• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

27-WLAN配置指导(AC)

目录

07-WLAN漫游配置

本章节下载 07-WLAN漫游配置  (624.46 KB)

07-WLAN漫游配置

  录

1 WLAN漫游

1.1 WLAN漫游简介

1.2 WLAN漫游实现方式介绍

1.3 三层漫游

1.4 配置客户端漫游表项老化时间

1.5 WLAN漫游显示和维护

1.6 WLAN漫游典型配置举例

2 漫游增强技术

2.1 802.1X快速漫游

2.1.1 802.1X快速漫游工作机制

2.1.2 802.1X快速漫游配置限制和指导

2.2 MAC快速漫游

2.2.1 MAC快速漫游工作机制

2.2.2 MAC快速漫游配置限制和指导

2.2.3 配置MAC地址认证成功后的快速连接功能

2.3 802.11r

2.3.1 802.11r简介

2.3.2 802.11r配置限制和指导

2.3.3 配置802.11r

2.3.4 FT Over-the-Air方式802.11r典型配置举例(PSK模式)

2.3.5 FT Over-the-Air方式802.11r典型配置举例(802.1X模式)

2.4 802.11v

2.4.1 802.11v简介

2.4.2 802.11v配置限制和指导

2.4.3 开启BSS切换管理功能

2.4.4 配置BSS切换解除关联功能

2.4.5 802.11v典型配置举例

2.5 协同漫游

2.5.1 协同漫游简介

2.5.2 协同漫游配置限制和指导

2.5.3 配置无线客户端反粘滞功能

2.5.4 配置获取BSS候选列表功能

2.5.5 开启漫游优化流量保持高级功能

2.5.6 协同漫游显示和维护

3 漫游组

3.1 漫游组简介

3.2 WLAN漫游基本概念

3.3 漫游组实现方式介绍

3.4 IADTP隧道建立过程

3.5 漫游组配置限制和指导

3.6 漫游组配置任务简介

3.7 创建漫游组

3.8 配置漫游组认证模式

3.9 配置漫游组IADTP隧道IP地址类型

3.10 配置设备加入漫游组时建立IADTP隧道的源IP地址

3.11 配置设备发送的IADTP隧道控制报文的DSCP优先级

3.12 添加漫游组内的成员设备

3.12.1 手动添加漫游组内的成员设备

3.12.2 自动添加漫游组内的成员设备

3.13 配置本成员设备在漫游组中的角色

3.14 关闭IADTP数据隧道功能

3.15 开启漫游中继功能

3.16 开启漫游组功能

3.17 开启漫游组隧道隔离功能

3.18 开启漫游组告警功能

3.19 漫游组显示和维护

3.20 漫游组典型配置举例

3.20.1 漫游组典型配置举例

 


1 WLAN漫游

1.1  WLAN漫游简介

在同属于一个ESS(Extended Service Set,拓展服务集)区域中的不同AP覆盖范围内,无线客户端从一个AP上接入转移到另一个AP上接入的过程称为漫游。在漫游期间,客户端的IP地址、授权信息等维持不变。

1.2  WLAN漫游实现方式介绍

图1-1所示,客户端漫游的具体过程如下:

(1)     客户端在AP 1上初始上线,在AC上会创建该客户端的漫游表项信息(漫游表项信息主要包括客户端上线SSID、PMKID、认证方式、安全认证模式以及漫游VLAN等)

(2)     客户端漫游到AP 2,AC查找该客户端的漫游表项。

(3)     客户端重新认证,在AP 2上上线。

图1-1 WLAN漫游实现方式示意图

 

1.3  三层漫游

图1-2所示,当客户端从AP 1漫游到AP 2时,设备无需任何特殊配置,即可完成跨VLAN的漫游。漫游具体过程请参见“1.2  WLAN漫游实现方式介绍”。

图1-2 三层漫游示意图

 

1.4  配置客户端漫游表项老化时间

1. 功能简介

无线客户端漫游表项记录了客户端的PMK列表、接入VLAN以及其他授权信息。无线客户端断开连接之后,如果在客户端漫游表项老化时间内再次成功关联AP,则可继承表项记录的各种授权信息,实现快速漫游。如果客户端离线时间超过了老化时间,系统会自动清除该客户端的记录。

本命令仅支持配置AC内漫游客户端的Cache老化时间,不支持AC间漫游场景。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     配置客户端漫游表项老化时间。

client cache aging-time aging-time

缺省情况下,无线客户端漫游表项的老化时间为180秒。

1.5  WLAN漫游显示和维护

可在任意视图下执行以下命令:

·     显示客户端的漫游跟踪信息。

display wlan mobility roam-track mac-address mac-address

1.6  WLAN漫游典型配置举例

1. 组网需求

图1-3所示,要求客户端在不同AP间进行漫游。

2. 组网图

图1-3 WLAN漫游典型配置组网图

 

3. 配置步骤

# 创建无线服务模板service,配置SSID为1,并使能服务模板。

<AC> system-view

[AC] wlan service-template service

[AC-wlan-st-service] ssid 1

[AC-wlan-st-service] service-template enable

[AC-wlan-st-service] quit

# 创建手工AP,名称为ap1,选择AP型号并配置序列号。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 将服务模板绑定到ap1的Radio接口。

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] service-template service

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

# 创建手工AP,名称为ap2,选择AP型号并配置序列号。

[AC] wlan ap ap2 model WA6320

[AC-wlan-ap-ap2] serial-id 219801A28N819CE0003T

# 将无线服务模板绑定到ap2的Radio接口。

[AC-wlan-ap-ap2] radio 1

[AC-wlan-ap-ap2-radio-1] radio enable

[AC-wlan-ap-ap2-radio-1] service-template service

[AC-wlan-ap-ap2-radio-1] quit

[AC-wlan-ap-ap2] quit

4. 验证配置

(1)     客户端在AP 1初次上线后,在AC上查看客户端的漫游信息。

# 通过display wlan client命令可以查看到客户端关联的AP为AP 1,漫游状态为初始上线。

[AC] display wlan client verbose

Total number of clients: 1

 

MAC address                        : 9cd3-6d9e-6778

IPv4 address                       : 10.1.1.114

IPv6 address                       : N/A

Username                           : N/A

AID                                : 1

AP ID                              : 1

AP name                            : ap1

Radio ID                           : 1

SSID                               : 1

BSSID                              : 000f-e200-4444

VLAN ID                            : 1

Sleep count                        : 242

Wireless mode                      : 802.11ac

Channel bandwidth                  : 80MHz

SM power save                      : Enabled

SM power save mode                 : Dynamic

Short GI for 20MHz                 : Supported

Short GI for 40MHz                 : Supported

Short GI for 80MHz                 : Supported

Short GI for 160/80+80MHz          : Not supported

STBC RX capability                 : Not supported

STBC TX capability                 : Not supported

LDPC RX capability                 : Not supported

SU beamformee capability           : Not supported

MU beamformee capability           : Not supported

Beamformee STS capability          : N/A

Block Ack                          : TID 0 In

Supported VHT-MCS set              : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8

                                     NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8

Supported HT MCS set               : 0, 1, 2, 3, 4, 5, 6, 7,

                                     8, 9, 10, 11, 12, 13, 14,

                                     15, 16, 17, 18, 19, 20,

                                     21, 22, 23

Supported rates                    : 6, 9, 12, 18, 24, 36,

                                     48, 54 Mbps

QoS mode                           : WMM

Listen interval                    : 10

RSSI                               : 62

Rx/Tx rate                         : 130/11

Authentication method              : Open system

Security mode                      : PRE-RSNA

AKM mode                           : Not configured

Cipher suite                       : N/A

User authentication mode           : Bypass

Authorization ACL ID               : 3001(Not effective)

Authorization user profile         : N/A

Roam status                        : N/A

Key derivation                     : SHA1

PMF status                         : Enabled

Forward policy name                : Not configured

Online time                        : 0days 0hours 1minutes 13seconds

FT status                          : Inactive

# 通过display wlan mobility roam-track mac-address可以查看到客户端的漫游跟踪信息。

[AC] display wlan mobility roam-track mac-address 9cd3-6d9e-6778

Total entries  : 1

Current entries: 1

BSSID           Created at           Online time       AC IP address  RID  AP name

