Беспроводные сети : Cisco Aironet серии 1130 AG

Роуминг WGB: внутренние подробные данные и конфигурация

21 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (20 декабря 2015) | Отзыв


Содержание


Введение

Мост Рабочей группы Cisco (WGB) очень полезный инструмент для дизайна и развертываний беспроводной сети, потому что это позволяет небеспроводным устройствам получать мобильность. WGB предоставляет много подробной информации о роуминге, безопасности доступа, и т.д., которые влияют на сценарии развертывания в зависимости от ваших потребностей.

В версиях кода 12.4 (25d) JA и позже, Cisco представила ряд команд и изменений для оптимизации использования WGB на высокоскоростных средах роуминга.

Этот документ покрывает различные аспекты того, как WGB работает, включая бродящие точки принятия решения алгоритма, и как настроить его для модели предполагаемого использования.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Решение для беспроводной сети LAN Cisco

  • Мост рабочей группы Cisco

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Что такое Мост подключения для рабочих групп?

WGB является в основном точкой доступа (AP), настроенной, чтобы действовать как беспроводной клиент к инфраструктуре и предоставить подключение Уровня 2 для устройств, связанных с его интерфейсом Ethernet.

Типичные развертывания WGB имеют эти компоненты:

  • Устройство WGB, обычно по крайней мере с одним радио и одним интерфейсом Ethernet

  • Беспроводная инфраструктура, обычно названная корневой точкой доступа, которая может быть или Автономна или Унифицирована.

  • Один или более проводные устройства клиента соединился с WGB. Этот документ не покрывает смешанные сценарии роли (одно радио как WGB, одно радио как root на том же AP).

Существует три основных типа WGB:

  • WGB Cisco: WGB Cisco является любая Cisco IOS� - основанный AP, настроенный как WGB (1130, 1240, 1250, и т.д.). Этот режим использует протокол IAPP, чтобы сообщить инфраструктуре сети устройств, что WGB учился на его Интерфейсе Ethernet. В этом случае Контроллер беспроводной локальной сети (WLC) или корневая точка доступа имеют видимость Уровня 2 устройств, "зависающих" от WGB.

  • Non WGB Cisco: Это - устройство стороннего производителя, действующее как WGB, подключая одно или более подключенных устройств с беспроводной инфраструктурой. Они не поддерживают IAPP, и или позволяют только одиночное подключенное устройство или предоставляют механизм трансляции MAC-адреса, скрывая всех их проводных клиентов позади одиночного MAC-адреса 802.11. Если инфраструктура является WLC из-за проверок безопасности и обработки кадра, сделанной на контроллерах, этим типам устройств нужна специальная обработка на Протоколе ARP и кадрах DHCP.

  • AP Cisco, настроенный как "Универсальный WGB": Это - режим, который подавляет механизм IAPP, таким образом, WGB может использоваться к a или инфраструктура Cisco или AP root третьей стороны. В этом случае WGB берет адрес своего клиента Ethernet, ограничивая количество устройств позади него одному.

Следующий раздел фокусируется на сценарии WGB Cisco, используемого или к автономному или к инфраструктуре WLC.

Сценарии использования

Типичные примеры использования WGB включают:

  • Соединение проводного принтера к сети

  • Другие производственные развертывания, где это не выполнимо или практично для выполнения кабеля к подключенному устройству

  • Развертывания в механизме, где WGB предоставляет подключение от car, серии метро, и т.д., к беспроводной сети для разверывания вне зданий

  • Проводные камеры

Каждый пример имеет свои собственные требования на условиях:

  • Пропускная способность должна была поддержать приложение, которое будет работать поверх беспроводной инфраструктуры

  • Роуминг по допустимой задержке - Сколько времени это берет для WGB для перемещения от текущего AP до затем того, в то время как перемещается устройство?

  • Допуск времени переадресации - Сколько кадров потеряно на каждом роуминге?

