• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

02-WLAN配置指导

目录

04-IACTP隧道和WLAN漫游配置

本章节下载 04-IACTP隧道和WLAN漫游配置  (425.24 KB)

04-IACTP隧道和WLAN漫游配置


1 IACTP隧道和WLAN漫游

说明

·     本特性的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。

·     无线客户端在跨VLAN漫游过程中需要开启MAC-VLAN功能,通过MAC VLAN表项保持自身的VLAN不变

 

1.1  IACTP隧道

IACTP(Inter Access Controller Tunneling Protocol,接入控制器间隧道协议)是H3C公司自主研发的隧道协议,该协议定义了AC与AC之间是如何通信的,提供了AC间报文的通用封装和传输机制,保证了AC之间的安全传输。

IACTP协议为应用(共享与交换信息)提供了一个控制通道,也同时提供封装AC间传输数据的数据通道。IACTP协议同时支持IPv4和IPv6。

目前AC间漫游、双机热备和AC-BAS一体化功能需要使用IACTP隧道进行通信。

1.2  WLAN漫游概述

多个AC可以通过IACTP协议建立IACTP隧道。IACTP隧道的建立和维护均由IACTP协议完成。

当支持快速漫游服务的客户端第一次关联到IACTP隧道内的任何一个AC(该AC即为它的家乡代理Home-AC,HA)时,客户端会和HA之间进行完整的802.1X认证,并会采用11Key进行密钥协商。客户端在IACTP隧道内跨AC漫游之前,IACTP隧道内的AC之间(新关联的AC为它的外地代理Foreign-AC,FA)会进行客户端信息的同步。客户端在发生漫游并关联到FA时不用再进行802.1X认证,FA可以快速认证客户端的信息,只需执行11Key密钥协商即可实现无缝漫游。

1.2.1  常用术语

·     HA(Home-AC):一个无线终端首次与IACTP隧道内的某个AC进行关联,该AC即为它的HA。

·     FA(Foreign-AC):一个无线终端与某个不是HA的AC进行关联,该AC即为它的FA。

·     可快速漫游终端:一个关联到IACTP隧道内AC、且支持快速漫游服务(支持Key Caching技术)的无线终端。

·     漫出终端:在IACTP隧道中,一个漫游无线终端正连接到HA之外的AC,该无线终端相对HA来说被称为漫出终端。

·     漫入终端:在IACTP隧道中,一个漫游无线终端正连接到HA之外的某个FA上,该无线终端相对当前FA来说被称为漫入终端。

·     AC内漫游(Intra-AC roaming):一个无线终端从同一AC内的一个AP漫游到另一个AP中,即称为AC内漫游。

·     AC间漫游(Inter-AC roaming):一个无线终端从一个AC内的AP漫游到另一个AC内的AP中,即称为AC间漫游。

·     AC间快速漫游(Inter-AC fast roaming):如果一个无线终端可以协商采用802.1X(RSN)认证方式并支持Key Caching技术,则该无线终端具有AC间快速漫游能力。

1.2.2  WLAN漫游拓扑

WLAN漫游拓扑组成:

·     AC内漫游

·     AC间漫游

·     FA内漫游

·     FA间漫游

·     往返漫游

1. AC内漫游

图1-1 AC内漫游

 

(1)     一个无线终端与AP 1关联,AP 1连接AC。

(2)     该无线终端断开与AP 1的关联,漫游到与同一个AC相连的AP 2上。

(3)     该无线终端关联到AP 2的过程即为AC内漫游。

2. AC间漫游

图1-2 AC间漫游

 

 

(1)     一个无线终端与AP 1关联,AP 1连接AC 1。

(2)     该无线终端断开与AP 1的关联,漫游到AP 2,后者连接到AC 2。

(3)     该无线终端关联到AP 2的过程即为AC间漫游。在AC间漫游之前,AC 1需要和AC 2通过IACTP隧道同步预漫游终端的信息。

3. FA内漫游

图1-3 FA内漫游

 

(1)     一个无线终端与AP 1关联,AP 1连接AC 1。

(2)     该无线终端断开与AP 1的关联,漫游到AP 2,后者连接到AC 2。这时AC 2就是终端的FA。

(3)     该无线终端通过AC间漫游关联到AP 2。在AC间漫游之前,AC 1需要和AC 2通过IACTP隧道同步预漫游终端的信息。

(4)     该无线终端断开与AP 2的关联,漫游到AP 3,AP 3和AP 2都与AC 2连接。该无线终端关联到AP 3的过程即为FA内漫游。

4. FA间漫游

图1-4 FA间漫游

 

