《WLAN漫游介绍》由会员分享,可在线阅读,更多相关《WLAN漫游介绍(7页珍藏版)》请在金锄头文库上搜索。
1、WLAN漫游介绍1.1 WLAN漫游介绍1.1.1 WLAN漫游的概念目前我们身边的智能手机和PAD终端都提供了WIFI功能。当我们需要使用手机上网的时候,比起运营商提供的卑微2G或3G流量,我们更喜欢寻找免费的WIFI热点。大家的体会是在固定地点尽量使用免费WIFI,在室外移动的过程中还是使用运营商流量靠谱些。因为同一个WIFI热点覆盖范围是有限的,当你移动到热点覆盖范围以外,就需要重新搜索WIFI特点,并重新接入到其他热点中。但在大型机场,如首都T3航站楼内部,从在2楼办理登机手续,到在3楼登机口候机,我们全程可以使用同一个SSID的免费WIFI,并且在移动过程中上网。对于机场这种远距离移
2、动情况下,经过多个WIFI热点,但可使用同一个SSID接入,终端IP地址不变,用户权限不变,用户业务不中断,这就是WLAN漫游。图1-1 WLAN漫游示意图下面根据图1-1从专业角度来解析下WLAN漫游。WLAN漫游策略是指STA(Station,工作站,即接入WLAN的终端,下简称终端)可以在WLAN网络范围内任意移动;具体来说,终端可以在同属一个ESS的AP接入,并且在移动的过程中保证已有的业务不中断。我们可以将WLAN漫游的特征总结如下:终端可以在使用同一个SSID的WLAN中任意移动。如旅客可以使用终端接入SSID为“Airport”的WIFI网络,并在机场内任意移动。保证终端的业务不
3、中断。终端的标识(IP地址)不改变。终端在接入WLAN初期获取IP地址,在整个漫游过程IP地址不变。1.1.2 WLAN漫游的3W1H我们要想应对客户对WLAN漫游方面的问题和需求,首先要答好如下几个问题:Who:谁发起的漫游?When:何时开始漫游?How:终端如何漫游?What:漫游对业务有何影响?Who:谁发起的漫游?需要明确的是终端是漫游的发起者。终端对于漫游有个叫漫游主动性的概念。漫游主动性的实质是终端对WIFI信号倒换阈值的一个映射,反映了终端对漫游的敏感程度。终端的漫游主动性越高,信号倒换阈值越低,终端对漫游越敏感,更容易发生漫游。反之,终端的漫游主动性越低,信号倒换阈值越高,终
4、端对漫游越不敏感,不容易发生漫游。图1-2 笔记本终端无线网卡漫游主动性设置页面 如图1-2,在某些终端上漫游主动性是可以设置的。此设置让使用者可以定义终端的漫游主动程度,默认值是中间值,如果选择最低值表示不漫游。对于某些在固定场所上网的终端来说,应该将漫游主动性调低。终端的漫游主动性取决于终端无线客户端驱动程序的算法,信噪比SNR、上一次接入WIFI网络、丢包率等因素都会对漫游结果产生影响。当然最主要的因素还是终端从一台AP到另一台AP的信号强度变化。本文中漫游触发条件引用信号强度变化做参考。When:何时漫游?如图1-3所示,当用户终端首先接入了AP1提供的WIFI热点,并携带无线终端从A
5、P1覆盖区域移动向AP2覆盖区域过程中,当终端接收到AP1的信号强度低于漫游倒换阈值时,终端进入漫游过程。终端无线客户端驱动程序会发送探测帧,并等待周围相邻AP的响应,收到相邻AP的响应后,对比信号强度,让终端接入信号更强的WIFI热点。图1-3 漫游倒换阈值示意图How:如何漫游?当然是选择最优信号强度的AP开始漫游了。对照图1-3,步骤如下:1. 步骤 1 终端停止发送和接收来自原AP( AP1 )的数据,并将数据缓存起来;2. 步骤 2 终端向目标AP( AP2 )发起关联请求,并建立关联;3. 步骤 3 终端与原AP解除关联关系;4. 步骤 4 终端向目标AP发起认证请求;5. 步骤
