H-REAP设计和部署指南(2011版)
目录
简介 (2)
先决条件 (2)
要求 (2)
使用的组件 (2)
CAPWAP协议背景知识 (2)
混合远程边缘无线接入点(Hybrid Remote-Edge Access Point) (3)
H-REAP操作理论知识 (4)
H-REAP的关键概念 (4)
H-REAP设计及功能限制 (6)
H-REAP对广域网的考虑 (6)
H-REAP组 (7)
连接到Trunk或非Trunk端口 (9)
H-REAP的无线控制器发现过程 (9)
H-REAP支持的功能特性 (10)
H-REAP特性列表 (10)
安全特性支持 (10)
Web认证支持 (11)
网络基础设施功能支持 (12)
射频资源管理(RRM) (12)
动态频率选择(DFS) (12)
位置跟踪 (12)
二层和三层移动性 (12)
NAT/PAT (13)
冗余和容错 (13)
H-REAP的配置 (14)
有线网络准备工作 (14)
H-REAP的无线控制器发现过程及CLI命令 (16)
H-REAP的无线控制器配置 (17)
故障排查 (21)
H-REAP无线接入点无法加入无线控制器 (22)
H-REAP无线接入点控制台上的命令不可被操作并返回错误 (23)
无线客户端无法连接到H-REAP无线接入点 (24)
H-REAP问答 (25)
简介
混合式远程边缘无线接入点(H-REAP)是一种适用于分支机构和远程办公室部署的无线解决方案。它使客户能够通过广域网(WAN)链路配置和控制部署在分支机构和远程办公室的无线接入点而无需在每个办公室部署无线控制器。H-REAP无线接入点可以在本地转发无线客户端的数据流量,并在本地H-REAP无线接入点到无线控制器的连接丢失时执行无线客户端的验证。当H-REAP无线接入点连接到无线控制器时,也可将流量通过隧道转发到无线控制器。
先决条件
要求
H-REAP只支持在下列无线网络设备上启用:1040,1130,1140,1240,1250,3500,1260,AP801,AP802无线接入点和思科WiSM,思科5500,4400,2100,2500和Flex 7500系列无线控制器,Catalyst 3750G集成无线局域网无线控制器交换机,综合服务路由器的无线控制器网络模块。radius软件
使用的组件
本文档中的信息基于下列软件和硬件版本:
•思科统一无线网络无线控制器7.0版本
•支持控制和配置无线接入点(CAPWAP)协议的1040,1130,1140,1240,1250,1260,AP801,AP802和3500系列无线接入点。
CAPWAP协议背景知识
CAPWAP协议,思科统一无线网络架构的基础,规定了两种不同的无线接入点操作模式:•分离MAC(Split-MAC)- 在分离MAC模式下,系统在无线接入点和无线控制器之间的共
同执行802.11规范的关键功能。在这种配置中,无线控制器不仅负责对802.11认证和关联进行处理,它也充当了所有用户流量的入口点和出口点。分离MAC无线接入点将所有无线客户端流量通过CAPWAP数据隧道(CAPWAP控制隧道也遵循相同的路径)转发到无线控制器。
•本地MAC(Local MAC)- 在无线接入点执行完整的802.11功能,终结所有无线客户端流量在无线接入点连接的有线端口,数据转发路径脱离控制路径。这不仅可以直接无线访问无线接入点所在的本地资源,还提供了CAPWAP控制路径(无线接入点和无线控制器之间的连接)的弹性,一旦路径时效还能持续提供无线服务。此功能特别适合在跨越广域网的小型远程站点和分支办公室部署,在这些地方只有极
少数的无线接入点部署而无需在本地部署无线控制器。
注:在无线控制器5.2版本之前,思科统一无线网络架构基于LWAPP协议。
混合远程边缘无线接入点(Hybrid Remote-Edge Access Point)
混合式远程边缘无线接入点,或H-REAP,是1040,1130,1140,1240,1250,3500,1260,AP801,AP802无线接入点和思科WiSM,思科5500,4400,2100,2500和Flex 7500系列无线控制器,Catalyst 3750G集成无线局域网无线控制器交换机,综合服务路由器无线控制器网络模块支持的功能。H-REAP功能仅在思科统一无线网络无线控制器版本4.0或更高版本支持,该软件的可选功能,允许您将分离MAC和本地MAC结合部署来获取最大的灵活性。无线客户端流量在H-REAP无线接入点上既可以被本地交换,也可以提供隧道传回到无线控制器,这依据每个WLAN的配置而定。此外,本地交换的无线客户端流量可以携带802.1Q 标记,以提供有线侧的分离。在广域网中断时,对于所有本地交换,本地认证的WLAN服务不会受到影响。