000f-e200-4444  2016-06-14 11:12:28  00hr 01min 16sec  127.0.0.1      1    ap1

(2)     客户端漫游到AP 2后,在AC上查看客户端的漫游信息。

# 通过display wlan client可以查看到客户端关联的AP变成AP 2,漫游状态为AC内漫游。

[AC] display wlan client verbose

Total number of clients: 1

 

MAC address                        : 9cd3-6d9e-6778

IPv4 address                       : 10.1.1.114

IPv6 address                       : N/A

Username                           : N/A

AID                                : 1

AP ID                              : 2

AP name                            : ap2

Radio ID                           : 1

SSID                               : 1

BSSID                              : 000f-e203-7777

VLAN ID                            : 1

Sleep count                        : 242

Wireless mode                      : 802.11ac

Channel bandwidth                  : 80MHz

SM power save                      : Enabled

SM power save mode                 : Dynamic

Short GI for 20MHz                 : Supported

Short GI for 40MHz                 : Supported

Short GI for 80MHz                 : Supported

Short GI for 160/80+80MHz          : Not supported

STBC RX capability                 : Not supported

STBC TX capability                 : Not supported

LDPC RX capability                 : Not supported

SU beamformee capability           : Not supported

MU beamformee capability           : Not supported

Beamformee STS capability          : N/A

Block Ack                          : TID 0 In

Supported VHT-MCS set              : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8

                                     NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8

Supported HT MCS set               : 0, 1, 2, 3, 4, 5, 6, 7,

                                     8, 9, 10, 11, 12, 13, 14,

                                     15, 16, 17, 18, 19, 20,

                                     21, 22, 23

Supported rates                    : 6, 9, 12, 18, 24, 36,

                                     48, 54 Mbps

QoS mode                           : WMM

Listen interval                    : 10

RSSI                               : 62

Rx/Tx rate                         : 130/11

Authentication method              : Open system

Security mode                      : PRE-RSNA

AKM mode                           : Not configured

Cipher suite                       : N/A

User authentication mode           : Bypass

Authorization ACL ID               : 3001(Not effective)

Authorization user profile         : N/A

Roam status                        : Intra-AC roam

Key derivation                     : SHA1

PMF status                         : Enabled

Forward policy name                : Not configured

Online time                        : 0days 0hours 5minutes 13seconds

FT status                          : Inactive

# 通过display wlan mobility roam-track mac-address可以查看到漫游跟踪信息增添了客户端漫游到AP 2的漫游轨迹。

[AC] display wlan mobility roam-track mac-address 9cd3-6d9e-6778

Total entries  : 2

Current entries: 2

BSSID           Created at           Online time          AC IP address  RID  AP name

000f-e203-7777  2016-06-14 11:12:28  00hr 01min 02sec     127.0.0.1      1    ap2

000f-e200-4444  2016-06-14 11:12:04  00hr 03min 51sec     127.0.0.1      1    ap1

 


2 漫游增强技术

WLAN漫游增强技术目前包括以下几种:

·     802.1X快速漫游:当客户端认证方式为RSN+802.1X认证,可以进行802.1X快速漫游,客户端不需要再次认证即可完成漫游上线。

·     MAC快速漫游:当客户端认证方式为MAC地址认证时,可以进行MAC快速漫游,客户端不需要再次认证即可完成漫游上线。

·     802.11r:用来缩短无线客户端在漫游过程中的时间延迟,从而降低无线客户端连接中断率,提高漫游服务质量。

·     802.11v:用来辅助802.11v客户端接入更合适的AP,提高802.11v无线客户端的漫游服务质量。

·     协同漫游:结合IEEE802.11k、IEEE802.11r和IEEE802.11v协议实现无线客户端在一个ESS区域中的无缝漫游。

2.1  802.1X快速漫游

2.1.1  802.1X快速漫游工作机制

图2-1所示,802.1X快速漫游机制的具体过程如下。

(1)     客户端在AP 1上通过802.1X认证初始上线,在AC上会创建该客户端的漫游表项信息。有关802.1X认证的详细介绍,请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”

(2)     客户端漫游到AP 2,AC查找该客户端的漫游表项,当客户端认证方式为RSN+802.1X认证,且客户端携带的PMKID和设备缓存的PMKID校验一致时,就认为客户端已经进行过802.1X认证,直接跳过认证过程,利用缓存的PMK进行密钥协商以及后续的漫游上线。

说明

设备支持以下两种方式缓存PMKID:

·     SKC方式(Sticky Key Caching,粘滞密钥缓存):直接缓存无线客户端在802.1X认证过程中产生的PMKID。

·     OKC方式(Opportunistic Key Caching,机会密钥缓存):使用无线客户端当前进行关联的BSSID以及客户端MAC地址、设备缓存的PMK等重新计算出PMKID。

无论是SKC方式还是OKC方式,均不需要配置,即可完成802.1X快速漫游。

 

图2-1 802.1X快速漫游示意图

 

2.1.2  802.1X快速漫游配置限制和指导

802.1X快速漫游功能目前支持同一AC内的漫游组网方式和漫游组。

2.2  MAC快速漫游

2.2.1  MAC快速漫游工作机制

图2-2所示,MAC快速漫游机制的具体过程如下。

(1)     客户端在AP 1上初始上线,在AC上会创建该客户端的漫游表项信息。有关MAC地址认证的详细介绍,请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”

(2)     客户端漫游到AP 2,AC查找该客户端的漫游表项,当客户端认证方式为MAC认证,且开启MAC地址认证成功后的快速连接功能后,就认为客户端已经进行过MAC认证,直接跳过认证过程,继续后续的漫游上线。

图2-2 MAC快速漫游示意图

 

2.2.2  MAC快速漫游配置限制和指导

MAC快速漫游功能目前仅支持同一AC内的漫游组网方式。

2.2.3  配置MAC地址认证成功后的快速连接功能

1. 功能简介

开启MAC地址认证成功后的快速连接功能后,已经通过MAC地址认证的客户端在AC内漫游时,不需要再次进行MAC地址认证,可提高客户端AC内漫游的上线速度。

2. 配置限制和指导

对于进行AC间漫游的MAC地址认证的客户端,配置本命令后,客户端可以继承漫游VLAN,但是漫游状态显示为N/A。当AC间漫游的客户端所属VLAN不同时,同一漫游组内的AC上行接口需要允许MAC地址认证的客户端VLAN通过。

本功能仅对在AC上进行认证和关联的无线客户端生效。

该命令只能在无线服务模板处于关闭状态时配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启MAC地址认证成功后的快速连接功能。

mac-authentication fast-connect enable

缺省情况下,MAC地址认证成功后的快速连接功能处于开启状态。

2.3  802.11r

2.3.1  802.11r简介

802.11r的核心功能是FT(Fast BSS Transition,快速BSS切换),它主要用来减少客户端在漫游过程中的时间延迟,从而降低连接中断概率、提高漫游服务质量。

FT支持Over-the-Air实现方式:客户端直接与目标AP通信,进行漫游前的认证。

1. over-the-air方式漫游

图2-3所示,客户端在AP间(AP 1到AP 2)漫游时,信息交互过程如下:

(1)     客户端已经与AP 1连接并且要漫游到AP 2;

(2)     客户端向AP 2发送认证请求;

(3)     客户端收到AP 2的认证请求回应;

(4)     客户端向AP 2发送重关联请求;

(5)     客户端收到AP 2的重关联请求回应;

(6)     客户端完成从AP 1到AP 2的漫游。

图2-3 over-the-air方式漫游示意图

 

2.3.2  802.11r配置限制和指导

配置802.11r的FT功能,需要注意的是:

·     如果有客户端无法关联使能了FT功能的服务,可能是由于客户端的型号较早而不支持FT协议。此时可以创建两个SSID相同的服务,一个使能FT功能,另一个不使能FT功能,而其它配置均相同,以便客户端可以正常使用网络服务。

·     不建议在服务模板下同时开启FT功能和802.1X周期性重认证功能,否则会导致客户端在每次重认证时间间隔到达时重新上线。关于802.1X周期性重认证功能的介绍和配置请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。

