无线/移动 : "无线, LAN (WLAN)"

无线域服务常见问题

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 20 日) | 反馈


目录


简介

本文档提供有关 Wireless Domain Services (WDS) 最常见问题 (FAQ) 的信息。

Q. 何谓 WDS?

A. WDS 是 Cisco Structured Wireless Aware Network (SWAN) 的一部分。WDS是思科IOSï ¿ Â提高WLAN客户端移动性的½软件功能的一集,并且简化WLAN部署和管理。WDS 是 Cisco IOS 软件中的一个新接入点 (AP) 功能,也是 Cisco Catalyst 6500 系列无线局域网服务模块 (WLSM) 的基础。WDS 是支持其他功能的核心功能,这些其他功能包括:

  • 快速安全漫游 (FSR)

  • 无线局域网解决方案引擎 (WLSE) 交互

  • 无线电管理 (RM)

在操作任何其他基于 WDS 的功能之前,必须先在参与 WDS 的 AP 与配置为 WDS 的设备之间建立关系。WDS 的主要用途之一是在身份验证服务器首次对客户端进行身份验证时对用户凭证进行缓存。在随后的尝试中,WDS 基于缓存的信息对客户端进行身份验证。

Q. 如何将 AP 配置为 WDS?

A. 有关如何将 AP 配置为 WDS 的信息,请参阅 Wireless Domain Services 配置

Q. Cisco Structured Wireless-Aware Network (SWAN) WDS 在什么平台上运行?

A. SWAN WDS 可在 Cisco Aironet AP、Cisco Catalyst 交换机或 Cisco 路由器上运行。以下是当前支持 SWAN WDS 的平台的列表:

  • Aironet 1230 AG 系列 AP

  • Aironet 1240AG 系列 AP

  • Aironet 1200 系列 AP

  • Aironet 1130 AG 系列 AP

  • Aironet 1100 系列 AP

  • Catalyst 6500 系列无线局域网服务模块 (WLSM)

  • Cisco 3800、3700 系列集成多业务路由器 (ISR) 以及运行 Cisco IOS 版本 12.3(11)T 或更高版本的某些型号的 2800 和 2600 系列 ISR。

Q. 基于 AP 的 WDS 与基于交换机的 WDS 相比有什么区别?

A. 使用基于 AP 的 WDS 时,Cisco SWAN 支持:

  • 第 2 层 (L2) 快速安全漫游 (FSR)

  • 可扩展无线局域网 (WLAN) 管理

  • 高级无线电管理 (RM) 功能

  • 增强的无线安全性

使用基于交换机的 WDS 时,SWAN 支持:

  • L2/第 3 层 (L3) FSR

  • 高级 RM 功能

  • 端到端安全性

  • 园区 WLAN 部署中的端到端服务质量 (QoS)。

Q. 如何为当前无线 LAN (WLAN) 网络设置 WDS?

A. 为了设置 WDS,必须将一个 AP 或无线局域网服务模块 (WLSM) 指定为 WDS。WDS AP 必须通过使用 WDS 用户名和口令进行的身份验证来建立与身份验证服务器的关系。身份验证服务器可以是外部 Remote Authentication Dial-In User Service (RADIUS) 服务器,也可以是 WDS AP 中的本地 RADIUS 服务器功能。WLSM 必须与身份验证服务器之间存在关系,即使 WLSM 不需要向该服务器进行身份验证。

Q. WDS 设备在无线 LAN (WLAN) 网络中的作用是什么?

A. WDS 设备在 WLAN 中执行以下任务:

  • 通告 WDS 功能并参与为 WLAN 选择最佳 WDS 设备。

    在为 WDS 配置 WLAN 时,需要将一个设备设置为主要 WDS 候选,并将一个或多个其他设备设置为备份 WDS 候选。如果主要 WDS 设备脱机,则某个备份 WDS 设备接替该主要设备。

