华为WLAN深度资料-无线漫游
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
还需完成802.1x认证过程+四步密钥协商(密钥 下移),漫游结束
60ms s 70ms 220ms 220ms
优化时间 无法优化 无法优化 优化10ms
优化10ms
优化10ms
优化10ms
漫游类型 非快速漫游
802.1x认证过程繁琐,导致漫游时间过长 为解决这一问题,针对WPA2+802.1x认证引入快速漫游的概念
2.当STA漫游到AP2后,当STA的报文经过 AP2时,AP2给用户报文打上VLAN1001 的Tag并迚行隧道封装。在到达交换机时, 由交换机给封装后的报文打上VLAN901 的Tag并转发给AC,到达AC后,AC去除 VLAN901的Tag,将用户报文解封装,并 将用户报文中的VLAN1001替换为 VLAN1000后发往有线侧。从而使得业务 丌中断。
6:EAPOL-Request-Method 7:EAPOL-Response-Method
10:EAPOL-Success 11:EAPOL-Key 12:EAPOL-Nonce 13:计算PTK、Nonce 14:验证PTK、下发当前的GTK 15:确认密钥可用
。。。。。。。。。。 16
AC
Radius
10:EAPOL-Success
AC
Radius
4:Radius-Access-Request 5:Radius-Access-Challenge
8:Radius-Access-Request 9:Radius-Access-Accept
1~10步 认证过程
11:EAPOL-Key
12:EAPOL-Nonce
终端对目标AP发送关联请求, 并建立关联
终端不原AP去关联 终端对新AP发送认证请求
当终端通过认证后,获取原有IP
地址
AP1信号强度 AP2信号强度
6
Internet
交换机 AP1
A
B
2
1
漫游的轨迹
AC AP2
C
What
一般情况下,各种丌同认证方式的漫游时间是丌同的
OPEN、WEP共享密钥和PSK方式,因为认证的流程很短,漫游的时间也很短,基本 能够满足业务丌中断的需求
用户的标识(IP地址)丌改变
客户端在连接网络初期获得了IP地址,整个
漫游过程IP地址丌改变。
AP1信号强度
AP2信号强度
2
Internet
交换机
信道 1 AP1
A
B
漫游的轨迹
AC 信道 6
AP2 C
终端漫游行为—3W1H
Who
谁发起的漫游?
When
什么时候开始漫游?
How
终端如何漫游?
13:计算PTK、Nonce 14:验证PTK、下发当前的GTK
15:确认密钥可用
16:下发PTK、GTK给AP
。。。。。。。。。。 15
12~16步 4步密钥协商
密钥协商下移—提升漫游速度
终端
AP
1:EAPOL-start 2:EAPOL-Request-Identity 3:EAPOL-Response-Identity
4
When
当信号低于漫游倒换阈值时, 终端进入漫游过程:
发送探测帧 等待相邻AP的回应 对比探测帧的信号强度
Internet
交换机 AP1
AP1信号强度 AP2信号强度
5
A
B
漫游的轨迹
AC AP2
C
How
选择最优信号强度的AP,开
始漫游.
终端停止发送和接收数据,并缓
存数据
1. STA1通过AP1上线,此时STA1的用户 VLAN为VLAN1000。 2. AC在用户漫游过程中下发用户VLAN给 AP,同时AP根据用户打上用户VLAN的 Tag。 3.当STA1漫游到AP2后,为了保证业务丌 中断,当用户报文上传到AP2时,AP2给 用户报文打上漫游前的VLAN1000的Tag 发往上层网络。而对于AP2下的未漫游用 户STA2,则AP2仍然打上用户VLAN 1001发往上层网络。 (STA的信息在漫游过程中,会由AC通知 到新关联的AP)
230ms
如何缩短漫游时间,优化用户体验??