·     快速BSS切换协商成功的客户端,不支持PTK更新。关于PTK更新的介绍和配置请参见“WLAN配置指导”中的“WLAN用户安全”。

·     未配置身份认证与密钥管理模式时,不支持开启FT功能。

·     802.11r功能需配置AP发送信标和探查响应帧时携带RSN IE,认证方式不为本地认证、加密套件为CCMP时生效。

·     802.11r目前支持同一AC内的漫游组网方式和漫游组。

·     802.11r功能仅对关联位置在AC上的无线客户端生效。

·     802.11r功能仅能在服务模板未使能的情况下进行配置。

·     请不要同时开启FT功能、WPA3安全模式或增强开放系统认证服务,否则会导致无线服务模板使能失败。WPA3安全模式和增强开发系统认证服务的详细信息请参见“WLAN配置指导”中的“WLAN用户安全”。

2.3.3  配置802.11r

(1)     进入系统视图。

system-view

(2)     配置无线服务模板。

wlan service-template service-template-name

(3)     开启FT功能。

ft enable

缺省情况下,FT功能处于关闭状态。

(4)     (可选)配置重关联超时时间。

ft reassociation-timeout timeout

缺省情况下,重关联超时时间为20秒。

重关联超时时间指的是,客户端在完成认证后,客户端发起重关联请求的最大时间间隔。如果在此时间内客户端没有发起重关联,则会终止此次漫游。

2.3.4  FT Over-the-Air方式802.11r典型配置举例(PSK模式)

1. 组网需求

图2-4所示,客户端在不同AP间进行漫游,使用Over-the-Air方式,通过PSK模式对客户端进行身份认证与密钥管理。

2. 组网图

图2-4 FT Over-the-DS方式PSK身份认证与密钥管理模式配置组网图

 

3. 配置步骤

# 创建无线服务模板acstname。

<AC> system-view

[AC] wlan service-template acstname

# 配置无线服务的SSID为service。

[AC-wlan-st-acstname] ssid service

# 配置身份认证与密钥管理的模式是PSK模式,配置使用明文字符串12345678作为PSK密钥。

[AC-wlan-st-acstname] akm mode psk

[AC-wlan-st-acstname] preshared-key pass-phrase simple 12345678

# 配置AES-CCMP加密套件,配置在AP发送信标和探查响应帧时携带RSN IE。

[AC-wlan-st-acstname] cipher-suite ccmp

[AC-wlan-st-acstname] security-ie rsn

# 开启FT功能。

[AC-wlan-st-acstname] ft enable

# 配置重关联超时时间为50秒。

[AC-wlan-st-acstname] ft reassociation-timeout 50

# 使能无线服务模板。

[AC-wlan-st-acstname] service-template enable

[AC-wlan-st-acstname] quit

# 创建AP,名称为1,并将无线服务模板acstname绑定到AP 1的Radio1上。

[AC] wlan ap 1 model WA6320

[AC-wlan-ap-1] serial-id 219801A28N819CE0002T

[AC-wlan-ap-1] radio 1

[AC-wlan-ap-1-radio-1] service-template acstname

[AC-wlan-ap-1-radio-1] radio enable

[AC-wlan-ap-1-radio-1] quit

[AC-wlan-ap-1] quit

# 创建AP,名称为2,并将无线服务模板acstname绑定到AP 2的Radio1上。

[AC] wlan ap 2 model WA6320

[AC-wlan-ap-2] serial-id 219801A28N819CE0003T

[AC-wlan-ap-2] radio 1

[AC-wlan-ap-2-radio-1] service-template acstname

[AC-wlan-ap-2-radio-1] radio enable

[AC-wlan-ap-2-radio-1] quit

[AC-wlan-ap-2] quit

4. 验证配置

# 客户端上线后,在AC通过display wlan client verbose命令可以看到结果如下。

[AC] display wlan client verbose

Total number of clients: 1

 

MAC address                        : fc25-3f03-8361

IPv4 address                       : 10.1.1.114

IPv6 address                       : N/A

Username                           : N/A

AID                                : 1

AP ID                              : 1

AP name                            : 1

Radio ID                           : 1

SSID                               : service

BSSID                              : 000f-e266-7788

VLAN ID                            : 1

Sleep count                        : 242

Wireless mode                      : 802.11ac

Channel bandwidth                  : 80MHz

SM power save                      : Enabled

SM power save mode                 : Dynamic

Short GI for 20MHz                 : Supported

Short GI for 40MHz                 : Supported

Short GI for 80MHz                 : Supported

Short GI for 160/80+80MHz          : Not supported

STBC RX capability                 : Not supported

STBC TX capability                 : Not supported

LDPC RX capability                 : Not supported

SU beamformee capability           : Not supported

MU beamformee capability           : Not supported

Beamformee STS capability          : N/A

Block Ack                          : TID 0 In

Supported VHT-MCS set              : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8

                                     NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8

Supported HT MCS set               : 0, 1, 2, 3, 4, 5, 6, 7,

                                     8, 9, 10, 11, 12, 13, 14,

                                     15, 16, 17, 18, 19, 20,

                                     21, 22, 23

Supported rates                    : 6, 9, 12, 18, 24, 36,

                                     48, 54 Mbps

QoS mode                           : WMM

Listen interval                    : 10

RSSI                               : 62

Rx/Tx rate                         : 130/11

Authentication method              : Open system

Security mode                      : RSN

AKM mode                           : PSK

Encryption cipher                  : CCMP

User authentication mode           : Bypass

Authorization ACL ID               : 3001(Not effective)

Authorization user profile         : N/A

Authorization CAR                  : N/A

Roam status                        : N/A

Key derivation                     : SHA1

PMF status                         : Enabled

Forward policy name                : Not configured

Online time                        : 0days 0hours 1minutes 13seconds

FT status                          : Active

BTM status                         : Disabled

# 客户端漫游成功后,在AC上通过display wlan client verbose命令可以看到结果如下。

[AC] display wlan client verbose

Total number of clients: 1

 

MAC address                        : fc25-3f03-8361

IPv4 address                       : 10.1.1.114

IPv6 address                       : N/A

Username                           : N/A

AID                                : 1

AP ID                              : 2

AP name                            : 2

Radio ID                           : 1

SSID                               : service

BSSID                              : 000f-e211-2233

VLAN ID                            : 1

Sleep count                        : 242

Wireless mode                      : 802.11ac

Channel bandwidth                  : 80MHz

SM power save                      : Enabled

SM power save mode                 : Dynamic

Short GI for 20MHz                 : Supported

Short GI for 40MHz                 : Supported

Short GI for 80MHz                 : Supported

Short GI for 160/80+80MHz          : Not supported

STBC RX capability                 : Not supported

STBC TX capability                 : Not supported

LDPC RX capability                 : Not supported

SU beamformee capability           : Not supported

MU beamformee capability           : Not supported

Beamformee STS capability          : N/A

Block Ack                          : TID 0 In

Supported VHT-MCS set              : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8

                                     NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8

Supported HT MCS set               : 0, 1, 2, 3, 4, 5, 6, 7,

                                     8, 9, 10, 11, 12, 13, 14,

                                     15, 16, 17, 18, 19, 20,

                                     21, 22, 23

Supported rates                    : 6, 9, 12, 18, 24, 36,

                                     48, 54 Mbps

QoS mode                           : WMM

Listen interval                    : 10

RSSI                               : 62

Rx/Tx rate                         : 130/11

Authentication method              : FT

Security mode                      : RSN

AKM mode                           : PSK

Encryption cipher                  : CCMP

User authentication mode           : Bypass

Authorization ACL ID               : 3001(Not effective)

