wlan漫游配置组网.docx

1、wlan漫游配置组网5 漫游配置5.1 理解漫游5.1.1 漫游概述在无线网络中，终端用户具备有移动通信能力。但由于单个AP（Access Point，无线访问接入点）设备的信号覆盖范围都是有限的，终端用户在移动过程中，往往会出现从一个AP服务区跨越到另一个AP服务区的情况。为了避免移动用户在不同的AP之间切换时，网络通讯中断，我们引入了无线漫游的概念。无线漫游就是指STA（Station，无线工作站）在移动到两个AP覆盖范围的临界区域时，STA与新的AP进行关联并与原有AP断开关联，且在此过程中保持不间断的网络连接。简单来说，就如同手机的移动通话功能，手机从一个基站的覆盖范围移动到另一个基站

2、的覆盖范围时，能提供不间断、无缝的通话能力。对于用户来说，漫游的行为是透明的无缝漫游，即用户在漫游过程中，不会感知到漫游的发生。这同手机相类似，手机在移动通话过程中可能变换了不同的基站，而我们感觉不到也不必去关心。WLAN漫游过程中STA的IP地址始终保持不变。5.1.2 漫游基本概念漫出AC：或称HA（Home-AC）；一个无线终端（STA）首次向漫游组内的某个无线控制器进行关联，该无线控制器即为该无线终端（STA）的漫出AC。漫入AC： 或称FA（Foreign-AC）；与无线终端（STA）正在连接，且不是HA的无线控制器，该无线控制器即为该无线终端（STA）的漫入AC。AC内漫游：一个无

3、线终端（STA）从无线控制器的一个AP漫游到同一个无线控制器内的另一个AP中，即称为AC内漫游。AC间漫游：一个无线终端（STA）从无线控制器的AP漫游到另一个无线控制器内的AP中，即称为AC间漫游。5.1.3 漫游方式漫游的目的是为了使用户在移动的过程中可以通过不同的AP来保持对网络的持续访问。根据漫游过程前后用户接入的AP所属AC的不同，可以分为同AC内漫游和跨AC漫游（即AC间漫游）。同AC漫游是指用户漫游过程中的两个AP由同一个AC进行管理，而跨AC漫游则是指用户漫游过程中的两个AP分别属于不同的AC管理。下面对AC内漫游和AC间漫游这两种漫游过程进行说明。5.1.3.1 AC内漫游A

4、C内二层漫游图 6. AC内二层（同子网）漫游1. 终端通过AP1申请同AC发生关联，AC判断该终端为首次接入用户，为其创建并保存相关的用户数据信息，以备将来漫游时使用。2. 该终端从AP1覆盖区域向AP2覆盖区域移动；终端断开同AP1的关联，漫游到同一AC相连的AP2上。3. 终端通过AP2重新同AC发生关联，AC判断该终端为漫游用户，由于漫游前后在同一个子网中（同属于VLAN X），AC仅需更新用户数据库信息，将数据通路改为由AP2转发，即可达到漫游的目的。AC内三层漫游图 7. AC内三层（不同子网）漫游4. 终端通过AP1（属于VLAN X）申请同AC发生关联，AC判断该终端为首次接入

5、用户，为其创建并保存相关的用户数据信息，以备将来漫游时使用。5. 该终端从AP1覆盖区域向AP2（属于VLAN Y）覆盖区域移动；终端断开同AP1的关联，漫游到同一AC相连的AP2上。6. 终端通过AP2重新同AC发生关联，AC判断该终端为漫游用户，更新用户数据库信息；尽管漫游前后不在同一个子网中， AC仍然把终端视为从原始子网（VLAN X）连过来一样，允许终端保持其原有IP并支持已建立的IP通讯。5.1.3.2 AC间漫游AC间的漫游相关信息是通过漫出AC（HA）与漫入AC（FA）之间建立的隧道传输，最终数据仍通过漫出AC（HA）进行转发。具体漫游过程如下：AC间二层漫游 图 8. AC间

6、二层（同子网）漫游7. 1. 终端通过AP1申请同AC1（属于VLAN X）发生关联，AC判断该终端为首次接入用户，为其创建并保存相关的用户数据信息，以备将来漫游时使用。8. 2. 该终端从AP1覆盖区域向AP2覆盖区域移动；终端断开同AP1的关联，漫游到AP2，AP2同另一个无线控制器AC2（属于VLAN X）相连。9. 3. 终端申请同漫入AC（AC2）发生关联，漫入AC（AC2）向其他AC通告该终端的信息；漫出AC（AC1）收到消息后，将漫游用户的信息同步到漫入AC（AC2） 。10. 4. 在终端IP地址不变的情况下，跨AC的二层漫游最终数据仍通过漫出AC（AC1）来转发：a. 从终端

