与AP之间配置二层协议透明传输,配置方法如下：O框式

40、交换机设备：只需要在接口视图下执行命令bpdubridgeenable。o盒式交换机设备：全局视图下执行命令12protocol-tunneluser-defined-protocolprotocol-nameprotocol-macprotocol-macgroup-macgroup一Inac、并且接口视图下执行命令12PrOtOCol-tunneluser-defined-protocolprotocol-nameenable和命令bpduenablec15.配置AC连接接入交换机的接口，使能AC的DHCP效劳器功能16. system-view17. HuaweisysnameAC18.

41、 ACvlanbatch10110219. ACinterfaceethernet20. AC-Ethernet200port21. AC-Ethernet200port8002/0/0link-typetrunktrunkallow-passvlan10110280022.AC-Ethernet200quit23.ACdhcpenable24. ACinterface25. AC-Vlanif80026. AC-Vlanif80027. AC-Vlanif80028. ACinterface29. AC-VlaniflOl30. AC-VlaniflOl31. AC-VlaniflOl32.

42、 ACinterface33. AC-VlaniflO234. AC-VlaniflO2AC-VlaniflO2vlanif800ipaddress10.1.1.124dhcpselectinterfacequitvlanif101ipaddress128.1.1.124dhcpselectinterfacequitvlanif102ipaddress128.1.2.124dhcpselectinterfacequit35.配置802.IX认证时的RDIUS方案和AAA域a.配置RADlUS方案。请确保AC与RADIUS效劳器的Shared-key相同。ACradius-servertempl

43、ateradius_huaweib c d e f g h i J k 1 m n o P q r s tAC-aaa-domain-peap. radius AC-aaadomain-peap. radius AC-aaa-domain-peap. radius AC-aaa-domai-peap. radius AC-aaa quita.b.c.d.的源接口。AC wlan ac-global AC wlan ac-global AC wlan acAC-wlan-view wlanAC-radius-radius_huaweiradius-serverauthentication10.1

44、.1.51812AC-radius-radius_huaweiradius-serveraccounting10.1.1.51813AC-radius-radius_huaweiradius-servershared-keysimplehuaweiAC-radius-radius_huaweiquit配置AAA域，在域下应用认证、计费方案和RADnJS方案。Cradius-servertemplateradius_huaweiAC-radius-radius_huaweiradius-serverauthentication10.1.1.51812AC-radius-radius_huaweiradius-serveraccounting10.1.1.51813AC-radius-radius_huaweiradius-servershared-keysimplehuaweiAC-radius-radius_huaweiquitACaaaAC-aaaauthentication-schemeradius_huaweiAC-aaa-authen-radiu