6、5 当终端通过认证后,获取原有的IP地址。What:漫游对业务有何影响?漫游对业务的影响直接体现在漫游花费的时间上。从上面漫游步骤可以看到,漫游时间和认证时间息息相关。所以导致不同认证方式的漫游时间是不同的。OPEN、WEP共享密钥和PSK方式,由于认证流程很短,漫游时间也很短,基本能够满足业务不中断的需求;802.1X认证由于认证过程较长,导致漫游时间超过200ms,对于实时性要求较高的业务,如语音业务、视频业务等影响较大。为解决802.1X方式漫游时间较长的问题,引入了快速漫游技术,在本文章节4会详细讲解。1.1.3 WLAN漫游的分类在WLAN环境下,存在两种不同层次的移动行为:链路层移
7、动和网络层移动。链路层移动是指移动终端在同一个IP子网内移动,即二层漫游。网络层移动是指终端在不同IP子网间移动,即三层漫游。如果终端在同一个AC注册和管理下的AP间进行的漫游,称为AC内漫游。反之,终端在不同的AC上注册和管理下的AP间的漫游,称为AC间漫游。我司目前支持的WLAN漫游是AC内漫游,支持AC内二层漫游和AC内三层漫游。1.2 AC内二层漫游二层漫游就是终端在同一个子网中漫游,即终端移动过程中经过的AP都在同一个VLAN内,终端在不同AP间切换时始终在同一个VLAN子网里。图1-4 WLAN二层漫游 如图1-4所示。AP1和AP2通过交换机与AC连接。AP1和AP2在同一个VL
8、AN100内。当终端从AP1的覆盖范围漫游到AP2的覆盖范围,漫游流程如下:1. 步骤 1 AC已经与AP1建立关联信息,终端在各种信道中发送802.11请求帧。AP2在信道6(AP2使用的信道)中收到请求后,通过在信道6中发送应答来进行响应。STA收到应答后,对其进行评估,确定同哪个AP关联最合适;2. 步骤 2 经过终端评估,发现AP2最合适关联,终端通过信道6向AP2发送关联请求,AP2使用关联响应做出应答,建立终端与AP2间的关联;3. 步骤 3 AC删除终端与AP1现有的关联。终端通过信道1(AP1使用的信道)向AP1发送802.11解除关联信息,解除终端与AP1间的关联。上述过程完
9、成后:如果用户使用的是Open或Share-key的安全策略,则用户漫游已完成。如果用户使用的是WPA/WPA2+PSK的安全策略,则还需要完成四步密钥协商。如果用户不支持快速漫游,即使使用的是WPA2+802.1X的安全策略,则用户仍需要完成802.1X认证过程才能完成漫游。1.3 AC内三层漫游三层漫游是终端在不同的子网间漫游,即终端漫游经过的AP在不同的业务VLAN中。三层漫游的场景非常常见,由于AP覆盖范围有限,往往在不同楼层会部署多台AP,同时AP在不同的业务VLAN内。此时,如果用户在无线网络的覆盖区域内从某一个楼层漫游到另外一个楼层时,就会导致业务中断,严重影响用户体验。下面看三
10、层漫游是如何解决这个问题的。图1-5 WLAN三层漫游如图1-5所示,AP1和AP2在不同的业务VLAN中。漫游流程如下:1. 步骤 1 终端通过AP1(属于VLAN100)申请同AC发生关联,AC判断该终端是否为首次接入用户,为其创建并保存相关的用户数据信息,以备将来漫游时使用;2. 步骤 2 该终端从AP1覆盖区域向AP2(属于VLAN200)覆盖区域移动;终端通过AP2重新同AC发生关联,AC通过终端数据信息判断该终端为漫游用户,更新用户数据库信息;3. 步骤 3 终端断开同AP1的关联。尽管漫游前后不在同一个子网中,AC仍然把终端视为从原始子网(VLAN100)连过来一样,允许终端保持
11、其原有IP并支持已建立的IP通讯。根据无线数据转发方式不同,在三层漫游中可以划分为数据本地转发下(数据直接转发)的三层漫游和数据集中转发(数据隧道转发)的三层漫游。1.3.1 本地转发下的三层漫游数据本地转发也叫数据直接转发,指无线终端报文经过AP直接转发到上层网络中,没有经过CAPWAP封装。图1-6 本地转发下的三层漫游 如图1-6所示,数据本地转发的三层漫游流程如下:1. 步骤 1 终端A通过AP1上线,此时终端A的用户VLAN为VLAN100;2. 步骤 2 AC在用户漫游过程中下发用户VLAN给AP,同时AP根据用户在终端A用户数据报文上打上用户VLAN的Tag;3. 步骤 3 当终