7、用户发出的数据先发到漫入AC（AC2），再由漫入AC（AC2）通过隧道传送到漫出AC（AC1），最后由漫出AC（AC1）进行普通转发；b. 发至漫游用户的数据报文也会先送到漫出AC（AC1），再由漫出AC（AC1）通过隧道传送到漫入AC（AC2），由漫入AC（AC2）转发给终端用户。AC间三层漫游图 9. AC间三层（不同子网）漫游11. 终端通过AP1申请同AC1（属于VLAN X）发生关联，AC判断该终端为首次接入用户，为其创建并保存相关的用户数据信息，以备将来漫游时使用。12. 该终端从AP1覆盖区域向AP2覆盖区域移动；终端断开同AP1的关联，漫游到AP2，AP2同另一个无线控制器AC

8、2（属于VLAN Y）相连。13. 终端申请同AC2发生关联，AC2判断出该终端为一个漫游用户；AC1将漫游终端用户的信息同步到AC2 。14. 漫游前后在不同AC不同子网，在保持用户IP地址不变的情况下，跨AC的三层漫游最终数据仍通过漫出AC（AC1）来转发： i. 从终端用户发出的数据先发到漫入AC（AC2），再由漫入AC通过隧道传送到漫出AC（AC1），最后由漫出AC（AC1）进行普通转发； ii. 发至漫游用户的数据报文也会先送到漫出AC（AC1），再由漫出AC（AC1）通过隧道传送到漫入AC（AC2），由漫入AC（AC2）转发给终端用户。 说明在AC间三层漫游模型中，为了确保报文正确

9、转发， AC1和AC2上都必须创建VLANX和VLAN Y。5.1.4 漫游组在一个WLAN中，无线用户的漫游范围不能无限扩大，为了用户可以在不同AC下属的AP之间进行漫游，同时又能对用户漫游的范围进行控制并达到可管理的目的，将STA可移动范围内的一组AC组成漫游组（Mobility Group）。漫游组的AC之间通过采用CAPWAP（Controlling and Provisioning of Wireless Access Point，无线接入点控制与供应）扩展隧道来封装和传输漫游相关信息。AC之间通信的建立采用特有技术，减少了终端用户跨AC漫游后到Radius服务器的重认证时间，加快了

10、漫游无线终端的信息认证，为快速无缝漫游奠定了基础。图 10. 漫游组拓扑图在漫游组内，每个AC都保存有一个漫游组内其他成员的列表（如上图所示）。当一个STA加入某个AC的时候，该AC会向漫游组内的其他AC发送通告信息；如果STA是首次接入漫游组，那么其最初接入的AC（漫出AC/HA）就会保存其相关信息；当STA漫游到其他AC的时候，该AC就会将STA的信息同步给相关AC（漫入AC/FA）；如果该STA是漫游用户，那么STA原来所在的AC（漫出AC/HA）在收到通告信息后就会将STA的相关信息同步给当前的AC（漫入AC/FA）。在一般情况下，漫游终端用户的信息在漫游行为产生的情况下才进行交互。可

11、以通过使用漫游组主动信息同步功能，在用户漫游发生之前，让组内各个AC间主动完成终端用户信息的共享，就可以在用户漫游时候耗费更少的时间，提高漫游效率。 说明为了确保漫游组内的AC间互相同步信息的效率和可靠性，漫游组的成员数量需要有一定的限制。每个漫游组最多支持24个AC成员。每台AC上最多可创建8个漫游组。5.1.5 漫游列表漫游列表（Mobility List）是对漫游组的补充。由于漫游组内的AC成员数量有限，为了在不影响正常漫游组漫游基础上能适当扩展用户的漫游范围，引入了漫游列表的机制。漫游列表机制中漫游用户的数据交互与漫游组内的过程相似，二者的主要区别在于：漫游组内漫游采用的是快速安全漫游

12、机制（PKC）；而通过漫游列表进行组间漫游时，漫游STA需要与AAA/Radius服务器进行完整的认证流程；因此同组内漫游相比，组间漫游的效率会略低一些。两种机制的共同点是：漫游过程都是无缝的，对用户都是透明的。对于某个具体的AC而言，可以指定其属于某个漫游组，那么这个AC上接入的STA就可以在该漫游组的范围内进行漫游。在配置了漫游组的同时，还可以在AC上配置漫游列表，漫游列表中的成员AC应该是与当前AC不在同一个漫游组内的，这样就使得当前AC上的STA能够跨漫游组进行漫游。 说明每台设备的漫游列表支持最多72个列表成员。5.1.6 自动无线访客对于一个园区网络（如企业内部网络），可能存在一些

