技术支持文档中心交换机园区交换机S3700&S5700&S6700配置调测配置指南

S5700, S6700 V200R019C10 配置指南-WLAN-AC

本文档介绍了WLAN的配置,具体包括WLAN基本业务配置、 射频资源管理配置、 漫游配置、 WLAN QoS配置、 WLAN安全配置、 WDS配置、 Mesh配置、 定位配置、 Hotspot2.0配置、 双链路冷备份配置、 N+1备份配置。

同一业务VLAN的AP间漫游

同一业务VLAN的AP间漫游

同一业务VLAN的AP间漫游是针对同一AC下对应同一业务VLAN的AP,STA从一个AP的覆盖范围移动到另一个AP的覆盖范围时保持业务不中断,如图9-2所示。

图9-2 同一业务VLAN的AP间漫游组网图

根据用户是否支持PMK快速漫游,可以将同一业务VLAN的AP间漫游分为PMK快速漫游和非快速漫游两种方式。

非快速漫游原理

当用户使用的安全策略不是WPA2-802.1X时,用户的漫游都属于非快速漫游。此外,如果用户使用的是WPA2-802.1X的安全策略,但STA不支持PMK快速漫游,则该漫游仍然不属于快速漫游,用户仍需要完成802.1X认证过程才能完成漫游。

实现WLAN漫游的各AP必须使用相同的SSID(例如,图9-2所示的SSID都为Hello)和安全模板(安全模板名称可以不同,但是安全模板下的配置必须相同)。

图9-2所示,STA已经通过AP_1接入Internet。此时,STA需要从AP_1的覆盖范围移动到AP_2的覆盖范围,按照如下的流程实现漫游功能:
  1. STA在各个信道中发送探测请求帧,周围AP收到该请求帧后发送回应帧进行响应。例如,AP_2在信道6(AP_2使用的信道)中收到请求后,通过在信道6中发送应答帧来进行响应。STA收到周围各AP的应答帧后,根据信号强度、信号质量等信息进行评估,确定与哪个AP关联最合适。假设如图9-2所示的,STA最终确定跟AP_2关联。
  2. STA通过信道6向AP_2发送重认证请求,认证成功后,AP_2向STA返回重认证响应。
  3. STA向AP_2发送重关联请求,AP_2收到后上报AC,AC使用重关联响应做出应答,建立STA与AP_2间的关联。

  4. STA与AP_2关联成功后,删除STA与AP_1的连接。STA通过信道1(AP_1使用的信道)向AP_1发送802.11解除关联信息,解除STA与AP_1间的关联。

    • 如果用户使用的安全策略是WEP,此时,漫游过程已经完成。
    • 如果用户使用的安全策略是WPA/WPA2-PSK或WPA/WPA2-802.1X,STA还需要重新进行接入认证和密钥协商。密钥协商的详细内容请参见WPA/WPA2中的“密钥协商阶段”。

PMK快速漫游原理

当用户使用WPA2-802.1X安全策略,且STA支持PMK快速漫游技术时,用户在漫游过程中不需要重新完成802.1X认证过程,只需要完成密钥协商过程即可。这样,通过PMK快速漫游,可以缩短802.1X用户的漫游延时,提升用户上网体验。

快速漫游是通过成对主密钥PMK(Pairwise Master Key)缓存技术实现的。如图9-2所示,快速漫游的实现原理如下:
  1. STA首次通过AP_1接入Internet时,当STA与AC认证成功生成PMK后,STA和AC分别保存PMK信息,每个PMK信息对应一个PMK-ID,PMK-ID是由PMK、SSID、STA的MAC地址和BSSID计算出来的。
  2. 当STA在漫游过程中向AP_2发起重关联请求时,重关联请求帧中包含了PMK-ID信息。
  3. AP_2收到请求后及时向AC通报用户切换消息。
  4. AC根据STA携带的PMK-ID信息查找PMK缓存表中STA对应的PMK,如果查找到,就认为STA已经进行过802.1X认证,直接跳过认证过程,利用缓存的PMK开始进行密钥协商。