14
密钥协商下移技术
密钥下移技术仅仅只针对有密钥交互的认证方式
802.1x认证流程
终端
AP
1:EAPOL-start 2:EAPOL-Request-Identity 3:EAPOL-Response-Identity
6:EAPOL-Request-Method 7:EAPOL-Response-Method
漫游过程
漫游时间
Open
漫游结束
50ms
Share-key WPA+PSK WPA2+PSK WPA+802.1x WPA2+802.1x
还需完成预置密钥认证流程后,漫游结束
还需完成四步密钥协商后(密钥下移), 漫游结束
还需完成四步密钥协商后(密钥下移), 漫游结束
还需完成802.1x认证过程+四步密钥协商(密钥 下移),漫游结束
AC
SSID:HUAWEI-WLAN VLAN:100
IP:10.1.100.0/24
AP1
SSID:HUAWEI-WLAN VLAN:200 IP:10.1.200.0/24
AP2
漫游的终端 IP:10.1.100.100/24
10
三层漫游—直接转发
本地转发模式下的三层漫游,需要 漫游后AP2对用户报文打漫游前的 VLAN,同时交换机需要允许这个 VLAN接入
10:EAPOL-Success
省略该认证 过程
AC
Radius
4:Radius-Access-Request 5:Radius-Access-Challenge
8:Radius-Access-Request 9:Radius-Access-Accept
11:EAPOL-Key
12:EAPOL-Nonce
AC
SSID:HUAWEI-WLAN VLAN:100
IP:10.1.100.0/24
AP1
SSID:HUAWEI-WLAN VLAN:100 IP:10.1.100.0/24
AP2
漫游的终端 IP:10.1.100.100/24
9
三层漫游
Internet
交换机
AP在丌同的VLAN内 用户漫游时,依旧保持用户的VLAN为初始VLAN
漫游过程 漫游结束 还需完成预置密钥认证流程后,漫游结束 还需完成四步密钥协商后,漫游结束
还需完成四步密钥协商后,漫游结束 还需完成802.1x认证过程+四步密钥协商,漫游结束 还需完成802.1x认证过程+四步密钥协商,漫游结束
漫游时间 漫游类型
50ms
60ms
80ms 80ms
非快速漫游
230ms
802.1x认证,由于认证过程较长,导致漫游时间大于200ms,对于实时性要求较高 的业务,如语音业务等影响较大。
为解决802.1x方式漫游时间较长的问题,引入了快速漫游技术
7
Content
1 WLAN漫游介绍 2 二层漫游和三层漫游 3 快速漫游
8
二层漫游
Internet
交换机
多个AP连接在同一个VLAN内 STA在丌同的AP间切换时始终在一个VLAN子网内
(STA的信息在漫游过程中,由AC收集并
转发)
12
Content
1 WLAN漫游介绍 2 二层漫游和三层漫游 3 快速漫游
13
丌同认证下的漫游过程和时间
当终端关联AP2,并且不AP1去关联后:
认证方式 Open Share-key WPA+PSK
WPA2+PSK WPA+802.1x WPA2+802.1x
4:Radius-Access-Request 5:Radius-Access-Challenge
8:Radius-Access-Request 9:Radius-Access-Accept
12~16步 4步密钥协商 下移至AP
密钥下移后的漫游过程和时间
当终端关联AP2,并且不AP1去关联后:
认证方式
13:计算PTK、Nonce 14:验证PTK、下发当前的GTK
15:确认密钥可用
16:下发PTK、GTK给AP
。。。。。。。。。。 20
直接进入4步 握手过程
快速漫游的业务流程-PMK caching
AC 生成并存储 PMK/PMK ID
AC
Radius Server
7. AC通过PMK ID查找 存储的PMK ID信息, 若存在允许快速漫游
17
密钥下移后,WPA/WPA2+802.1x 漫游时间依然很长,难以忍受!!
如何实现快速漫游
仅针对WPA2+802.1X的安全策略 WLAN设备支持密钥缓存(Key Caching)快速漫游技术 终端支持密钥缓存(Key Caching)快速漫游技术 无需重新完成802.1X认证过程 只需要完成四步密钥交互即可
Old AP
漫游切换到新AP
New AP
STA 生成并缓存 STA
PMK/PMK ID
21
HUAWEI ENTERPRISE ICT SOLUTIONS A BETTER WAY
Copyright©2012 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice.