13、合作伙伴或其他到访人员，这些访客一般作为无线终端用户接入，需要利用本园区的无线网络资源登陆Internet或访问其他外部网络；同时，访客通常要求具备在园区内移动的能力。为了满足访客的需求，同时又能一定程度上对其访问行为进行限制，利用漫游技术，提供了自动无线访客机制。所谓无线访客机制（Auto-Anchor Mobility），就是指将某个WLAN中的所有用户都作为漫游用户对待，通过静态地指定某个AC为Anchor AC，将用户的数据信息通过隧道全都传送到Anchor AC上保存，对用户信息进行集中式管理，且方便了安全策略的统一实施。无线访客的机制将原来分散在漫游组内各AC上的用户信息统一集中到

14、Anchor AC上进行管理。在普通AC上，与其关联的所有用户均被视为漫游用户来对待。同普通的漫游组机制相比较，无线访客机制中的Anchor AC相当于漫出AC的作用，普通AC则相当于漫入AC的作用，因此用户间的通信都需要经过Anchor AC。图 11. 无线访客漫游拓扑如上图所示，无线访客漫游机制中，各AC之间是通过漫游组或漫游列表建立的隧道来交互用户信息。当WLAN中的用户接入到漫游组中的AC上时，AC会向漫游组内其他AC发送通告，如果收到了来自Anchor AC的回应，说明该用户非首次接入用户，则该用户就会被作为漫游处理。如果没有收到来自Anchor AC的回应，说明该用户为首次接入用

15、户，则AC就从事先配置的Anchor AC中选择一个，然后将用户数据发送给该Anchor AC保存。漫游组机制是分布式管理用户信息的，而无线访客是集中式管理。一个WLAN可以配置多个Anchor AC，以提供必要的冗余。5.2 缺省配置功能特性缺省值漫游组默认关闭漫游列表默认关闭漫游组主动信息交换默认关闭无线访客默认关闭保活报文发送的最大次数4次保活报文发送的时间间隔10s5.3 配置漫游5.3.1 配置漫游组为了不同AC下属的AP之间能进行漫游，需要配置漫游组。漫游组的配置主要包含两个步骤：1、创建漫游组；2、在漫游组中添加相应的AC成员。漫游组中的各AC上都需要作相应的配置。例如有一个漫游

16、组Mgroup，其中包含AC1、AC2和AC3。在AC1上配置的时候，首先要创建该漫游组Mgroup，然后将AC2和AC3加入到漫游组中。在AC2和AC3也要做相应的配置，这样就完成了漫游组的配置。在漫游组中，漫游组成员的地址为对应AC的lookback 0接口的IP地址。如果改变了本AC的loopback 0口的地址，需要保存配置重启之后漫游功能才会重新生效。命令作用Step 1Ruijie# config terminal进入全局配置模式Step 2Ruijie(config)# mobility-group group-name创建漫游组并进入漫游组配置模式；每台设备上最多可创建24个漫

17、游组。group-name：漫游组名称Step 3Ruijie(config-mobility)# no member ip-address添加/删除漫游组成员AC； ip-address：漫游组成员AC地址，该地址为AC的loopback 0口地址。Step 4Ruijie# show mobilibty status group-name查看指定漫游组的相关配置信息Ruijie# show mobilibty summary查看所有漫游组的相关配置信息举例如下：# 创建名为Mgroup_name漫游组并添加漫游组成员。Ruijie# configure terminal Enter con

18、figuration commands, one per line. End with CNTL/Z.Ruijie(config)#mobility-group mgroup_nameRuijie(config-mobility)#member 192.168.1.1Ruijie(config-mobility)#member 192.168.1.2Ruijie# show mobility status mgroup_nameMobility Group mgroup_nameMulticast Mode . DisableMulticast Address. 0.0.0.0Mobility

19、 Keepalive Interval. 10Mobility Keepalive Count. 3Mobility Group Status. normalMobility Members:IP Address Client/Server Data Tunnel Ctrl Tunnel 192.168.1.1 Client OK OK 192.168.1.2 Client OK OK Mobility List Members: 5.3.2 配置漫游组主动信息交换缺省情况下，用户的信息在漫游行为产生的情况下才在漫游组内进行同步。配置漫游组主动信息交换功能后，在未检测到漫游的情况下，组内的各个