Authorization user profile         : N/A

Authorization CAR                  : N/A

Roam status                        : Intra-AC roam

Key derivation                     : SHA1

PMF status                         : Enabled

Forward policy name                : Not configured

Online time                        : 0days 0hours 5minutes 13seconds

FT status                          : Active

BTM status                         : Disabled

2.3.5  FT Over-the-Air方式802.11r典型配置举例(802.1X模式)

1. 组网需求

图2-4所示,客户端在不同AP间进行漫游,使用Over-the-Air方式,通过802.1X模式对客户端进行身份认证与密钥管理。

2. 配置步骤

# 创建无线服务模板stname。

<AC> system-view

[AC] wlan service-template stname

# 配置无线服务的SSID为service。

[AC-wlan-st-stname] ssid service

# 配置身份认证与密钥管理的模式是802.1X模式。

[AC-wlan-st-stname] akm mode dot1x

# 配置AES-CCMP加密套件,配置在AP发送信标和探查响应帧时携带RSN IE。

[AC-wlan-st-stname] cipher-suite ccmp

[AC-wlan-st-stname] security-ie rsn

# 配置客户端安全认证方式为802.1X。

[AC-wlan-st-stname] client-security authentication-mode dot1x

[AC-wlan-st-stname] dot1x domain imc

# 开启FT功能。

[AC-wlan-st-stname] ft enable

# 使能无线服务。

[AC-wlan-st-stname] service-template enable

[AC-wlan-st-stname] quit

# 配置802.1X认证方式为EAP。

[AC] dot1x authentication-method eap

# 创建RADIUS方案imcc。配置主认证服务器的IP地址为10.1.1.3,与认证服务器交互报文时的共享密钥为明文12345678。配置主计费服务器的IP地址为10.1.1.3,与计费服务器交互报文时的共享密钥为明文12345678。配置发送给RADIUS服务器的用户名不带ISP域名。

[AC] radius scheme imcc

[AC-radius-imcc] primary authentication 10.1.1.3

[AC-radius-imcc] primary accounting 10.1.1.3

[AC-radius-imcc] key authentication simple 12345678

[AC-radius-imcc] key accounting simple 12345678

[AC-radius-imcc] user-name-format without-domain

[AC-radius-imcc] quit

# 创建认证域并配置使用RADIUS方案进行认证、授权、计费。

[AC] domain imc

[AC-isp-imc] authentication lan-access radius-scheme imcc

[AC-isp-imc] authorization lan-access radius-scheme imcc

[AC-isp-imc] accounting lan-access radius-scheme imcc

[AC-isp-imc] quit

# 创建AP,名称为1,并将无线服务模板acstname绑定到AP 1的Radio1上。

[AC] wlan ap 1 model WA6320

[AC-wlan-ap-1] serial-id 219801A28N819CE0002T

[AC-wlan-ap-1] radio 1

[AC-wlan-ap-1-radio-1] service-template acstname

[AC-wlan-ap-1-radio-1] radio enable

[AC-wlan-ap-1-radio-1] quit

[AC-wlan-ap-1] quit

# 创建AP,名称为2,并将无线服务模板acstname绑定到AP 2的Radio1上。

[AC] wlan ap 2 model WA6320

[AC-wlan-ap-2] serial-id 219801A28N819CE0003T

[AC-wlan-ap-2] radio 1

[AC-wlan-ap-2-radio-1] service-template acstname

[AC-wlan-ap-2-radio-1] radio enable

[AC-wlan-ap-2-radio-1] quit

[AC-wlan-ap-2] quit

3. 验证配置

# 客户端上线后,在AC上通过display wlan client verbose命令可以看到结果如下。

[AC] display wlan client verbose

Total number of clients: 1

 

MAC address                        : fc25-3f03-8361

IPv4 address                       : 10.1.1.114

IPv6 address                       : N/A

Username                           : N/A

AID                                : 1

AP ID                              : 1

AP name                            : 1

Radio ID                           : 1

SSID                               : service

BSSID                              : 000f-e266-7788

VLAN ID                            : 1

Sleep count                        : 242

Wireless mode                      : 802.11ac

Channel bandwidth                  : 80MHz

SM power save                      : Enabled

SM power save mode                 : Dynamic

Short GI for 20MHz                 : Supported

Short GI for 40MHz                 : Supported

Short GI for 80MHz                 : Supported

Short GI for 160/80+80MHz          : Not supported

STBC RX capability                 : Not supported

STBC TX capability                 : Not supported

LDPC RX capability                 : Not supported

SU beamformee capability           : Not supported

MU beamformee capability           : Not supported

Beamformee STS capability          : N/A

Block Ack                          : TID 0 In

Supported VHT-MCS set              : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8

                                     NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8

Supported HT MCS set               : 0, 1, 2, 3, 4, 5, 6, 7,

                                     8, 9, 10, 11, 12, 13, 14,

                                     15, 16, 17, 18, 19, 20,

                                     21, 22, 23

Supported rates                    : 6, 9, 12, 18, 24, 36,

                                     48, 54 Mbps

QoS mode                           : WMM

Listen interval                    : 10

RSSI                               : 62

Rx/Tx rate                         : 130/11

Authentication method              : Open system

Security mode                      : RSN

AKM mode                           : 802.1X

Encryption cipher                  : CCMP

User authentication mode           : 802.1X

Authorization ACL ID               : 3001(Not effective)

Authorization user profile         : N/A

Authorization CAR                  : N/A

Roam status                        : N/A

Key derivation                     : SHA1

PMF status                         : Enabled

Forward policy name                : Not configured

Online time                        : 0days 0hours 1minutes 13seconds

FT status                          : Active

BTM status                         : Disabled

# 客户端漫游成功后,在AC上通过display wlan client verbose命令可以看到结果如下。

[AC] display wlan client verbose

Total number of clients: 1

 

MAC address                        : fc25-3f03-8361

IPv4 address                       : 10.1.1.114

IPv6 address                       : N/A

Username                           : N/A

AID                                : 1

AP ID                              : 2

AP name                            : 2

Radio ID                           : 1

SSID                               : service

BSSID                              : 000f-e211-2233

VLAN ID                            : 1

Sleep count                        : 242

Wireless mode                      : 802.11ac

Channel bandwidth                  : 80MHz

SM power save                      : Enabled

SM power save mode                 : Dynamic

Short GI for 20MHz                 : Supported

Short GI for 40MHz                 : Supported

Short GI for 80MHz                 : Supported

Short GI for 160/80+80MHz          : Not supported

STBC RX capability                 : Not supported

STBC TX capability                 : Not supported

LDPC RX capability                 : Not supported

SU beamformee capability           : Not supported

MU beamformee capability           : Not supported

Beamformee STS capability          : N/A

Block Ack                          : TID 0 In

Supported VHT-MCS set              : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8

                                     NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8

Supported HT MCS set               : 0, 1, 2, 3, 4, 5, 6, 7,

                                     8, 9, 10, 11, 12, 13, 14,

                                     15, 16, 17, 18, 19, 20,

                                     21, 22, 23

Supported rates                    : 6, 9, 12, 18, 24, 36,

                                     48, 54 Mbps

QoS mode                           : WMM

Listen interval                    : 10

RSSI                               : 62

Rx/Tx rate                         : 130/11

Authentication method              : FT

Security mode                      : RSN

AKM mode                           : 802.1X

Encryption cipher                  : CCMP

User authentication mode           : 802.1X

Authorization ACL ID               : 3001(Not effective)

Authorization user profile         : N/A

Authorization CAR                  : N/A

Roam status                        : Intra-AC roam

Key derivation                     : SHA1

PMF status                         : Enabled

Forward policy name                : Not configured

Online time                        : 0days 0hours 5minutes 13seconds

FT status                          : Active

BTM status                         : Disabled

2.4  802.11v

2.4.1  802.11v简介

802.11v的核心功能是BTM(BSS Transition Management,BSS切换管理),它主要用来通知802.11v无线客户端离开当前BSS,接入更合适的AP,从而提高802.11v无线客户端的接入质量。如图2-5所示,BSS切换管理的基本流程如下:

(1)     802.11v无线客户端RSSI值过低或找到一个更合适的AP时,会主动向AP发送BSS切换查询,请求连接到其它BSS上。AP接收到客户端的BSS切换查询后,会向其发送BSS切换请求。

(2)     802.11v无线客户端接收到BSS切换请求后,有可能向AP发送切换响应,通知AP BSS切换的结果。

(3)     经过一段时间后,若无线客户端还未离开当前BSS,AP会主动向无线客户端发送解除关联请求,强制无线客户端下线。

图2-5 BSS切换管理

 