 

(1)     一个无线终端与AP 1关联,AP 1连接AC 1。

(2)     该无线终端断开与AP 1的关联,漫游到AC 2所连接的AP 2上。这时AC 2就是该无线终端的FA。

(3)     该无线终端关联到AP 2的过程即为AC间漫游。

(4)     该无线终端断开与AP 2的关联,漫游到AC 3所连接的AP 3上。这时AC 3是该无线终端的FA。该无线终端关联到AP 3的过程即为FA间漫游。在AC间漫游前,AC 1需要和AC 2、AC 3通过IACTP隧道同步预漫游终端的信息。

5. 往返漫游

图1-5 往返漫游

 

 

(1)     一个无线终端与AP 1关联,AP 1连接AC 1。AC 1是该无线终端的HA。

(2)     该无线终端断开与AP 1的关联,漫游到与AC 2连接的AP 3上。这时AC 2就是该无线终端的FA。

(3)     该无线终端关联到AP 3的过程就是AC间漫游。在AC间漫游前,AC 1需要同AC 2通过IACTP隧道同步预漫游终端的信息。

(4)     该无线终端断开与AP 3的关联,漫游回AP 2或AP 1上,AP 2和AP 1都连接在AC 1上,即该无线终端的HA。该过程即为返回HA。

1.3  配置IACTP隧道

表1-1 配置IACTP隧道

操作

命令

说明

进入系统视图

system-view

-

创建IACTP隧道,并进入IACTP隧道视图

wlan mobility-group name

必选

在配置IACTP隧道时,同一IACTP隧道内AC的IACTP隧道名必须保持一致

配置IACTP隧道类型

mobility-tunnel { iactp | iactp6 }

可选

缺省情况下,IACTP隧道协议类型为IPv4

配置IACTP隧道的源IP地址

source { ip ipv4-address | ipv6 ipv6-address }

必选

缺省情况下,没有配置IACTP隧道的源IP地址

配置AC成员的IP地址

member { ip ipv4-address | ipv6 ipv6-address } [ vlan vlan-id-list ]

必选

缺省情况下,IACTP隧道内没有AC成员

配置IACTP控制消息完整性认证模式

authentication-mode authentication-method [ cipher | simple ] authentication-key

可选

缺省情况下,IACTP控制消息完整性认证模式处于关闭状态

开启IACTP隧道

mobility-group enable

必选

缺省情况下,IACTP隧道处于关闭状态

 

说明

同一IACTP隧道内的AC的User Profile的配置必须一致。关于User Profile的详细介绍和具体配置请参见“安全配置指导”中的“User Profile”。

 

1.4  配置漫游组隧道相互隔离

配置漫游组隧道相互隔离功能,可以确保AC上漫游组隧道之间的数据报文不再相互转发。

表1-2 配置漫游组隧道相互隔离

操作

命令

说明

进入系统视图

system-view

-

配置漫游组隧道相互隔离

wlan mobility-group-isolation enable

必选

缺省情况下,开启漫游组隧道相互隔离功能

 

1.5  开启漫游功能

为实现客户端能够在AC间进行漫游,需要先在各AC上完成IACTP隧道的配置,然后在这些AC上开启漫游功能。

表1-1 开启漫游功能

操作

命令

说明

进入系统视图

system-view

-

进入IACTP隧道视图

wlan mobility-group name

必选

开启漫游功能

roam enable

可选

缺省情况下,漫游功能处于开启状态

关闭/开启漫游功能时,IACTP隧道必须处于关闭状态,否则不允许修改漫游功能配置

 

1.6  IATCP隧道和WLAN漫游显示与维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN漫游的运行情况,通过查看显示信息验证配置的效果。

表1-3 IATCP隧道和WLAN漫游显示与维护命令

操作

命令

查看IACTP隧道信息

display wlan mobility-group [ member { ip IPv4-address | ipv6 IPv6-address } ] [ | { begin | exclude | include } regular-expression ]

查看HA上的WLAN客户端漫游信息

display wlan client roam-track mac-address mac-address [ | { begin | exclude | include } regular-expression ]

查看WLAN客户端漫游信息

display wlan client { roam-in | roam-out } [ member { ip IPv4-address  | ipv6 IPv6-address } ] [ verbose ] [ | { begin | exclude | include } regular-expression ]

 

1.7  WLAN漫游配置举例

1.7.1  AC内漫游配置举例

1. 组网需求

AC、AP 1和AP 2在VLAN 1中,无线客户端先通过AP 1连接至无线网络,然后漫游到与同一AC相连的AP 2上。

2. 组网图

图1-6 AC内漫游组网图

 