20、AC就能主动进行终端用户信息交换，提高了漫游的效率。漫游组中的各AC上都需要作相应的配置。命令作用Step 1Ruijie# config terminal进入全局配置模式Step 2Ruijie(config)# mobility-group group-name创建漫游组并进入漫游组配置模式group-name：漫游组名称Step 3Ruijie(config-mobility)# no mobility-fast打开/关闭漫游组主动信息交换功能Step 4Ruijie# show mobility status group-name查看指定漫游组的相关配置信息Ruijie# show m

21、obility summary查看所有漫游组的相关配置信息 说明打开漫游组主动信息交换功能，可以使得用户在漫游时更加顺畅，同时也会增加网络中由于漫游信息交换带来的负荷。举例如下：# 打开漫游组主动信息交换功能Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#mobility-group mgroup_nameRuijie(config-mobility)# mobility-fastRuijie# show mobility status m

22、group_nameMobility Group mgroup_nameMulticast Mode . DisableMulticast Address. 0.0.0.0Mobility Keepalive Interval. 10Mobility Keepalive Count. 3Mobility Group Status. Fast ModeMobility Members:IP Address Client/Server Data Tunnel Ctrl Tunnel 192.168.1.1 Client OK OK 192.168.1.2 Client OK OK Mobility

23、 List Members:5.3.3 配置漫游列表漫游列表是基于漫游组配置的。要配置漫游列表，首先要创建漫游组，然后再进入漫游组配置模式，在漫游组中添加漫游列表的成员。在AC上可以配置多个漫游列表成员，这些成员一般不属于和该AC相同的漫游组，因为同漫游组内的AC连接的用户已经可以漫游且效率更高，所以漫游列表中配置的应当是与当前AC不同漫游组的AC。 说明每台AC的漫游列表最多可支持添加72个成员。命令作用Step 1Ruijie# config terminal进入全局配置模式Step 2Ruijie(config)# mobility-group group-name创建漫游组并进入漫游组

24、配置模式group-name：漫游组名称Step 3Ruijie(config-mobility)# no list ip-address添加/删除漫游组成员AC； ip-address：漫游组成员AC地址，该地址为AC的loopback 0口地址Step 4Ruijie# show mobility status group-name查看指定漫游组的相关配置信息Ruijie# show mobility summary查看所有漫游组的相关配置信息例如：#在当前AC上的漫游组Mgroup_name中配置漫游列表，包含成员AC1和AC2。其中，AC1的IP地址为192.168.2.1，AC2的I

25、P地址为192.168.2.2。Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# mobility-group mgroup_nameRuijie(mobility- mobility)# list 192.168.2.1Ruijie(mobility- mobility)# list 192.168.2.2Ruijie# show mobility status mgroup_nameMobility Group mgroup_nameM

26、ulticast Mode . DisableMulticast Address. 0.0.0.0Mobility Keepalive Interval. 10Mobility Keepalive Count. 3Mobility Group Status. Fast ModeMobility Members:IP Address Client/Server Data Tunnel Ctrl Tunnel 192.168.1.1 Client OK OK 192.168.1.2 Client OK OK Mobility List Members:IP Address Client/Serve

27、r Data Tunnel Ctrl Tunnel 192.168.2.2 Client OK OK IP Address Client/Server Data Tunnel Ctrl Tunnel 192.168.2.1 Client OK OK 5.3.4 配置自动无线访客自动无线访客机制是将某个WLAN中的所有用户都作为漫游用户对待，该功能是基于一个WLAN配置的。配置时，首先需要划分出一个WLAN，然后在该WLAN的配置模式下，指定Anchor AC。由于Anchor AC和普通AC之间是通过漫游组搭建的隧道来完成用户数据的交互，因此配置前要确保这些AC都已加入到漫游组中。命令作用St

28、ep 1Ruijie# config terminal进入全局配置模式Step 2Ruijie(config)#wlan-config wlan-id进入WLAN配置模式wlan-id：WLAN IDStep 3Ruijie(config-wlan)#anchor ip-address为指定的WLAN添加Anchor AC。在一个WLAN中，目前只支持配置一个Anchor AC。ip-address ：Anchor AC地址；该地址为AC的loopback 0口地址。Step 4Ruijie(config-wlan)# show run查看配置例如：#为ID为233的WLAN设置Anchor AC，Anchor AC的地址为192.168.3.1 Ruijie# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Ruijie(config)# wlan-config 233Ruijie(config-wlan)# anchor 192.168.3.1Ruijie(config-wlan)#show run5.3.5 配置保活报文发送的最大次数每隔一定时间