编辑: 于世美 | 2013-04-25 |
2 先决条件
2 要求.2 使用的组件.2 什么是工作组网桥(WORK GROUP BRIDGE)2 使用场景
3 漫游.4 漫游的要素.4 配置安全策略.5 配置 WPA2-PSK.5 配置 WPA2 与802.1X
6 配置 WPA2 与CCKM
7 验证所使用的方法.7 配置漫游
8 数据包重传.8 监测 RSSI.8 最小数据速率.9 扫描信道.10 配置定时器.10 其他 WGB 优化配置.11 无线电相关.11 日志相关.12 管理帧保护(MFP)的使用.12 WGB 和EAP-TLS 以及 时钟保存时间间隔
12 完全配置示例.13 调试分析
15 介绍 思科工作组网桥(WGB)对于无线网络设计和部署是非常有用的工具,因为它允许非无线 设备获得移动性.WGB 提供了许多漫游、安全接入等配置细节,根据您的具体需求,它将 影响部署的方案. 在代码版本 12.4(25D)JA 和更高版本,思科推出了一套命令和变化,以优化高速漫游环境 下WGB 的使用. 本文档介绍了 WGB 如何工作,包括漫游算法的决策点,以及针对不同的用途模型如何配置 它. 先决条件 要求 思科建议您具备下面这些知识: * 思科无线局域网解决方案 * 思科工作组网桥 使用的组件 本文件并不限于特定的软件和硬件版本. 本文档中的资料是从一个特定实验室环境中的设备上生成的. 本文档中使用的所有设备以缺 省(默认)配置开始配置.如果您的网络是正在使用的生产系统,请确保您了解所有命令带 来的潜在影响. 什么是工作组网桥(Work Group Bridge)? WGB 基本上是一个无线接入点以无线客户端的行为关联基础设施并为第
2 层连接的设备提 供以太网连接. 典型的 WGB 部署需要下面这些组件: * WGB 设备通常至少有一个无线电模块和一个以太网接口 * 无线网络基础设施通常被称为根无线接入点, 它可以是自治型无线接入点或者被无线控制 器管理的无线接入点. * 一个或多个有线客户端设备可以连接到 WGB.本文档不包括混合部署的情况(例如同一 双频无线接入点,一个无线电模块作为 WGB,另一个无线电模块作为根无线接入点使用) . WGB 主要有三种类型: * 思科 WGB:任何基于 Cisco IOS?操作系统的自治型无线接入点都可以配置为思科 WGB. 这种模式使用 IAPP 协议将 WGB 以太网接口上学习的信息通知到网络基础设施. 在这种情况 下,无线控制器或根无线接入点就会具备对 WGB
2 层连接设备的可见性. * 非思科WGB: 第三方设备配置作为WGB将一个或多个有线设备连接到无线网络基础设施. 这些 WGB 不支持 IAPP,它们或者只允许一个单一的有线设备,或者提供 MAC 地址转换机 制,将所有有线客户端隐藏在一个单一的 802.11 MAC 地址后面.这些类型的设备都需要对 地址解析协议(ARP)和DHCP 帧的特殊处理,如果无线网络基础设施是无线控制器,由于 无线控制器上需要进行安全检查和帧处理,所以需要对这些 WGB 单独配置. * 思科无线接入点配置为 通用 WGB (uWGB)模式:此模式不需要 IAPP 的通告机制,所 以该模式 WGB 可以连接思科无线网络基础设施或第三方无线接入点使用.在这种情况下, WGB 将使用其以太网客户端的地址,这限制了 WGB 背后的设备数量为一个. 下一节我们侧重于在配合自治型无线接入点或无线控制器这些网络基础设施工作的情况下 如何配置和优化思科 WGB 的工作行为. 使用场景 使用 WGB 的典型例子包括: * 连接有线网络打印机 * 不可能铺设电缆连接有线设备的生产环境部署 * 车辆内部署,WGB 提供车地连接 * 有线摄像机 每个例子有对应的要求: * 支持无线基础设施上运行的应用程序所需的带宽 * 漫游延迟容忍 - WGB 从当前无线接入点漫游到下一个无线接入点需要多长时间? * 转发时间容忍 - 每次漫游有多少帧丢失? 