  • 对子网中的所有 AP 进行身份验证,并与每个 AP 建立安全通信信道。

  • 从子网中的 AP 收集无线电数据,汇聚这些数据,然后将数据转发到网络中的无线局域网解决方案引擎 (WLSE) 设备。

  • 注册子网中的所有客户端设备,为客户端设备建立会话密钥,并缓存客户端安全凭证。

    当客户端漫游至另一个 AP 时,WDS 设备会将该客户端的安全凭证转发给新的 AP。

Q. WLAN 中的 WDS 与基础架构 AP 如何相互通信?

A. WDS 与基础架构 AP 通过名为无线局域网上下文控制协议 (WLCCP) 的组播协议进行通信。不能对这些组播消息进行路由。因此,WDS 与关联的基础架构 AP 必须在同一个 IP 子网中,并且位于同一个 LAN 网段上。在 WDS 与无线局域网解决方案引擎 (WLSE) 之间,WLCCP 在端口 2887 上使用传输控制协议 (TCP) 和 User Datagram Protocol (UDP)。当 WDS 和 WLSE 位于不同的子网上时,不会发生使用网络地址转换 (NAT) 之类协议的数据包转换。

Q. 能否将 1300 AP/Bridge 配置为 WDS 主设备?

A. 您不能将 Cisco Aironet 1300 AP/Bridge 配置为 WDS 主设备。1300 AP/Bridge 不支持此功能。1300 AP/Bridge 可以加入将某些其他 AP 或 WLSM 作为 WDS 主设备的 WDS 网络。

Q. 一个 WDS 可管理多少个基础架构 AP?

A. 无线电接口禁用后,一个 WDS AP 可支持最多 60 个基础架构 AP。如果充当 WDS AP 的 AP 也接受客户端关联,则数量下降到 30。

配备无线局域网服务模块 (WLSM) 的交换机支持最多 300 个 AP。

Q. 什么是快速安全漫游 (FSR)?

A. FSR 是 WDS 提供功能之一。Cisco Aironet 1200 和 1100 系列 AP 与 Cisco 客户端设备或 Cisco 兼容客户端设备一起支持 FSR。通过 FSR,已经过身份验证的客户端设备可以安全地在第 2 层 (L2) 从一个 AP 漫游到另一个 AP,在重新关联期间不会有任何明显延迟。FSR 支持对延迟敏感的应用,例如:

  • 无线 IP 语音 (VoIP)

  • 企业资源规划 (ERP)

  • 基于 Citrix 的解决方案

WDS 向 AP 提供快速、安全的移交服务,而不会丢失连接。这些服务针对要求漫游时间小于 150 毫秒的应用,如语音应用。

Q. 什么是第 3 层 (L3) 漫游?

A. 通过第 2 层 (L2) 漫游,无线客户端可在属于有线端同一子网上的两个 AP 间漫游。基于 AP 的 WDS 提供了此功能。使用基于 AP 的 WDS 时,您必须将 AP 配置到同一个 VLAN 中。

而通过 L3 漫游,无线客户端可在分别位于两个不同子网中的两个 AP 之间漫游。因此,客户端可在有线端的两个不同 VLAN 之间漫游。这样就无需创建基于 AP 的 WDS 所创建的跨整个园区的 VLAN。为了在位于不同 L3 子网上的 AP 间漫游,客户端设备使用多点通用路由封装 (mGRE) 隧道。漫游客户端无需更改 IP 地址即可与网络保持连接。

Q. 无线局域网解决方案引擎 (WLSE) 在启用了 WDS 的无线 LAN (WLAN) 网络中起什么作用?

A. AP 以及 Cisco 客户端设备或 Cisco 兼容客户端设备获取单个子网中的 Radio Frequency (RF) 测量值。Cisco SWAN WDS 汇聚这些测量值,并将其转发给 CiscoWorks WLSE 进行分析。以这些测量值为基础,CiscoWorks WLSE 可以:

  • 检测非法 AP 以及来自其他设备的干扰。

    注意: WLSE 中可显示的最大非法 AP 数量是 5000。如果 WLSE 达到了此非法 AP 限制,则显示错误消息 Limit of Infrastructure/Ad-hoc rogues tracking。在这种情况下,若要从 WLSE 中删除这些非法接入点,请转至 IDS > Manage Rogues,选择 Select *ALL* *& Delete 选项以删除这些非法接入点。

    如果环境中的未知(非法接入点)无线电计数超过 5000,您会再次达到此数量,并且会显示同样的警告消息。克服此问题的唯一方法是管理这些无线电,或者将它们标记为友好。