3. 配置步骤

说明

·     无线接入服务的配置请参见“WLAN配置指导”中的“WLAN接入”。需要注意的是,只有使用RSN+802.1X认证方式时,客户端才能进行快速漫游。

·     如果选择的认证方式涉及远程认证,需要对相关Radius服务器进行设置,具体步骤请参见“WLAN配置指导”中的“WLAN安全”。

 

(1)     配置AC

# 在接口WLAN-ESS1上配置端口安全模式为userlogin-secure-ext,并使能端口11key类型的密钥协商功能。

<AC> system-view

[AC] interface wlan-ess 1

[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext

[AC-WLAN-ESS1] port-security tx-key-type 11key

# 关闭802.1X多播触发功能和在线用户握手功能。

[AC-WLAN-ESS1] undo dot1x multicast-trigger

[AC-WLAN-ESS1] undo dot1x handshake

[AC-WLAN-ESS1] quit

# 创建服务模板1(加密类型服务模板),配置SSID为intra-roam,将WLAN-ESS1接口绑定到服务模板1。

[AC] wlan service-template 1 crypto

[AC-wlan-st-1] ssid intra-roam

[AC-wlan-st-1] bind wlan-ess 1

# 配置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证,并在帧加密时使能CCMP加密套件。

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] cipher-suite ccmp

[AC-wlan-st-1] security-ie rsn

[AC-wlan-st-1] quit

# 开启端口安全功能。

[AC] port-security enable

# 配置802.1X用户的认证方式为EAP。

[AC] dot1x authentication-method eap

# 创建RADIUS方案rad,指定extended类型的RADIUS服务器,表示支持与服务器交互扩展报文。

[AC] radius scheme rad

[AC-radius-rad] server-type extended

# 配置主认证RADIUS服务器的IP地址10.18.1.5,主计费RADIUS服务器的IP地址10.18.1.5。

[AC-radius-rad] primary authentication 10.18.1.5

[AC-radius-rad] primary accounting 10.18.1.5

# 配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678。

[AC-radius-rad] key authentication 12345678

[AC-radius-rad] key accounting 12345678

# 配置AC发送RADIUS报文使用的源IP地址为10.18.1.1。

[AC-radius-rad] nas-ip 10.18.1.1

[AC-radius-rad] quit

# 创建cams域,指定rad为该域用户的RADIUS方案。

[AC] domain cams

[AC-isp-cams] authentication default radius-scheme rad

[AC-isp-cams] authorization default radius-scheme rad

[AC-isp-cams] accounting default radius-scheme rad

[AC-isp-cams] quit

# 在接口WLAN-ESS1上配置802.1X用户的强制认证域cams。

[AC] interface WLAN-ESS 1

[AC-WLAN-ESS1] dot1x mandatory-domain cams

[AC-WLAN-ESS1] quit

# 配置AP 1:创建AP 1的模板,名称为ap1,型号名称选择WA3628i-AGN,并配置AP 1的序列号为210235A045B05B1236548。

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A045B05B1236548

[AC-wlan-ap-ap1] radio 1 type dot11an

# 将服务模板1绑定到AP 1的radio 1口,AC内漫游要求各AP的SSID相同,这里AP 1下绑定服务模板1。

[AC-wlan-ap-ap1-radio-1] service-template 1

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

# 开启服务模板1。

[AC] wlan service-template 1

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 配置AP 2:创建AP 2的模板,名称为ap2,型号名称选择WA3628i-AGN,配置AP 2的序列号为2210235A22W0076000103。

[AC] wlan ap ap2 model WA3628i-AGN

[AC-wlan-ap-ap2] serial-id 210235A22W0076000103

[AC-wlan-ap-ap2] radio 1 type dot11an

# 将服务模板1绑定到AP 2 的radio 1口(AC内漫游要求各AP的SSID相同,因此在AP 2下绑定的服务模板需要和AP 1保持一致)。

[AC-wlan-ap-ap2-radio-1] service-template 1

[AC-wlan-ap-ap2-radio-1] radio enable

[AC-wlan-ap-ap2-radio-1] return

(2)     验证结果

在客户端漫游后,使用display wlan client verbose查看显示信息,AP Name和BSSID字段发生变化。同时可以通过display wlan client roam-track mac-address命令查看客户端的漫游跟踪信息。

1.7.2  AC间漫游配置举例

1. 组网需求

AC 1和AC 2通过一个二层交换机连接,两个AC处于同一个网段,AC 1的IP地址为10.18.1.1/24;AC 2的IP地址为10.18.1.2/24。无线客户端先通过AP 1连接至无线网络,然后漫游到与另一个AC相连的AP 2上。