Принтер не перемещается очень, таким образом, требования роуминга ниже. Серия установила WGB, с другой стороны, точную настройку потребностей на бродящем компоненте для обеспечения правильного поведения, в то время как это перемещается.

Видеопоток может иметь большие требования пропускной способности, таким образом, ему нужны высокие скорости беспроводных данных. Однако телеметрическому приложению, возможно, только время от времени понадобились бы несколько кадров.

Важно, чтобы требования были должным образом определены с начала, поскольку они влияют не только на конфигурацию WGB, но также и как должна быть разработана беспроводная инфраструктура. Например, размещение точек доступа, расстояние, уровни мощности, включило скорости, и т.д., все характеристики роуминга влияния. Если высокоскоростной роуминг необходим, Поэтому все - критический момент.

В целом необходимо знать эти подробные данные:

  • Какова необходимая пропускная способность для приложения?

  • Какова бродящая допустимая задержка?

  • Приложение может обработать должным образом сетевые разъединения? Существует ли дополнительный механизм резервного копирования?

  • Приложение может обработать потерю пакета должным образом? (Даже на лучшем беспроводном дизайне, необходимо ожидать процент от потери пакета.)

Этот документ не обращается к подробным данным о том, как разработать среду RF для высокоскоростного роуминга / наружный. См. Наружное руководство Развертывания ячеистой сети.

Роуминг

Для беспроводного устройства роуминг очень критическая часть его функциональности.

В основном роуминг означает возможность пойти от одного AP до другого, обеих принадлежностей той же беспроводной инфраструктуре.

Как бродящие потребности изменение от текущего AP до следующего, существует результирующее разъединение или время без сервиса. Это разъединение может быть маленьким. Например, меньше чем 200 мс на речевых развертываниях или намного дольше, даже секунды, если необходимая безопасность принуждает полную аутентификацию на каждом, перемещаются событие.

Роуминг необходим так, устройство может найти нового родителя с, надо надеяться, лучшим сигналом, и это может продолжить обращаться к инфраструктуре сети должным образом. В то же время слишком многие перемещаются, может вызвать множественные разъединения или время без сервиса, который влияет на доступ. Это важно для мобильного устройства, таково как WGB, которое будет иметь хороший алгоритм роуминга с достаточными возможностями конфигурации адаптироваться к другим средам RF и потребностям данных.

Элементы роуминга

  • Триггеры: Каждая реализация клиента имеет один или несколько триггеров или события, что, когда встречено, заставляет устройство перемещаться в другой родительский AP. Примеры: потеря маяка (устройство больше не слышит обычные сигналы-маяки от AP), packet retries, уровень сигнала, никакие полученные данные, deauthentication кадр полученная, низкая скорость передачи данных в использовании, и т.д. Возможные триггеры могут быть другими от реализации клиента до другого, потому что они не полностью стандартизированы. Более простые устройства могли бы иметь плохой триггерный набор, который вызывает плохо (sticky клиенты), или ненужный перемещается. WGB поддерживает все предыдущие элементы, описанные прежде.

  • Время просмотра: беспроводное устройство (WGB) проводит некоторое время, ища потенциальных родителей. Это обычно подразумевает продолжающиеся другие каналы, делая активное зондирование или пассивно прислушивание к AP. Поскольку радио должно просмотреть, это означает время, когда WGB тратит выполнение чего-то еще другого от данных переадресации. С этого времени просмотра WGB может создать допустимую компанию родителей, которые могут быть перемещены к.

  • Родительский выбор: После времени просмотра WGB может проверить потенциальных родителей, выбрать лучшего и инициировать ассоциацию/процесс проверки подлинности. Иногда, точка принятия решения может быть должна остаться на текущем родителе, если нет значительного преимущества от бродящего события (помните, что роуминг слишком много может быть плохим).

  • Ассоциация/Аутентификация: WGB продолжает связываться к новому AP, который обычно покрывает и аутентификацию 802.11 и фазы ассоциации, плюс завершение политики безопасности, настроенной на SSID (WPA, с 2 PSK, CCKM, Ни один, и т.д.).