下图是通常情况下H-REAP的部署情况:
如图所示,H-REAP是设计用来在远程和分支办公室部署的。
本文概述了H-REAP的操作原理,无线控制器和无线接入点的配置以及网络设计时的考虑因素。
H-REAP操作理论知识
H-REAP的关键概念
H-REAP功能的运作中存在几种不同的模式以提供本地和集中交换和广域网链路的生存能力。而这些模式的混合,提供不同的功能列表,存在不同的限制。它们分别是:
•集中交换与本地交换
H-REAP无线接入点上的WLANs(SSID的安全性,QoS和其他配置的参数集合)可以被设置为将的所有数据流量通过隧道传回到无线控制器(称为集中交换),也可以配置为将所有无线客户端的数据在H-REAP无线接入点连接的本地有线接口转发(称为本地交换)。本地交换的WLANs可以选择进行802.1Q标记,允许WLANs通过在无线接入点连接的以太网端口进行有线网络分段。
•连接模式与独立模式
对于H-REAP的连接模式是指无线接入点到无线控制器的CAPWAP控制平面是正常运作的,这意味着广域网链路没有失效。独立模式是指H-REAP无线接入点没有连接回其无线控制器的运行状态。
注:所有的H-REAP安全认证处理(如后端RADIUS身份验证和成对主密钥[pairwise master key - PMK]的推导)都发生在无线接入点与无线控制器处于连接状态时。无论工作于哪种模式的无线接入点,所有的802.11认证和关联处理都在H-REAP无线接入点上进行。当在连接模式下,H-REAP无线接入点将这些认证/关联时间告知无线控制器。在独立模式下,无线接入点不能告知无线控制器此类事件。
H-REAP的功能根据其运作模式而有所不同(不论是否在连接或独立模式),也和每个WLAN 的数据交换(集中或本地)模式和无线安全配置相关。
当无线客户端连接到一个H-REAP无线接入点,无线接入点转发所有的认证信息到无线控制器,一旦验证成功后,它的数据包要么本地转发要么通过隧道传回到无线控制器,这根据它连接的WLAN的配置而定。关于无线客户端认证机制和数据交换操作,基于无线接入点/无线控制器连接状态和WLAN的配置,H-REAP无线接入点上的WLAN可以为下面的状态之一:
•集中认证,集中交换-在这种状态下,对于给定的WLAN,无线接入点将所有无线客户端的身份验证请求转发给无线控制器,所有客户端数据也通过隧道传回给无线控制器处理。这种状态只有当无线接入点的CAPWAP控制路径有效时才工作。这意味着H-REAP无线接入点工作在连接模式。当广域网中断时,不管WLAN是什么身份验证方法,任何被隧道传回到无线控制器的WLAN将失效。
•集中认证,本地交换-在此状态下,对于给定的WLAN,无线控制器处理所有的无线客户端身份验证,H-REAP无线接入点将数据包在本地交换。无线客户端验证成功后,无线控制器发送一个CAPWAP控制命令到H-REAP无线接入点指示其将无线客户端的数据包在本地交换。此消息基于每个成功验证的无线客户端发送。这种状态只有在连接模式下适用。
•本地认证,本地交换-在此状态下,由H-REAP无线接入点处理无线客户端认证并在本地无线客户端数
据包。这种状态只有在独立模式下是有效的,且认证类型可以在无线接入点本地处理。当H-REAP无线接入点进入独立模式,WLAN可以是本地认证的开放、共享、WPA-PSK或WPA2-PSK认证本地交换状态,并可继续对新的无线客户端进行身份验证。
注:所有第2层无线数据加密总是在无线接入点处理。无线接入点处于连接状态时,所有无线客户端身份验证过程发生在无线控制器(或无线控制器的上游,根据WLAN和无线控制器的配置而定)。
•验证失效,本地交换-在此状态下,对于给定的WLAN,H-REAP无线接入点拒绝任何试图验证的新无线客户端,但它继续发送信标和探针回应来保持现有客户的正确连接。这种状态只在独立模式下才有效。
如果本地交换WLAN配置为需要无线控制器或其上游介入处理的任何身份验证类型(例如EAP认证[动态WEP/WPA/WPA2/802.11i],Web认证或者NAC),一旦广域网失效,它将进入
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论