2. 组网图

图1-7 AC间漫游组网图

 

3. 配置步骤

说明

·     无线接入服务的配置请参见“WLAN配置指导”中的“WLAN接入”。需要注意的是,只有使用RSN+802.1X认证方式时,客户端才能进行快速漫游。

·     如果选择的认证方式涉及远程认证,需要对相关Radius服务器进行设置,具体步骤请参见“WLAN配置指导”中的“WLAN安全”。

 

(1)     配置AC 1

# 在接口WLAN-ESS1上配置端口安全模式为userlogin-secure-ext,并使能端口11key类型的密钥协商功能。

<AC1> system-view

[AC1] interface wlan-ess 1

[AC1-WLAN-ESS1] port-security port-mode userlogin-secure-ext

[AC1-WLAN-ESS1] port-security tx-key-type 11key

# 关闭802.1X多播触发功能和在线用户握手功能。

[AC1-WLAN-ESS1] undo dot1x multicast-trigger

[AC1-WLAN-ESS1] undo dot1x handshake

[AC1-WLAN-ESS1] quit

# 创建服务模板1(加密类型服务模板),配置当前服务模板的SSID为inter-roam,将WLAN-ESS1接口绑定到服务模板1。

[AC1] wlan service-template 1 crypto

[AC1-wlan-st-1] ssid inter-roam

[AC1-wlan-st-1] bind wlan-ess 1

# 配置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证,并在帧加密时使能CCMP加密套件。

[AC1-wlan-st-1] authentication-method open-system

[AC1-wlan-st-1] cipher-suite ccmp

[AC1-wlan-st-1] security-ie rsn

[AC1-wlan-st-1] quit

# 开启端口安全功能。

[AC1] port-security enable

# 配置802.1X用户的认证方式为EAP。

[AC1] dot1x authentication-method eap

# 创建RADIUS方案rad,指定extended类型的RADIUS服务器,表示支持与服务器交互扩展报文。

[AC1] radius scheme rad

[AC1-radius-rad] server-type extended

# 配置主认证RADIUS服务器的IP地址10.18.1.5,主计费RADIUS服务器的IP地址10.18.1.5。

[AC1-radius-rad] primary authentication 10.18.1.5

[AC1-radius-rad] primary accounting 10.18.1.5

# 配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678。

[AC1-radius-rad] key authentication 12345678

[AC1-radius-rad] key accounting 12345678

# 配置AC发送RADIUS报文使用的源IP地址为10.18.1.1。

[AC1-radius-rad] nas-ip 10.18.1.1

[AC1-radius-rad] quit

# 创建cams域,指定rad为该域用户的RADIUS方案。

[AC1] domain cams

[AC1-isp-cams] authentication default radius-scheme rad

[AC1-isp-cams] authorization default radius-scheme rad

[AC1-isp-cams] accounting default radius-scheme rad

[AC1-isp-cams] quit

# 在接口WLAN-ESS1上配置802.1X用户的强制认证域cams。

[AC1] interface WLAN-ESS 1

[AC1-WLAN-ESS1] dot1x mandatory-domain cams

[AC1-WLAN-ESS1] quit

# 配置AP 1:创建AP 1的模板,名称为ap1,型号名称选择WA3628i-AGN,并配置AP 1的序列号为210235A045B05B1236548。

[AC1] wlan ap ap1 model WA3628i-AGN

[AC1-wlan-ap-ap1] serial-id 210235A045B05B1236548

[AC1-wlan-ap-ap1] radio 1 type dot11an

# 将SSID为inter-roam的服务模板绑定到AP 1的radio 1口。

[AC1-wlan-ap-ap1-radio-1] service-template 1

[AC1-wlan-ap-ap1-radio-1] radio enable

[AC1-wlan-ap-ap1-radio-1] quit

[AC1-wlan-ap-ap1] quit

# 开启服务模板1。

[AC1] wlan service-template 1

[AC1-wlan-st-1] service-template enable

[AC1-wlan-st-1] quit

# 配置IACTP隧道的源IP地址(AC 1的IP地址)为10.18.1.1,AC成员的IP地址(AC 2的IP地址)为10.18.1.2。

[AC1] wlan mobility-group roam

[AC1-wlan-mg-roam] source ip 10.18.1.1

[AC1-wlan-mg-roam] member ip 10.18.1.2

# 开启漫游功能(缺省情况下,漫游功能处于开启状态,此步骤可选)。

[AC1-wlan-mg-roam] roam enable

# 开启IACTP隧道。

[AC1-wlan-mg-roam] mobility-group enable

(2)     配置AC 2