  • Восстановление Перенаправления трафика: WGB обновляет инфраструктуру сети своих известных соединенных проводом клиентов посредством обновлений IAPP после роуминга. После этой точки, к/от трафика проводные клиенты к сетевым резюме.

Руководство по конфигурации - Политика безопасности

Один важный аспект для роуминга на мобильных устройствах - то, что является политикой безопасности, которая будет внедрена на инфраструктуре. Существует несколько опций, каждый с хорошими / отрицательными сторонами. Это самые важные:

  • Открытый — В основном никакая безопасность. Это является самым быстрым, и более простым из всей политики. Это имеет основную проблему не ограничения неавторизованный доступа к инфраструктуре и никакой защите от атак, которая ограничивает ее использование очень определенными сценариями. Например, шахты, где никакие внешние атаки не возможно к чистой природе развертываний.

  • Аутентификация с использованием MAC-адреса — В основном тот же уровень безопасности, столь открытый, как спуфинг MAC-адреса является тривиальной атакой. Не рекомендуемый из-за дополнительного времени для завершения проверки MAC, которая замедляет роуминг.

  • PSK WPA2 — Предлагает хороший уровень шифрования (CCMP AES), но защита аутентификации зависит от качества общего ключа. Для измерений безопасности рекомендуется пароль минимальных 12 символов и случайный. Подобный методу предварительного общего ключа, поскольку ключ используется на составных устройствах, если ключ поставился под угрозу, пароль должен модифицироваться через все оборудование. Бродящая скорость приемлема, поскольку она сделана в 6 обменах кадра, и можно вычислить то, что будет верхними/ниже границами времени для нее для завершения, потому что она не включает внешнего оборудования (никакой сервер RADIUS, и т.д.). В целом этот метод является предпочтительным после балансирующихся проблем и преимуществ.

  • WPA2 с 802.1x — Это изменяет к лучшему предыдущий способ при помощи / мандата пользователя для каждого устройства, который может быть индивидуально изменен. Основная проблема - то, что для роуминга, этот метод не работает должным образом, когда устройство перемещается быстро, или необходимы короткие времена роуминга. В целом это использует те же 6 кадров плюс обмен EAP, который может быть между 4 и. Это зависит, на котором тип EAP выбран и размеры сертификата. Обычно, это берет между 10 - 20 кадрами плюс добавленная задержка обработки сервера RADIUS.

  • WPA2+CCKM — Этот механизм предлагает хорошую защиту, использует 802.1x для построения начальной аутентификации, затем делает быстрый обмен всего 2 кадрами на каждом, перемещаются событие. Это предлагает очень быстрое время роуминга. Основная проблема - то, которые в случае отказавшего перемещаются, это возвращается назад на 802.1x. Затем начинает использовать CCKM снова после того, как он аутентифицируется. Если приложение поверх WGB может терпеть случайное длинное время роуминга в случае проблем, это может использоваться в качестве наилучшего варианта по сравнению с PSK.

Этот документ не покрывает не - рекомендуемый технологии, которые имеют проблемы безопасности, такие как LEAP, TKIP WPA, WEP, и т.д.

PSK WPA2 Настройки

На WGB это довольно просто настроить. Вам нужны определение SSID и надлежащее шифрование по радио.

dot11 ssid wgbpsk
vlan 32
authentication open 
authentication key-management wpa version 2
wpa-psk ascii YourReallySecurePSK!
no ids mfp client
 
interface Dot11Radio0
ssid wgbpsk
encryption mode ciphers aes-ccm
station-role workgroup-bridge

Ваше название SSID и предварительный общий ключ должны совпасть с вашей инфраструктурой сети.