  • 提供辅助现场勘测

  • 支持 WLAN 自愈以实现最佳信道级和功率级设置

Q. 在无线 LAN 服务模块 (WLSM) 中使用 WDS 有什么优点?

A. 基于交换机的 WDS 以及 WLSM 的引入可促进第 3 层 (L3) 快速安全漫游 (FSR),并在园区中提供具有极高可扩展性的 L3 移动性解决方案。基于交换机的 WDS 将 WLSM 刀片中的 WDS 功能集中在中央交换机中,提供了以下优点:

  • 提高了 WDS 可扩展性 - 可扩展性将园区无线 LAN (WLAN) 网络中的 AP 数量提高到 300,用户数量提高到 6000。

  • 简化了设计和实施 - 没有 VLAN 跨整个园区网络。使用多点通用路由封装 (mGRE) 体系结构后,无需更改当前网络有线基础架构。

  • 大型 WLAN 部署的可管理性 - 此解决方案为进入到要应用安全策略和服务质量 (QoS) 策略的有线网络中的 WLAN 控制和用户数据提供了单一入口点。

  • 楼层间以及跨多座建筑物的 L3 移动性

  • 能够使用 Cisco Catalyst 6500(包括其他 Catalyst 6500 服务模块)上的高级功能

  • 通过与 Catalyst 6500 平台的集成增强端到端安全性和 QoS

Q. WDS 的无线电管理 (RM) 功能是什么?

A. 启用了 WDS 的 AP 还可充当来自其他 AP 的 Radio Frequency (RF) 统计数据的汇聚路由器。启用了 WDS 的 AP 将这些统计数据传递给无线局域网解决方案引擎 (WLSE),以找到非法 AP。通过 RF 监控器,WLSE 可以创建无线覆盖图。WLSE 还使用当前 AP 来执行现场勘测,并确定无覆盖区域。您可以将楼层规划图导入到软件中,以便轻松找出需要额外 AP 的区域。

Q. 在 AP 扫描空中/Radio Frequency (RF) 环境时,Cisco Aironet AP 能否支持客户端?

A. 可以,Cisco AP 是多功能的。Cisco AP 既服务于客户端,也可监视空中/RF。始终建议将较少的客户端与配置为 WDS 的 AP 相关联。

Q. WDS 能否执行记帐功能?

A. 不能。WDS 可以执行身份验证,但是没有记帐功能。记帐完全独立的,您需要有 RADIUS 服务器才能执行此功能。

Q. 为了设置带 CCKM 的 WDS,支持哪些密码套件?可扩展身份验证协议/通过安全隧道的灵活身份验证 (EAP-FAST) 是否与 Cisco CKM 兼容?我应使用什么组合?

A. 为了使用 Cisco CKM,您需要使用密码套件。CCKM 支持以下密码套件组合。

  • 加密模式密码 wep128

  • 加密模式密码 wep40

  • 加密模式密码 ckip

  • 加密模式密码 ckip-cmic

  • 加密模式密码 cmic

  • 加密模式密码 tkip

Cisco Aironet 350 卡支持 EAP-FAST/Cisco CKM,Aironet CB21AG 卡很快也会支持。下面是用于启用密码的命令:

encryption vlan 1 mode ciphers tkip wep128
	 

EAP-FAST 不使用您设置的 WEP 密钥。EAP-FAST 使用动态密钥。

Q. authentication key-management cckm optional 命令对检查快速漫游的 Aironet 客户端与不检查快速漫游的 Aironet 客户端是否都起作用?

A. 如果将 Cisco 集中密钥管理 (CKM) 设置为可选,则该设置对检查快速漫游与不检查快速漫游的 Aironet 客户端都起作用。

Q. WLSM 将用户凭证缓存多长时间?

A. 缓存时间可能取决于客户端类型。在 AP 与移动节点 (MN) 之间存在保活,这取决于 AP 配置以及客户端类型。如果是 Cisco 客户端,则 AP 会迅速检测到该客户端不存在,并保留其关联列表。一旦发生这种情况,客户端就会在断开状态下在 WDS 的 MN 列表中停留约 10 分钟。