打印机安装后就不会移动,所以漫游的要求较低.另一方面列车安装 WGB 就需要对漫游的 组成部分微调,以确保正确的漫游行为. 视频流对带宽要求高,因此,它需要无线数据传输速率高.然而,遥测技术的应用可能只需 要每秒发送几个数据帧. 重要的是从一开始就正确定义需求,因为他们不仅会影响到如何配置 WGB,也会影响如何 对无线网络基础设施进行设计.例如,无线接入点的部署位置、距离、发射功率水平、数据 速率启用等,这都会影响漫游特性.因此如果需要高速漫游,上述所有的关键点都必须得到 保证. 在一般情况下,你必须知道下列这些细节: * 什么是应用程序所需的带宽? * 什么是漫游延迟容忍? * 网络断开时如何妥善处理应用?有额外的备份机制吗? * 应用程序是否可以正确处理丢包? (即使基于最佳的无线设计, 你也必须考虑到丢包的百 分比. ) 本文档不讨论如何设计一个高速漫游/室外射频环境的细节. 漫游 对于无线设备,漫游是其非常关键的一部分功能.基本上,漫游是指客户端从一个无线接入 点转换到另一个无线接入点,两个无线接入点都属于相同的无线网络基础设施. 因为漫游需要从当前无线接入点的连接发生变化, 因此会导致断线或没有服务的时间. 这断 线的可能非常小.例如,如果需要强制执行的安全策略对每次漫游事件充分验证,那么语音 部署会有小于 200ms 或更长时间的无服务时间. 漫游时客户端需要找到一个新的更好信号的父节点使其可以继续正常访问网络基础设施. 在 同一时间, 太多的漫游可能会导致服务中断从而影响访问. WGB 作为一个重要的移动设备, 需要有足够的配置能力和良好的漫游算法以适应不同的射频环境和数据需求. 漫游的要素 * 触发器:每个客户端实现都会有一个或多个触发器导致设备移动到另一个父无线接入点. 例如:信标丢失(设备没有听到定期从无线接入点发出的信标) ,数据重传,信号水平,没 有收到的数据,接收到取消认证(deauthentication)帧,使用低数据传输速率等.可能的触 发条件因不同的客户端而实现不同,因为漫游算法没有被 802.11 完全标准化.简单的设备 实现可能只使用一个简单的触发设置,从而导致不良的(粘性客户端)或不必要的漫游. WGB 支持前述所有触发器元素. * 扫描时间:无线装置(WGB)花费一些时间寻找潜在的父节点.这通常意味着 WGB 要在 不同的信道进行主动探测或被动地侦听.由于要进行无线电扫描,这意味着 WGB 花费时间 做别的事情而无法进行数据转发.在此扫描时间内,WGB 可以建立一个有效的可漫游到的 父节点列表. * 父节点的选择:WGB 扫描后可以检查潜在的父节点,选择最好的一个并触发关联/认证过 程.有时候,WGB 的决定是保持当前的连接而不漫游(记住漫游太多也不好) . * 关联/验证:WGB 关联到新的无线接入点,通常涵盖 802.11 认证和关联阶段,再加上完成 SSID 安全政策(WPA-PSK、CCKM 或开放等)的执行. * 流量转发还原:WGB 在漫游后通过 IAPP 更新其有线客户端到无线网络基础设施.完成这 一点后,网络恢复到/从有线客户端的流量转发. 配置安全策略 漫游移动设备上一个重要的方面是将要实施的安全政策是什么.安全策略选项包括: * 开放 - 基本上没有安全保障. 这是所有政策中最快最简单的. 它不限制未经授权的访问, 无法保证网络基础设施免受攻击,这就限制了它的使用. * MAC 地址认证 C 与开放策略基本相同的安全水平, 因为 MAC 地址欺骗是一个非常常见的 攻击.不推荐使用,且由于需要时间才能完成 MAC 地址验证,这将减缓漫游过程. * WPA2-PSK ........