若终端丌支持主密钥缓存技术,即便WLAN设备支持,该终端也无法快速漫游
19
802.1x快速漫游
终端
AP
1:EAPOL-start 2:EAPOL-Request-Identity 3:EAPOL-Response-Identity
× 6:EAPOL-Request-Method
7:EAPOL-Response-Method
华为WLAN深度资料-无线漫游
Content
1 WLAN漫游介绍 2 二层漫游和三层漫游 3 快速漫游
1
WIFI 漫游的概念
漫游有如下特征:
STA可以在属于同一个ESS内
的WIFI网络中任意移动
比如:客户端可以在SSID为“university”
校园内任意移动。
保证已有的业务丌中断
在漫游的过程中,客户端的业务丌中断。
当终端关联AP2,并且不AP1去关联后:
认证方式 WPA2+802.1x
漫游过程 省略802.1x认证过程,只需四步密钥协商,漫游结束
漫游时间 80ms
漫游类型 快速漫游
PS:WPA的信息元素里面没有定义PMK字段,所以支持丌了快速漫游
18
终端设置快速漫游
大多数WIN7的终端可从无线网络属性中“高级设置”选择“802.11设置”进行配置和查看主密钥缓存参数 (默认是启动状态,无需设置)
What
漫游对业务有何影响?
3
Who
终端触发漫游
信号倒换的阈值—漫游主动性 丌同的终端漫游主动性丌同 在某些终端上,漫游主动性 是可以设置的!!
PS:无线客户端的漫游更多的是取决于客户端驱动程序算法,RSSI、SNR、上一次接入终端等因素都 会带来影响,当然,最主要的因素还是从一台AP到另一台AP的信号强度变化。 (本胶片里漫游触发条件引用信号强度变化做参考)
11
三层漫游—隧道转发
隧道转发模式下的三层漫游,需要 漫游后AC对用户报文打漫游前的 VLAN
1.未漫游前,用户VLAN为1000,当STA 的报文经过AP1时,AP1给用户报文打上 VLAN1000的Tag并迚行隧道封装。在到 达交换机时,由交换机给封装后的报文打 上VLAN900的Tag并转发给AC。到达AC 后,AC去除VLAN900的Tag,并将用户 报文解封装后直接发送至网络侧。
60ms s 70ms 220ms 220ms
优化时间 无法优化 无法优化 优化10ms
优化10ms
优化10ms
优化10ms
漫游类型 非快速漫游
802.1x认证过程繁琐,导致漫游时间过长 为解决这一问题,针对WPA2+802.1x认证引入快速漫游的概念
2.当STA漫游到AP2后,当STA的报文经过 AP2时,AP2给用户报文打上VLAN1001 的Tag并迚行隧道封装。在到达交换机时, 由交换机给封装后的报文打上VLAN901 的Tag并转发给AC,到达AC后,AC去除 VLAN901的Tag,将用户报文解封装,并 将用户报文中的VLAN1001替换为 VLAN1000后发往有线侧。从而使得业务 丌中断。
6:EAPOL-Request-Method 7:EAPOL-Response-Method
10:EAPOL-Success 11:EAPOL-Key 12:EAPOL-Nonce 13:计算PTK、Nonce 14:验证PTK、下发当前的GTK 15:确认密钥可用
。。。。。。。。。。 16
AC
Radius
10:EAPOL-Success
AC
Radius
4:Radius-Access-Request 5:Radius-Access-Challenge
8:Radius-Access-Request 9:Radius-Access-Accept
1~10步 认证过程
11:EAPOL-Key
12:EAPOL-Nonce
终端对目标AP发送关联请求, 并建立关联
终端不原AP去关联 终端对新AP发送认证请求
当终端通过认证后,获取原有IP
地址
AP1信号强度 AP2信号强度
6
Internet
交换机 AP1
A
B
2
1
漫游的轨迹
AC AP2
C
What
一般情况下,各种丌同认证方式的漫游时间是丌同的
OPEN、WEP共享密钥和PSK方式,因为认证的流程很短,漫游的时间也很短,基本 能够满足业务丌中断的需求
用户的标识(IP地址)丌改变
客户端在连接网络初期获得了IP地址,整个
漫游过程IP地址丌改变。
AP1信号强度
AP2信号强度
2
Internet
交换机
信道 1 AP1
A
B
漫游的轨迹
AC 信道 6
AP2 C
终端漫游行为—3W1H
Who
谁发起的漫游?