如果是第三方客户端,则 AP 上的保活超时可能很长,可长达 30 分钟。

基本上,如果在 10 分钟内在任何 AP 的 dot11 关联表中都没有此 Cisco 客户端,则需要进行重新身份验证,这意味着要将其发送给身份验证服务器,而不是基于缓存的用户发送给基础架构 AP。如果在 10 分钟到 30 分钟之间,非 Cisco 客户端不在任何 AP 的 dot11 关联表中,则也需要进行重新身份验证。

Q. 能否在基于 AP 的 WDS 中设置 60 个以上的 AP?

A. 不要在一个 WDS 主控中使用 60 个以上 AP。如果超过 60 个 AP,则您可能会遇到 CPU 使用率问题。可以有多个 WDS 主设备,但是它们需要位于不同的子网中。例如:

  • 10.10.10.10 上有一个 WDS 主设备和 30 个 AP

  • 10.10.20.20 上有另一个 WDS 主设备和 30 个 AP

在这种情况下,问题是您无法在 WDS 域之间快速漫游。

Q. 我可以有多少个 WDS 备份候选?WDS 备份候选是否仍可作为 WDS 中的 AP 并向主 WDS 报告信息?

A. WDS 备份候选的数量没有限制。可以,备份候选仍可作为向 WDS 主设备报告的 AP。此外,只有主 WDS AP 才会建立 WLSE 安全密钥并向 WLSE 注册,以便与 WLSE 交互。只有在主 WDS 出现故障时,备份 WDS 才会充当活动 WDS AP 的角色,并继续向 WLSE 注册和建立安全密钥。只要主 WDS 处于活动状态,备份 WDS 就会作为向 WDS 主设备报告的正常 AP。

Q. 如果我有三个 WDS AP,并且全都出现故障,那么故障是只影响 WDS 信息,还是影响所有 AP 和客户端?换句话说,WDS 是否是无线网络的故障点?

A. 如果 WDS 主设备出现故障,则所有 AP 也都会出现故障。但是,如果 AP 具有其独立正常运行所必需的所有配置,则当 WDS 设备出现故障时,AP 会在没有 WDS 的情况下仍开始工作。

Q. 在一个子网上,我有一个优先级配置为 200 的 WDS 和一个优先级配置为 100 的 WDS。如果优先级为 200 的 WDS 主设备出现故障,那么优先级为 100 的 WDS 是否会成为该子网上的主设备?

A. 在这种情况下,如果优先级为 100 的 WDS 位于同一个子网上,则该 WDS 将成为主设备。如果此 WDS 位于另一个子网上,则它不会成为主设备。

Q. 当无线局域网解决方案引擎 (WLSE) 未就位时,Cisco 1200 AP 中的 show iapp rogue-ap-list 命令是否会提供有用信息?

A. 不会,此命令只与 WLSE 一起使用,并且只有在您使用 WLSE 中的位置管理器时才起作用。

Q. 我有一台为 WDS 配置的 Cisco AP1200。该 AP 挂起,直到我执行重新通电,它才在控制台或 Telnet 上产生响应。但是,AP 未崩溃。为什么会发生这种情况?

A. 此问题的发生是由于 Cisco Bug ID CSCsc01706 (仅限注册用户)。 只有在多个无线客户端尝试关联或漫游时,此问题才会在 WDS AP 上发生。此问题始见于 Cisco IOS 软件版本 12.3(4)JA,但是大部分问题是在 Cisco IOS 软件版本 12.3(7)JA 中报告的。发出有关 MAC 欺骗事件的 Simple Network Management Protocol (SNMP) 查询的无线局域网解决方案引擎 (WLSE) 会触发此问题。WDS AP 记录至少两个 AP 上的大量 MAC 欺骗事件。为了解决此问题,必须将软件升级到 Cisco IOS 软件版本 12.3(8)JA 或更改版本。

Q. 中继器 AP 能否支持 WDS?

A. 中继器接入点不支持 WDS。请勿将中继器接入点配置为 WDS 候选,也不要将 WDS 接入点配置为在发生以太网故障时退回到中继器模式。

Q. 350 系列 AP 能否配置为 WDS 接入点?

A. 不能将 350 系列接入点配置为 WDS 接入点。但是,您可以将 350 系列接入点配置为使用 WDS 接入点。


相关信息


Document ID: 65346