# 在接口WLAN-ESS1上配置端口安全模式为userlogin-secure-ext,并使能端口11key类型的密钥协商功能。

<AC2> system-view

[AC2] interface wlan-ess 1

[AC2-WLAN-ESS1] port-security port-mode userlogin-secure-ext

[AC2-WLAN-ESS1] port-security tx-key-type 11key

# 关闭802.1X多播触发功能和在线用户握手功能。

[AC2-WLAN-ESS1] undo dot1x multicast-trigger

[AC2-WLAN-ESS1] undo dot1x handshake

[AC2-WLAN-ESS1] quit

# 创建服务模板1(加密类型服务模板),配置当前服务模板的SSID为inter-roam,将WLAN-ESS1接口绑定到服务模板1。

[AC2] wlan service-template 1 crypto

[AC2-wlan-st-1] ssid inter-roam

[AC2-wlan-st-1] bind wlan-ess 1

# 配置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证,并在帧加密时使能CCMP加密套件。

[AC2-wlan-st-1] authentication-method open-system

[AC2-wlan-st-1] cipher-suite ccmp

[AC2-wlan-st-1] security-ie rsn

[AC2-wlan-st-1] quit

# 开启端口安全功能。

[AC2] port-security enable

# 配置802.1X用户的认证方式为EAP。

[AC2] dot1x authentication-method eap

# 创建RADIUS方案rad,指定extended类型的RADIUS服务器,表示支持与服务器交互扩展报文。

[AC2] radius scheme rad

[AC2-radius-rad] server-type extended

# 配置主认证RADIUS服务器的IP地址10.18.1.5,主计费RADIUS服务器的IP地址10.18.1.5。

[AC2-radius-rad] primary authentication 10.18.1.5

[AC2-radius-rad] primary accounting 10.18.1.5

# 配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678。

[AC2-radius-rad] key authentication 12345678

[AC2-radius-rad] key accounting 12345678

# 配置AC发送RADIUS报文使用的源IP地址为10.18.1.2。

[AC2-radius-rad] nas-ip 10.18.1.2

[AC2-radius-rad] quit

# 创建cams域,指定rad为该域用户的RADIUS方案。

[AC2] domain cams

[AC2-isp-cams] authentication default radius-scheme rad

[AC2-isp-cams] authorization default radius-scheme rad

[AC2-isp-cams] accounting default radius-scheme rad

[AC2-isp-cams] quit

# 在接口WLAN-ESS1上配置802.1X用户的强制认证域cams。

[AC2] interface WLAN-ESS 1

[AC2-WLAN-ESS1] dot1x mandatory-domain cams

[AC2-WLAN-ESS1] quit

# 配置AP 2:创建AP 2的模板,名称为ap2,型号名称选择WA3628i-AGN,配置AP 2的序列号为2210235A22W0076000103。

[AC2] wlan ap ap2 model WA3628i-AGN

[AC2-wlan-ap-ap2] serial-id 210235A22W0076000103

[AC2-wlan-ap-ap2] radio 1 type dot11an

# AC间漫游要求各AP的SSID相同,所以需要将SSID为inter-roam的服务模板绑定到AP 2的radio 1口。

[AC2-wlan-ap-ap2-radio-1] service-template 1

[AC2-wlan-ap-ap2-radio-1] radio enable

[AC2-wlan-ap-ap2-radio-1] quit

[AC2-wlan-ap-ap2] quit

# 开启服务模板1。

[AC2] wlan service-template 1

[AC2-wlan-st-1] service-template enable

[AC2-wlan-st-1] quit

# 配置IACTP隧道的源IP地址(AC 1的IP地址)为10.18.1.2,AC成员的IP地址(AC 2的IP地址)为10.18.1.1。

[AC2] wlan mobility-group roam

[AC2-wlan-mg-roam] source ip 10.18.1.2

[AC2-wlan-mg-roam] member ip 10.18.1.1

# 开启漫游功能(缺省情况下,漫游功能处于开启状态,此步骤可选)。

[AC2-wlan-mg-roam] roam enable

# 开启IACTP隧道。

[AC2-wlan-mg-roam] mobility-group enable

(3)     验证结果

客户端漫游后,在AC 1设备上使用display wlan client roam-out命令可以看到客户端漫出信息,在AC 2设备上使用display wlan client roam-in命令可以看到客户端漫入信息。

同时在AC 1上可以通过display wlan client roam-track mac-address命令查看客户端的漫游跟踪信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们