WPA2 Настройки с 802.1x

Это в основном создает поверх предыдущего config с добавлением Eap profile и метода аутентификации:

dot11 ssid wlan1
authentication open eap eap 
authentication network-eap eap 
authentication key-management wpa version 2
dot1x credentials wgb
dot1x eap profile eapfast
no ids mfp client
eap profile eapfast 

!--- This covers the EAP method type used on your network.

method fast
!
!     
dot1x credentials wgb 

!--- This is your WGB username/password.

username cisco
password 7 1511021F0725  
 
interface Dot11Radio0
encryption mode ciphers aes-ccm 
ssid wlan1

WPA2 Настройки с CCKM

Только один шаг поверх WPA2 со всего одним незначительным изменением: использование флага CCKM на конфигурации SSID. Это предполагает, что WLAN настроен для CCKM только на стороне WLC:

dot11 ssid wlan1
authentication open eap eap 
authentication network-eap eap 
authentication key-management cckm
dot1x credentials wgb
dot1x eap profile eapfast
no ids mfp client

Проверка метода используется

Быстрая проверка на WGB может сообщить о шифровании и управлении ключами в использовании, например, в CCKM:

wgb-1260#sh dot11 associations al
Address           : 0024.97f2.75a0     Name             : lap1140-etsi-1
IP Address        : 192.168.40.10      Interface        : Dot11Radio 0
Device            : LWAPP-Parent      Software Version : NONE 
CCX Version       : 5                  Client MFP       : Off

State             : EAP-Assoc          Parent           : -                  
SSID              : wlan1                           
VLAN              : 0
Hops to Infra     : 0                  Association Id   : 1
Tunnel Address    : 0.0.0.0
Key Mgmt type     : CCKM               Encryption       : AES-CCMP
 
Current Rate      : m7.-               Capability       : WMM ShortHdr ShortSlot
Supported Rates   : 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7.
Voice Rates       : disabled           Bandwidth        : 20 MHz 
Signal Strength   : -59  dBm           Connected for    : 72 seconds
Signal to Noise   : 41  dB            Activity Timeout : 8 seconds
Power-save        : Off                Last Activity    : 7 seconds ago
Apsd DE AC(s)     : NONE

Packets Input     : 12064              Packets Output   : 136       
Bytes Input       : 2892798            Bytes Output     : 19514     
Duplicates Rcvd   : 87                 Data Retries     : 8         
Decrypt Failed    : 0                  RTS Retries      : 0         
MIC Failed        : 0                  MIC Missing      : 0         
Packets Redirected: 0                  Redirect Filtered: 0 

Роуминг Настройки

На WGB можно модифицировать несколько параметров тот алгоритм роуминга влияния.

Packet retries

По умолчанию WGB повторно передает кадр 64 раза. Если это должным образом не подтверждено (ACK) родителем, это предполагает, что родитель больше не действителен, и запускает процесс просмотра/роуминга. Посмотрите этого как "асинхронный" триггер роуминга, потому что он может быть сделан в любой момент, который отказывает передача.

Команда для настройки этого, идет в интерфейсе dot11, и это выбирает следующие варианты:

packet retries NUM [drop]

Цифра: между 1 и 128, с по умолчанию 64. Большое количество для быстрого триггера роуминга обычно равняется 32. Использование меньшего номера не желательно на большинстве сред RF.

отбрасывание: Когда максимальные числа повторных попыток достигнуты, если не существующий, WGB запускает бродящее событие. Когда подарок, WGB не запускает новый роуминг и использует другие триггеры, такие как потеря маяка и сигнал.

Мониторинг RSSI

Когда сигнал падает ниже ожидаемого уровня, WGB может внедрить упреждающий сигнальный просмотр для текущего родителя и запустить новый процесс роуминга.

Этот процесс берет два параметра:

  • Таймер, который будит процесс проверки каждые X секунды

  • Уровень RSSI, который используется для начала процесса роуминга, если токовый сигнал является ревом он.

Пример:

in d0 
mobile station period 4 threshold 75 

Время не должно быть ниже что, что WGB берет для завершения процесса проверки подлинности для предотвращения "бродящей петли" в некоторых условиях или избегать слишком агрессивного поведения роуминга. В целом это должно быть протестировано для наблюдения то, что размещает потребности приложения.