2.4.2  802.11v配置限制和指导

802.11v功能目前仅支持同一AC内的漫游组网方式。

2.4.3  开启BSS切换管理功能

1. 配置限制和指导

本功能只能在无线服务模板处于关闭状态时配置。

建议开启BSS切换管理功能的同时,通过bss transition-management disassociation命令配置BSS切换解除关联时间,否则某些客户端可能无法进行BSS切换。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启BSS切换管理功能。

bss transition-management enable

缺省情况下,BSS切换管理功能处于关闭状态。

2.4.4  配置BSS切换解除关联功能

1. 功能简介

配置BSS切换解除关联功能后,当设备收到无线客户端发送的BSS切换查询时,会向无线客户端发出请求切换BSS,引导客户端进行BSS切换。

若配置了强制客户端进行BSS切换,则当超过配置的BSS切换解除关联时间客户端还未离开时,设备会强制断开与客户端的连接,请谨慎使用该功能。

2. 配置限制和指导

只有开启了BSS切换管理功能,BSS切换解除关联功能才能生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     配置BSS切换解除关联功能。

bss transition-management disassociation { forced | recommended } [ timer time ]

缺省情况下,BSS切换解除关联功能处于开启状态,即设备会推荐客户端进行BSS切换,推荐解除关联时间为90s。

2.4.5  802.11v典型配置举例

1. 组网需求

图2-6所示,通过BSS切换管理功能,当AP发现802.11v无线客户端RSSI值过低时,会对客户端进行BSS切换管理引导,引导客户端去更合适的AP上线。

2. 组网图

图2-6 BSS典型配置组网图

 

3. 配置步骤

# 创建无线服务模板service。

<AC> system-view

[AC] wlan service-template service

# 配置无线服务的SSID为service。

[AC-wlan-st-service] ssid service

# 开启BSS切换管理功能。

[AC-wlan-st-service] bss transition-management enable

# 配置切换解除关联时间为45秒。

[AC-wlan-st-service] bss transition-management disassociation recommended timer 45

# 使能无线服务。

[AC-wlan-st-service] service-template enable

[AC-wlan-st-service] quit

# 创建AP,名称为ap1,开启获取BSS候选列表功能并将无线服务模板service绑定到AP 1的Radio1上。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] sacp roam-optimize bss-candidate-list enable

[AC-wlan-ap-ap1-radio-1] service-template service

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

4. 验证配置

# 在AC上通过display wlan service-template命令可以查看BSS切换管理功能处于开启状态。

[AC] display wlan service-template service verbose

Service template name        : service

Description                  : Not configured

SSID                         : service

SSID-hide                    : Disabled

User-isolation               : Disabled

Service template status      : Disabled

Maximum clients per BSS      : Not configured

Frame format                 : Dot3

Seamless roam status         : Disabled

Seamless roam RSSI threshold : 50

Seamless roam RSSI gap       : 20

VLAN ID                      : 1

AKM mode                     : Not configured

Security IE                  : Not configured

Cipher suite                 : Not configured

TKIP countermeasure time     : 0 sec

PTK lifetime                 : 43200 sec

PTK rekey                    : Enabled

GTK rekey                    : Enabled

GTK rekey method             : Time-based

GTK rekey time               : 86400 sec

GTK rekey client-offline     : Disabled

WPA3 status                  : Disabled

PPSK                         : Disabled

PPSK Fail Permit             : Enabled

User authentication mode     : Bypass

Intrusion protection         : Disabled

Intrusion protection mode    : Temporary-block

Temporary block time         : 180 sec

Temporary service stop time  : 20 sec

Fail VLAN ID                 : Not configured

802.1X handshake             : Disabled

802.1X handshake secure      : Disabled

802.1X domain                : Not configured

MAC-auth domain              : Not configured

Max 802.1X users per BSS     : 512

Max MAC-auth users per BSS   : 512

802.1X re-authenticate       : Disabled

Authorization fail mode      : Online

Accounting fail mode         : Online

Authorization                : Permitted

Key derivation               : SHA1

PMF status                   : Disabled

Hotspot policy number        : Not configured

Forwarding policy status     : Disabled

Forwarding policy name       : Not configured

Forwarder                    : AC

FT status                    : Disabled

QoS trust                    : Port

QoS priority                 : 0

BTM status                   : Enabled

# 在AC上通过display wlan client命令可以查看客户端已经上线,经过45秒后,在查看客户端,发现已经被强制下线。

<AC> display wlan client

Total number of clients: 3

 

MAC address    Username             AP name               R IP address      VLAN

4581-61ac-885a N/A                  ap1                   1 192.168.66.230  1

2.5  协同漫游

2.5.1  协同漫游简介

协同漫游是我司研发的结合IEEE802.11k、IEEE802.11r和IEEE802.11v协议的一种漫游技术,由AP和无线客户端协同引导,实现了无线客户端在一个ESS(Extended Service Set,拓展服务集)区域中的无缝漫游。其中:

·     802.11k协议中定义的Beacon射频测量功能,实现了对2.4GHz和5GHz频段的信道质量及可用资源性能的监控。

·     802.11r协议中定义的FT(Fast BSS Transition,快速BSS切换)功能用来减少客户端在漫游过程中的时间延迟,从而降低连接中断概率、提高漫游服务质量。

·     802.11v协议中定义的BTM(BSS Transition Management,BSS切换管理)功能用来被动引导支持802.11v协议的无线客户端离开当前BSS,接入更合适的AP,从而提高802.11v无线客户端的接入质量。

·     协同漫游功能新增支持通过AP监测802.11v无线客户端信号强度,主动引导无线客户端接入更合适的服务

2.5.2  协同漫游配置限制和指导

协同漫游目前仅支持同一AC内的漫游组网方式,且协同漫游要求AP必须支持Wi-Fi 6标准。

2.5.3  配置无线客户端反粘滞功能

1. 功能简介

开启无线客户端反粘滞功能后,AP将按照配置的时间间隔检测无线客户端的信号强度。当无线客户端信号强度低于门限值时:

·     若该无线客户端关联过程中协商为支持802.11v协议,则按照BSS切换管理功能,引导无线客户端连接到其它的BSS。

·     若该无线客户端关联过程中协商为不支持802.11v协议,则不会引导无线客户端连接到其它BSS上。

2. 配置限制和指导

只有开启了无线客户端反粘滞功能,基于ACL对无线客户端进行反粘滞才能生效。

同一AP的同一射频下仅支持绑定一个ACL规则。

可以通过display wlan client verbose命令查看客户端信号强度RSSI,根据该RSSI,配置基于ACL的无线客户端反粘滞RSSI。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入AP视图或AP组ap-model视图。

¡     进入AP视图。

wlan ap ap-name

¡     请依次执行以下命令进入AP组ap-model视图。

wlan ap-group group-name

ap-model ap-model

(3)     进入Radio视图。

radio radio-id

(4)     配置无线客户端反粘滞功能。

sacp anti-sticky { disable | enable [ rssi rssi-value ] [ interval interval ] [ forced-logoff ] }

缺省情况下:

Radio视图:继承AP组Radio配置。

AP组Radio视图:无线客户端反粘滞功能处于开启状态。

(5)     (可选)配置基于ACL的无线客户端反粘滞。

Radio视图:

sacp anti-sticky acl { acl-number rssi rssi-value | remove }

AP组Radio视图:

sacp anti-sticky acl acl-number [ rssi rssi-value ]

缺省情况下:

Radio视图:继承AP组Radio配置。

AP组Radio视图:未配置基于ACL的无线客户端反粘滞。

配置基于ACL的无线客户端反粘滞后,若指定remove关键字,则表示该Radio不基于ACL进行无线客户端反粘滞。

2.5.4  配置获取BSS候选列表功能

1. 功能简介

开启获取BSS候选列表功能后,AP将按照配置的时间间隔周期性地向支持Beacon测量的客户端发送Beacon Request帧以请求获取无线客户端检测到的BSS信息,无线客户端通过Beacon Report帧上报当前工作信道检测到的BSS信息。关闭该功能后,已获取到的BSS候选列表的BSS信息到达老化时间后会被删除。

开启BSS切换管理功能后,设备将使用BSS候选列表的BSS信息,引导无线客户端漫游到信号质量更好的无线服务上。

2. 配置限制和指导

仅对配置本功能后新上线的无线客户端生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入AP视图或AP组ap-model视图。