12、端A漫游到AP2后,AC将终端A的信息通知了AP2(包括终端A漫游前的用户VLAN),为了保证业务不中断,当终端A用户报文上传到AP2时,AP2给终端A用户报文打上漫游前的VLAN100的Tag发往上层网络。而对于AP2下的未漫游终端B,则AP2仍然打上用户VLAN 200发往上层网络。简而言之,在本地转发方式下,终端的信息在漫游过程中,会由AC通知会新AP,新AP对报文的VLAN tag进行修改。1.3.2 集中转发下的三层漫游数据集中转发也叫数据隧道转发,即用户报文必须先经过CAPWAP隧道封装后上传给AC,然后再由AC转发到上层网络。图1-7 集中转发下的三层漫游如图1-7所示,数据集中
13、转发的三层漫游流程如下:1. 步骤 1 未漫游前,用户VLAN为100,当终端A的报文经过AP1时,AP1给用户报文打上VLAN100的Tag并进行隧道封装。在到达交换机时,由交换机给封装后的报文打上VLAN900的Tag并转发给AC。到达AC后,AC去除VLAN900的Tag,并将用户报文解封装后直接发送至网络侧;2. 步骤 2 当终端A漫游到AP2后,当终端A的报文经过AP2时,AP2给用户报文打上VLAN200的Tag并进行隧道封装。在到达交换机时,由交换机给封装后的报文打上VLAN901的Tag并转发给AC,到达AC后,AC去除VLAN901的Tag,将用户报文解封装,并将用户报文中的
14、VLAN200替换为VLAN100后发往有线侧。从而使得业务不中断。简而言之,在集中转发方式下,终端的信息在漫游过程中一直由AC收集并保存,AC负责对数据报文的VLAN tag进行修改。1.4 快速漫游在1.2.4 中提到了漫游时间对业务的影响,我们知道了不同的认证过程直接影响了漫游时间长短。下面通过表4-1了解下当终端关联AP2,并与AP1去关联后的具体的漫游时间。表1-1 认证方式对应的漫游时间 我们可以看出OPEN和Shared-key两种方式漫游时间较短,一般不会对业务产生影响。对于后面4中认证方式,漫游时间较长。如何缩短漫游时间,可以先了解下标准的802.1X认证和4次密钥协商握手的
15、交互过程。从图1-8可知在4次密钥协商握手过程中,从终端到AC的报文传输过程时间,会与AP与AC的部署位置息息相关,如果AP和AC部署距离较远会影响到4次握手的事件,进而导致漫游时间的增加。有没有办法缩短4次握手协商时间呢?图1-8 标准的802.1X认证和4次密钥协商握手流程1.4.1 密钥下移这个问题可以通过密钥协商下移的方法解决。如图1-9所示,将4次握手流程下移到AP上,缩短了4次握手的时间。图1-9 密钥下移流程表1-2 密钥下移后,认证方式与漫游时间从表1-2可以看到,通过密钥下移的使用WPA/WPA2+PSK漫游时间缩短至70ms,可以满足大多数业务的需求。但是WPA/WPA2+
16、802.1X认证方式的漫游时间仍然较长。从图1-9可看到802.1X认证流程的繁琐导致了漫游时间过长,有什么办法能够简化这部分的流程呢?1.4.2 真正的快速漫游最直接的想法就是是否可以去掉802.1X重认证的过程。其实这种方法是可行的。对于WAP2+802.1X认证方式,当用户通过802.1X认证后,AC通过认证协商过程得到了用户的PMK,AC需要保存用户的PMK直到用户下线。AC将PMK下发给AP,AP依据PMK和用户协商出来的空口报文的加密密钥。当用户漫游到其他AP,只要AC能够将PMK下发给新的AP即可。这样就不需要再进行802.1X重认证流程,新AP直接反馈认证成功,进行4次密钥协商握手即可。图1-10 快速漫游流程快速漫游需要几个前提:终端支持密钥缓存(Key-Caching)机制,在重新关联时,支持上送PMK的ID;AC支持密钥缓存机制,支持根据用户的PMKID选择对应的PMK。针对第一个前提条件,