When
什么时候开始漫游?
How
终端如何漫游?
13:计算PTK、Nonce 14:验证PTK、下发当前的GTK
15:确认密钥可用
16:下发PTK、GTK给AP
。。。。。。。。。。 15
12~16步 4步密钥协商
密钥协商下移—提升漫游速度
终端
AP
1:EAPOL-start 2:EAPOL-Request-Identity 3:EAPOL-Response-Identity
4
When
当信号低于漫游倒换阈值时, 终端进入漫游过程:
发送探测帧 等待相邻AP的回应 对比探测帧的信号强度
Internet
交换机 AP1
AP1信号强度 AP2信号强度
5
A
B
漫游的轨迹
AC AP2
C
How
选择最优信号强度的AP,开
始漫游.
终端停止发送和接收数据,并缓
存数据
1. STA1通过AP1上线,此时STA1的用户 VLAN为VLAN1000。 2. AC在用户漫游过程中下发用户VLAN给 AP,同时AP根据用户打上用户VLAN的 Tag。 3.当STA1漫游到AP2后,为了保证业务丌 中断,当用户报文上传到AP2时,AP2给 用户报文打上漫游前的VLAN1000的Tag 发往上层网络。而对于AP2下的未漫游用 户STA2,则AP2仍然打上用户VLAN 1001发往上层网络。 (STA的信息在漫游过程中,会由AC通知 到新关联的AP)
230ms
如何缩短漫游时间,优化用户体验??
14
密钥协商下移技术
密钥下移技术仅仅只针对有密钥交互的认证方式
802.1x认证流程
终端
AP
1:EAPOL-start 2:EAPOL-Request-Identity 3:EAPOL-Response-Identity
6:EAPOL-Request-Method 7:EAPOL-Response-Method
漫游过程
漫游时间
Open
漫游结束
50ms
Share-key WPA+PSK WPA2+PSK WPA+802.1x WPA2+802.1x
还需完成预置密钥认证流程后,漫游结束
还需完成四步密钥协商后(密钥下移), 漫游结束
还需完成四步密钥协商后(密钥下移), 漫游结束
还需完成802.1x认证过程+四步密钥协商(密钥 下移),漫游结束
AC
SSID:HUAWEI-WLAN VLAN:100
IP:10.1.100.0/24
AP1
SSID:HUAWEI-WLAN VLAN:200 IP:10.1.200.0/24
AP2
漫游的终端 IP:10.1.100.100/24
10
三层漫游—直接转发
本地转发模式下的三层漫游,需要 漫游后AP2对用户报文打漫游前的 VLAN,同时交换机需要允许这个 VLAN接入
10:EAPOL-Success
省略该认证 过程
AC
Radius
4:Radius-Access-Request 5:Radius-Access-Challenge
8:Radius-Access-Request 9:Radius-Access-Accept
11:EAPOL-Key
12:EAPOL-Nonce
AC
SSID:HUAWEI-WLAN VLAN:100
IP:10.1.100.0/24
AP1
SSID:HUAWEI-WLAN VLAN:100 IP:10.1.100.0/24
AP2
漫游的终端 IP:10.1.100.100/24
9
三层漫游
Internet
交换机
AP在丌同的VLAN内 用户漫游时,依旧保持用户的VLAN为初始VLAN
漫游过程 漫游结束 还需完成预置密钥认证流程后,漫游结束 还需完成四步密钥协商后,漫游结束
还需完成四步密钥协商后,漫游结束 还需完成802.1x认证过程+四步密钥协商,漫游结束 还需完成802.1x认证过程+四步密钥协商,漫游结束
漫游时间 漫游类型
50ms
60ms
80ms 80ms
非快速漫游
230ms
802.1x认证,由于认证过程较长,导致漫游时间大于200ms,对于实时性要求较高 的业务,如语音业务等影响较大。
为解决802.1x方式漫游时间较长的问题,引入了快速漫游技术
7
Content
1 WLAN漫游介绍 2 二层漫游和三层漫游 3 快速漫游
8
二层漫游
Internet
交换机