¡     进入AP视图。

wlan ap ap-name

¡     请依次执行以下命令进入AP组ap-model视图。

wlan ap-group group-name

ap-model ap-model

(3)     进入Radio视图。

radio radio-id

(4)     配置获取BSS候选列表功能。

sacp roam-optimize bss-candidate-list { disable | enable [ interval interval ] }

缺省情况下:

Radio视图:继承AP组Radio配置。

AP组Radio视图:获取BSS候选列表功能处于关闭状态。

2.5.5  开启漫游优化流量保持高级功能

1. 功能简介

漫游优化流量保持高级功能开启期间,当设备检测到客户端信号强度低于无线客户端反粘滞功能配置的门限值时,会缓存需要发送给客户端的数据报文,一段时间后,再将缓存的数据报文发送给客户端,减少了客户端信号强度较弱情况下的丢包数量。关闭本功能后,设备一段时间后会对缓存的数据报文做老化处理,不再重新发送给客户端。对于开启了无线客户端反粘滞控制功能的协同漫游场景,建议开启本功能。

2. 配置限制和指导

本功能仅当客户端关联位置和数据报文转发位置在AC上时生效。

本功能不支持分层AC组网。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启漫游优化流量保持高级功能。

sacp roam-optimize traffic-hold enable advanced

缺省情况下,漫游优化流量保持高级功能处于关闭状态。

2.5.6  协同漫游显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后协同漫游的运行情况,通过查看显示信息验证配置效果。

说明

display wlan service-template命令及display wlan client命令的详细信息,请参见“WLAN命令参考”中的“WLAN接入”。

 

·     显示指定AP或所有AP的运行配置

display wlan ap { all | name ap-name } running-configuration [ verbose ]

·     显示客户端的信息

display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name | frequency-band { 2.4 | 5 } | vlan vlan-id ] [ verbose ]

·     显示客户端上报的射频资源测量能力集

display wlan client rm-capabilities [ mac-address mac-address ]

·     显示无线客户端的迁移历史信息

display wlan client rm-capabilities [ mac-address mac-address ]

·     显示无线服务模板信息

display wlan service-template [ service-template-name ] [ verbose ]

 

 


3 漫游组

3.1  漫游组简介

多个设备可以加入一个相同的组,客户端可以在组内漫游,该组即为漫游组,在漫游组漫游期间,客户端的IP地址、授权信息等维持不变,可以实现客户端在更大物理区域内的漫游。

3.2  WLAN漫游基本概念

·     IADTP(Inter Access Device Tunneling Protocol,接入设备间隧道协议):H3C私有隧道协议,该协议提供了设备间报文的通用封装和传输机制。提供漫游服务的设备之间会建立IADTP隧道,用于保证设备间控制报文以及客户端漫游信息的安全传输。

·     HA(Home-AC):一个客户端首次与IADTP隧道内的某个AC进行关联,该AC即为它的HA。

·     FA(Foreign-AC):客户端跨AC漫游后,客户端与某个不是HA的AC进行关联,该AC即为FA。

·     漫游组:多个设备可以加入一个相同的组,客户端可以在组内漫游,该组即为漫游组。

3.3  漫游组实现方式介绍

图3-1所示,客户端从一个AC内的AP漫游到另一个AC内的AP上接入。该组网方式下,通过创建漫游组,统一管理参与漫游的AC,没有加入漫游组的AC将不参与漫游。

客户端完成AC间漫游的过程如下:

(1)     客户端在AP 2上初始上线,在AC 1上会创建该客户端的漫游表项,并通过IADTP隧道将漫游表项同步到漫游组成员AC 2上;

(2)     客户端漫游到AP 3,AC 2查找该客户端的漫游表项,如果是RSN+802.1X认证方式,且客户端携带的PMKID和设备缓存的PMKID一致,则对其进行快速漫游,其他情况,则不对其进行快速漫游;

(3)     如果进行快速漫游,客户端不需要再次认证,即可在AP 3上成功上线;否则需要重新认证;

(4)     客户端在AP 3上线,AC 2会给AC 1发送漫游请求消息;

(5)     AC 1收到漫游请求消息,并校验漫游信息是否正确。如果校验失败,则给AC 2回复漫游失败的漫游响应消息。如果校验成功,AC 1添加该客户端的漫游轨迹和漫出信息,并给AC 2回复漫游成功的漫游响应信息;

(6)     AC 2收到AC 1回复的漫游响应信息。如果漫游失败,AC 2将通知客户端下线;如果漫游成功,AC 2添加该客户端的漫入信息。

图3-1 漫游组实现方式示意图

 

3.4  IADTP隧道建立过程

漫游组中的成员设备分为如下角色:

·     Client端:负责发起连接建立请求。

·     Server端:监听并应答连接建立请求。

缺省情况下,IP地址小的成员设备作为Client端,IP地址大的成员设备作为Server端。如果漫游组成员设备跨NAT设备,则需要手工指定成员设备在漫游组中的角色。

设备间建立IADTP隧道的具体过程如下:

(1)     Device A向Device B发送Join Request报文。

(2)     Device B收到Join Request报文后,根据本地配置和报文内容判断是否和Device A属于同一漫游组。当属于同一漫游组时,回复Result Code为成功的Join Response报文;否则,回复Result Code为失败的Join Response报文。

(3)     Device A收到Result Code为成功的Join Response报文后,会向Device B发送Join Confirm报文,建立IADTP隧道;否则,不回复报文。

(4)     Device B收到Join Confirm报文后,建立IADTP隧道。

图3-2 IADTP隧道建立过程

 

3.5  漫游组配置限制和指导

在对AP进行配置时,可以采用如下方式:

·     针对单台AP,在AP视图下进行配置。

·     针对同一个AP组内的AP,在AP组视图下针对AP组进行配置。

·     在全局配置视图下针对所有AP进行全局配置。

对于一台AP,这些配置的生效优先级从高到低为:针对AP的配置、AP组中的配置、全局配置。配置漫游组,需要注意以下事项:

·     对于配置用户接入认证位置在AP的无线服务模板,不支持客户端漫游。有关用户接入认证位置相关配置的详细介绍请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。

·     如果存在RSN+802.1X认证方式的客户端,且客户端所属的VLAN不同时,同一漫游组内的设备上行接口需要允许所有RSN+802.1X认证方式的客户端VLAN通过。

·     对于进行AC间漫游的802.1X认证的客户端,客户端可以继承漫游VLAN,但是漫游状态显示为N/A。当AC间漫游的客户端所属VLAN不同时,同一漫游组内的AC上行接口需要允许802.1X认证的客户端VLAN通过。

3.6  漫游组配置任务简介

漫游组配置任务如下:

(1)     创建漫游组

(2)     (可选)配置漫游组认证模式

(3)     配置漫游组IADTP隧道IP地址类型

(4)     配置设备加入漫游组时建立IADTP隧道的源IP地址

(5)     (可选)配置设备发送的IADTP隧道控制报文的DSCP优先级

(6)     添加漫游组内的成员设备

在手动和自动添加漫游组内的成员设备中选择一项任务进行配置:

¡     手动添加漫游组内的成员设备

¡     自动添加漫游组内的成员设备

(7)     (可选)配置本成员设备在漫游组中的角色

(8)     (可选)关闭IADTP数据隧道功能

(9)     (可选)开启漫游中继功能

(10)     开启漫游组功能

(11)     (可选)开启漫游组隧道隔离功能

(12)     (可选)开启漫游组告警功能

3.7  创建漫游组

1. 配置限制和指导

属于同一个漫游组的每个设备上都必须创建漫游组,并互相添加漫游组成员。每个设备上只允许创建一个漫游组。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建漫游组,并进入漫游组视图。

wlan mobility group group-name

3.8  配置漫游组认证模式

1. 功能简介

配置认证模式后,所有在IADTP隧道中传输的控制消息都会附带一个摘要(完整性代码),当设备接收到控制消息后会使用相同的算法对消息内容进行计算,并与消息中所携带的摘要进行比较,以验证收到的消息的完整性。目前,漫游组认证模式仅支持MD5认证算法。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     配置漫游组认证模式。

authentication-mode authentication-mode { cipher | simple } string

缺省情况下,未配置漫游组认证模式。

3.9  配置漫游组IADTP隧道IP地址类型

1. 功能简介

创建漫游组之后,必须指定漫游组隧道IP地址类型。只有设备加入漫游组时建立IADTP隧道的源IP地址与隧道IP地址类型相同,设备加入漫游组时才会生效并建立隧道。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     配置漫游组IADTP隧道IP地址类型。

tunnel-type ipv4

缺省情况下,IADTP隧道IP地址类型为IPv4。

3.10  配置设备加入漫游组时建立IADTP隧道的源IP地址

1. 功能简介

设备在加入漫游组后需要使用IADTP隧道源IP地址和同一漫游组内成员设备建立IADTP隧道。

2. 配置限制和指导

配置设备加入漫游组时建立IADTP隧道的源IP地址,需要注意的是:

·     只能在漫游组处于关闭状态的情况下,才能指定设备加入漫游组时建立IADTP隧道的源IP地址。

·     只有与漫游组IADTP隧道IP地址类型相同的源地址可以生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     配置设备加入漫游组时建立IADTP隧道的源IP地址。

source ip ipv4-address

缺省情况下,未配置建立IADTP隧道的源IP地址。

3.11  配置设备发送的IADTP隧道控制报文的DSCP优先级

1. 功能简介

DSCP(Differentiated Services Code Point,差分服务编码点)携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。配置的DSCP优先级的取值越大,报文的优先级越高。

跨NAT设备建立IADTP隧道时,需要借助IPsec隧道功能完成IADTP控制隧道的加密和数据隧道的建立及加密。由于控制报文和数据报文缺省DSCP优先级都为0,当漫游隧道通过IPsec加密后,为了防止在IADTP隧道繁忙时,成员设备因为长时间接收不到IADTP隧道保活报文而断开IADTP隧道的连接,需要提高IADTP隧道保活报文发送的优先级。

2. 配置限制和指导

建议配置设备发送的IADTP隧道控制报文的DSCP优先级为63。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     配置设备发送的IADTP隧道控制报文的DSCP优先级。

tunnel-dscp dscp-value

缺省情况下,设备发送的IADTP隧道控制报文的DSCP优先级为0。

3.12  添加漫游组内的成员设备

3.12.1  手动添加漫游组内的成员设备

1. 功能简介

漫游组内的成员设备通过IP地址标识,该IP地址为成员设备建立IADTP隧道的源IP地址。当指定了漫游组内的成员设备所属VLAN后,漫游组内的其他设备就可以直接转发属于该VLAN的客户端的数据流量,而无需客户端漫游到该设备上。

2. 配置限制和指导

每一个成员只能属于一个漫游组,并且一个漫游组中最多可以添加31个IPv4漫游组成员。配置漫游组内的成员设备所属VLAN后,该VLAN不能在应用于其它接口或业务。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     添加漫游组内的成员设备。

member ip ipv4-address [ vlan vlan-id-list ]

3.12.2  自动添加漫游组内的成员设备

1. 功能简介

漫游组内的成员设备通过IP地址标识,该IP地址为成员设备建立IADTP隧道的源IP地址。

开启漫游组成员自动添加功能后,要加入漫游组的设备会通过自动添加成员设备报文在漫游组内广播自己的IP地址。漫游组的其它开启自动添加功能的设备收到广播报文后与要加入漫游组的设备建立IADTP隧道。隧道建立成功后,则设备成功加入漫游组。

2. 配置限制和指导

每一个成员只能属于一个漫游组,并且一个漫游组中最多可以添加31个IPv4漫游组成员,当漫游组成员达到最大数量后,当前设备不会再与其它设备建立IADTP隧道。

只能自动添加同一网段内的漫游组成员设备。

3. 配置准备

配置自动添加漫游组内的成员设备之前,请先通过source命令配置成员设备加入漫游组时建立IADTP隧道的源IP地址。

4. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     开启漫游组成员自动添加功能。

member auto-discovery [ interval interval ]

缺省情况下,漫游组成员自动添加功能处于关闭状态。

3.13  配置本成员设备在漫游组中的角色

1. 功能简介

当漫游组成员设备间跨NAT设备建立IADTP隧道时,外网设备无法主动向内网设备发起连接请求。缺省情况下IP地址小的成员设备作为Client端发起连接建立请求,IP地址大的成员设备作为Server端监听并应答连接建立请求,通过报文的交互最终完成IADTP隧道的建立。此时,如果外网设备的IP地址小于内网设备的IP地址,将无法建立IADTP隧道。在这种情况下,需要通过配置内网成员设备作为Client端发起连接建立请求,以便完成IADTP隧道的建立。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     配置本成员设备在漫游组中的角色。

role { client | server }

缺省情况下,漫游组中IP地址大的成员设备作为Server端,IP地址小的成员设备作为Client端。

3.14  关闭IADTP数据隧道功能

1. 功能简介

为了减轻漫游组成员设备处理IADTP数据隧道上接收的广播报文的负担,并减少设备维护IADTP数据隧道的资源消耗,如果客户端漫游后所在的VLAN在当前成员设备上有业务出口,可以通过本功能关闭IADTP数据隧道,不再通过IADTP数据隧道转发客户端数据,直接通过业务出口转发。如果客户端漫游后所在的VLAN在当前成员设备上没有业务出口,不能关闭IADTP数据隧道功能,否则会造成客户端数据丢失。

2. 配置限制和指导

漫游组内所有成员设备需要同时开启或者关闭IADTP数据隧道功能。

本功能只能在漫游组功能处于关闭状态时配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     关闭IADTP数据隧道功能。

data-tunnel disable

缺省情况下,IADTP数据隧道功能处于开启状态。

3.15  开启漫游中继功能

1. 功能简介

WLAN客户端在AC间漫游时,需要在任意两个AC之间建立漫游组隧道,形成网状拓扑结构。当网络中AC设备数量比较多时,建立、维护漫游组隧道以及漫游信息同步都会占用一定的带宽资源,并且网络结构复杂、稳定性低。为了解决这一问题,可以在一台AC上开启漫游中继功能,使得该AC作为中继AC,并在其上指定其余非中继AC为漫游组成员。中继AC与每个非中继AC分别建立一条IADTP隧道,形成一对多的星形漫游组网。非中继AC之间不需要建立漫游组隧道。

漫游组中的非中继AC会通过IADTP隧道将漫游表项同步到中继AC。当客户端在AC间发生漫游时,漫游后的AC会向中继AC请求查询当前客户端的漫游表项信息。

2. 配置限制和指导

本命令只能在漫游组功能处于关闭状态时配置。

同一漫游组内只能存在一个中继AC,非中继AC只能指定中继AC为漫游组内唯一成员。

在漫游中继组网中,如果客户端所属的VLAN不同,中继AC的上行接口需要允许所有客户端的VLAN通过。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     开启漫游中继功能。

roam-relay enable

缺省情况下,漫游中继功能处于关闭状态。

3.16  开启漫游组功能

1. 功能简介

开启漫游组功能后,设备会使用IADTP隧道源IP地址与组内其他成员设备建立IADTP隧道,并同步漫游表项信息。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入漫游组视图。

wlan mobility group group-name

(3)     开启漫游组功能。

group enable

缺省情况下,漫游组功能处于关闭状态。

3.17  开启漫游组隧道隔离功能

1. 功能简介

同一漫游组内的多台设备间存在环路时,需要开启漫游组隧道隔离功能,确保设备不会在漫游组的隧道之间转发报文,从而避免出现广播风暴等问题。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启漫游组隧道隔离功能。

wlan mobility-group-isolation enable

缺省情况下,漫游组隧道隔离功能处于开启状态。

3.18  开启漫游组告警功能

1. 功能简介

开启了漫游组告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启漫游组告警功能。

snmp-agent trap enable wlan mobility

缺省情况下,漫游组告警功能处于关闭状态。

3.19  漫游组显示和维护

可在任意视图下执行以下命令:

·     显示客户端漫入或漫出的信息。

display wlan mobility { roam-in | roam-out } [ member ip ipv4-address ]

·     显示漫游组的信息。

display wlan mobility group

3.20  漫游组典型配置举例

3.20.1  漫游组典型配置举例

1. 组网需求

图3-3所示,在一个无线网络中,有两台AC,现要求客户端可以在AC内漫游,也可以跨AC漫游。

2. 组网图

图3-3 漫游组配置组网图

 