多个AP连接在同一个VLAN内 STA在丌同的AP间切换时始终在一个VLAN子网内
(STA的信息在漫游过程中,由AC收集并
转发)
12
Content
1 WLAN漫游介绍 2 二层漫游和三层漫游 3 快速漫游
13
丌同认证下的漫游过程和时间
当终端关联AP2,并且不AP1去关联后:
认证方式 Open Share-key WPA+PSK
WPA2+PSK WPA+802.1x WPA2+802.1x
4:Radius-Access-Request 5:Radius-Access-Challenge
8:Radius-Access-Request 9:Radius-Access-Accept
12~16步 4步密钥协商 下移至AP
密钥下移后的漫游过程和时间
当终端关联AP2,并且不AP1去关联后:
认证方式
13:计算PTK、Nonce 14:验证PTK、下发当前的GTK
15:确认密钥可用
16:下发PTK、GTK给AP
。。。。。。。。。。 20
直接进入4步 握手过程
快速漫游的业务流程-PMK caching
AC 生成并存储 PMK/PMK ID
AC
Radius Server
7. AC通过PMK ID查找 存储的PMK ID信息, 若存在允许快速漫游
17
密钥下移后,WPA/WPA2+802.1x 漫游时间依然很长,难以忍受!!
如何实现快速漫游
仅针对WPA2+802.1X的安全策略 WLAN设备支持密钥缓存(Key Caching)快速漫游技术 终端支持密钥缓存(Key Caching)快速漫游技术 无需重新完成802.1X认证过程 只需要完成四步密钥交互即可
Old AP
漫游切换到新AP
New AP
STA 生成并缓存 STA
PMK/PMK ID
21
HUAWEI ENTERPRISE ICT SOLUTIONS A BETTER WAY
Copyright©2012 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice.
若终端丌支持主密钥缓存技术,即便WLAN设备支持,该终端也无法快速漫游
19
802.1x快速漫游
终端
AP
1:EAPOL-start 2:EAPOL-Request-Identity 3:EAPOL-Response-Identity
× 6:EAPOL-Request-Method
7:EAPOL-Response-Method
华为WLAN深度资料-无线漫游
Content
1 WLAN漫游介绍 2 二层漫游和三层漫游 3 快速漫游
1
WIFI 漫游的概念
漫游有如下特征:
STA可以在属于同一个ESS内
的WIFI网络中任意移动
比如:客户端可以在SSID为“university”
校园内任意移动。
保证已有的业务丌中断
在漫游的过程中,客户端的业务丌中断。
当终端关联AP2,并且不AP1去关联后:
认证方式 WPA2+802.1x
漫游过程 省略802.1x认证过程,只需四步密钥协商,漫游结束
漫游时间 80ms
漫游类型 快速漫游
PS:WPA的信息元素里面没有定义PMK字段,所以支持丌了快速漫游
18
终端设置快速漫游
大多数WIN7的终端可从无线网络属性中“高级设置”选择“802.11设置”进行配置和查看主密钥缓存参数 (默认是启动状态,无需设置)
What
漫游对业务有何影响?
3
Who
终端触发漫游
信号倒换的阈值—漫游主动性 丌同的终端漫游主动性丌同 在某些终端上,漫游主动性 是可以设置的!!
PS:无线客户端的漫游更多的是取决于客户端驱动程序算法,RSSI、SNR、上一次接入终端等因素都 会带来影响,当然,最主要的因素还是从一台AP到另一台AP的信号强度变化。 (本胶片里漫游触发条件引用信号强度变化做参考)
11
三层漫游—隧道转发
隧道转发模式下的三层漫游,需要 漫游后AC对用户报文打漫游前的 VLAN
1.未漫游前,用户VLAN为1000,当STA 的报文经过AP1时,AP1给用户报文打上 VLAN1000的Tag并迚行隧道封装。在到 达交换机时,由交换机给封装后的报文打 上VLAN900的Tag并转发给AC。到达AC 后,AC去除VLAN900的Tag,并将用户 报文解封装后直接发送至网络侧。