3. 配置步骤

(1)     配置AC 1

# 创建无线服务模板service,配置SSID为office,并使能服务模板。

<AC1> system-view

[AC1] wlan service-template service

[AC1-wlan-st-test] ssid office

[AC1-wlan-st-test] service-template enable

[AC1-wlan-st-test] quit

# 创建手工AP,名称为ap1,选择AP型号并配置序列号。

[AC1] wlan ap ap1 model WA6320

[AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 将服务模板绑定到ap1的Radio 1接口

[AC1-wlan-ap-ap1] radio 1

[AC1-wlan-ap-ap1-radio-1] radio enable

[AC1-wlan-ap-ap1-radio-1] service-template service

[AC1-wlan-ap-ap1-radio-1] quit

[AC1-wlan-ap-ap1] quit

# 创建手工AP,名称为ap2,选择AP型号并配置序列号。

[AC1] wlan ap ap2 model WA6320

[AC1-wlan-ap-ap2] serial-id 219801A28N819CE0003T

# 将服务模板绑定到ap2的Radio 1接口。

[AC1-wlan-ap-ap2] radio 1

[AC1-wlan-ap-ap2-radio-1] radio enable

[AC1-wlan-ap-ap2-radio-1] service-template service

[AC1-wlan-ap-ap2-radio-1] quit

[AC1-wlan-ap-ap2] quit

# 创建漫游组office。

[AC1] wlan mobility group office

# 配置漫游组IADTP隧道IP地址类型为IPv4。

[AC1-wlan-mg-office] tunnel-type ipv4

# 配置AC加入漫游组时建立IADTP隧道的源IP地址为10.1.4.22。

[AC1-wlan-mg-office] source ip 10.1.4.22

# 添加漫游组内的AC成员,该AC成员用于建立IADTP隧道的源IP地址为10.1.4.23。

[AC1-wlan-mg-office] member ip 10.1.4.23

# 开启漫游组功能。

[AC1-wlan-mg-office] group enable

[AC1-wlan-mg-office] quit

(2)     配置AC 2

# 创建无线服务模板service,配置SSID为office,并使能服务模版本。

<AC2> system-view

[AC2] wlan service-template service

[AC2-wlan-st-service] ssid office

[AC2-wlan-st-service] service-template enable

[AC2-wlan-st-service] quit

# 创建手工AP,名称为ap3,选择AP型号并配置序列号。

[AC2] wlan ap ap3 model WA6320

[AC2-wlan-ap-ap3] serial-id 219801A28N819CE0004T

# 将服务模板绑定到ap3的Radio 1接口。

[AC2-wlan-ap-ap3] radio 1

[AC2-wlan-ap-ap3-radio-1] radio enable

[AC2-wlan-ap-ap3-radio-1] service-template service

[AC2-wlan-ap-ap3-radio-1] quit

[AC2-wlan-ap-ap3] quit

# 创建手工AP,名称为ap4,选择AP型号并配置序列号。

[AC2] wlan ap ap4 model WA6320

[AC2-wlan-ap-ap4] serial-id 219801A28N819CE0005T

# 将服务模板绑定到ap4的Radio 1接口。

[AC2-wlan-ap-ap4] radio 1

[AC2-wlan-ap-ap4-radio-1] radio enable

[AC2-wlan-ap-ap4-radio-1] service-template service

[AC2-wlan-ap-ap4-radio-1] quit

[AC2-wlan-ap-ap4] quit

# 创建漫游组office。

[AC2] wlan mobility group office

# 配置漫游组IADTP隧道IP地址类型为IPv4。

[AC2-wlan-mg-office] tunnel-type ipv4

# 配置AC加入漫游组时建立IADTP隧道的源IP地址为10.1.4.23。

[AC2-wlan-mg-office] source ip 10.1.4.23

# 添加漫游组内的AC成员,该AC成员用于建立IADTP隧道的源IP地址为10.1.4.22。

[AC2-wlan-mg-office] member ip 10.1.4.22

# 开启漫游组功能。

[AC2-wlan-mg-office] group enable

[AC2-wlan-mg-office] quit

4. 验证配置

# 在AC 1查看漫游组信息。

[AC1] display wlan mobility group

Mobility group name: office

 Tunnel type: IPv4

 Source IPv4: 10.1.4.22

 Source IPv6: Not configured

 Authentication method: Not configured

 Mobility group status: Enabled

 Member entries: 1

 IP address                              State          Online time

 10.1.4.23                               Up             00hr 00min 12sec

# 在AC 2查看漫游组信息。

[AC2] display wlan mobility group

Mobility group name: office

 Tunnel type: IPv4

 Source IPv4: 10.1.4.23

 Source IPv6: Not configured

 Authentication method: Not configured

 Mobility group status: Enabled

 Member entries: 1

 IP address                              State          Online time

 10.1.4.22                               Up             00hr 00min 05sec

# 在AC 1上通过display wlan mobility roam-track mac-address可以查看到客户端在AP 2初始上线,随后从AP 2漫游到AP 3上。

[AC1] display wlan mobility roam-track mac-address 9cd3-6d9e-6778

Total entries  : 2

Current entries: 2

BSSID           Created at           Online time       AC IP address  RID  AP name

000f-e203-8889  2016-06-14 11:12:28  00hr 06min 56sec  10.1.4.23      1    ap3

000f-e203-7777  2016-06-14 11:11:28  00hr 03min 30sec  127.0.0.1      1    ap2

# 在AC 1上通过display wlan mobility roam-out可以查看到客户端漫出到AP 3上漫出信息。

[AC1] display wlan mobility roam-out

Total entries: 1

MAC address     BSSID           VLAN ID  Online time       FA IP address

9cd3-6d9e-6778  000f-e203-8889  1        00hr 01min 59sec  10.1.4.23

# 在AC 2上通过display wlan client可以查看到客户端关联的AP为AP 3,漫游状态为AC间漫游。

[AC2] display wlan client verbose

Total number of clients: 1

 

MAC address                        : 9cd3-6d9e-6778

IPv4 address                       : 10.1.1.114

IPv6 address                       : N/A

Username                           : N/A

AID                                : 1

AP ID                              : 3

AP name                            : ap3

Radio ID                           : 1

SSID                               : 1

BSSID                              : 000f-e203-8889

VLAN ID                            : 1

Sleep count                        : 242

Wireless mode                      : 802.11ac

Channel bandwidth                  : 80MHz

SM power save                      : Enabled

SM power save mode                 : Dynamic

Short GI for 20MHz                 : Supported

Short GI for 40MHz                 : Supported

Short GI for 80MHz                 : Supported

Short GI for 160/80+80MHz          : Not supported

STBC RX capability                 : Not supported

STBC TX capability                 : Not supported

LDPC RX capability                 : Not supported

SU beamformee capability           : Not supported

MU beamformee capability           : Not supported

Beamformee STS capability          : N/A

Block Ack                          : TID 0 In

Supported VHT-MCS set              : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8

                                     NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8

Supported HT MCS set               : 0, 1, 2, 3, 4, 5, 6, 7,

                                     8, 9, 10, 11, 12, 13, 14,

                                     15, 16, 17, 18, 19, 20,

                                     21, 22, 23

Supported rates                    : 6, 9, 12, 18, 24, 36,

                                     48, 54 Mbps

QoS mode                           : WMM

Listen interval                    : 10

RSSI                               : 62

Rx/Tx rate                         : 130/11

Authentication method              : Open system

Security mode                      : PRE-RSNA

AKM mode                           : Not configured

Cipher suite                       : N/A

User authentication mode           : Bypass

Authorization ACL ID               : 3001(Not effective)

Authorization user profile         : N/A

Roam status                        : Inter-AC roam

Key derivation                     : SHA1

PMF status                         : Enabled

Forward policy name                : Not configured

Online time                        : 0days 0hours 5minutes 13seconds

FT status                          : Inactive

# 在AC 2上通过display wlan mobility roam-in命令可以查看到客户端从AP 3漫入的漫入信息。

[AC2] display wlan mobility roam-in

Total entries: 1

MAC address     BSSID           VLAN ID  HA IP address

9cd3-6d9e-6778  000f-e203-8889  1        10.1.4.22

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们