Для PSK это может быть ниже, чем в основанных методах EAP (типичные 2 и 4 для очень агрессивных приложений).

Уровень RSSI выражен как положительное положительное, невзирая на то, что это - в основном обычное - дБм измерил уровень. Необходимо использовать красивый более высокий номер, чем минимум должен был поддержать скорость передачи данных, работающую должным образом. Например, если ваша желаемая минимальная скорость составляет 6 Мбит/с, пороговый RSSI-87 должен быть достаточным. Для 48 Мбит/с вам нужны-70 дБм и т.д.

Примечание: Эта команда может также инициировать "роуминг изменением скорости передачи данных", которое слишком агрессивно. Это должно быть используемый вместе с минимальной скоростью для хороших результатов.

Минимальная скорость передачи данных

Начиная с 12.4 (25d) JA, Cisco добавила параметр с изменяемой конфигурацией для управления, когда WGB должен инициировать новое событие роуминга, если скорость текущих данных для порождения является ревом данное значение.

Это полезно, чтобы гарантировать, что желаемый нижний предел на скорости поддерживается в порядке для поддержки видео или голосовых приложений.

Прежде чем эта команда была доступна, WGB инициировал роуминг часто, когда скорость, как находили, была ниже, чем предыдущий раз. В основном вовремя X+1, если скорость была ниже, чем предыдущий в X раз, WGB, запустил процесс роуминга. На журналах вы видели бы эти сообщения:

*Mar  1 00:36:43.490: %DOT11-4-UPLINK_DOWN: Interface Dot11Radio1, parent lost: Had to lower data rate

Это слишком агрессивно, и обычно, единственное решение состояло в том, чтобы настроить одиночную скорость передачи данных и в WGB и на родительских AP.

Теперь, рекомендуемый путь состоит в том, чтобы всегда настраивать эту команду, каждый раз, когда используется команда периода мобильной станции:

in d0 
mobile station  minimum-rate 2.0

Если текущая скорость ниже, чем установленное значение, с этим только инициирован новый процесс роуминга. Это уменьшает ненужный роуминг и позволяет поддерживать значение ожидаемого коэффициента.

Примечание: Сообщение "Имело к меньшей скорости передачи данных", как, ожидают, произойдет даже с этим config, просто это теперь нужно только заметить, был ли WGB TX в более низком, чем настроенная скорость, когда было инициировано время проверки периода мобильной станции.

Каналы просмотра

WGB просматривает все "каналы страны" при выполнении бродящего события. Это означает, что в зависимости от радио-домена, можно просмотреть каналы 1 - 11 на полосе на 2.4 ГГц, или 1 - 13.

Каждый просмотренный канал занимает время. На 802.11bg это - приблизительно 10 - 13 мс. Если канал является включенным DFS (так не зондирование, просто делая пассивный просмотр там), на 802.11a, это могут быть до 150 мс.

Хорошая оптимизация должна ограничить просмотренные каналы для использования только тех в обслуживании инфраструктурой. Это особенно важно на 802.11a, поскольку список канала является большим, и время на канал может быть длинным, если используется DFS.

Существует три точки для взятия при разработке плана каналов для WGB/Роуминга:

  • Для полосы на 2.4 ГГц попытайтесь придерживаться 06.01.11 для уменьшения интерференции канала стороны. Любой другой план каналов с 4, и т.д., имеет тенденцию быть трудным инженеру должным образом с точки зрения RF, не увеличивая интерференцию.

  • Использование одноканальной настройки для всех AP является хорошей идеей с точки зрения просмотра. Это только целесообразно, если общее число клиентов для поддержки очень низко, и нет требований высокой пропускной способности. Это устраняет радио-время изменения со времени просмотра. Знайте, что немного сред могут извлечь выгоду из этой опции, таким образом используйте с осторожностью.

  • Для полосы на 5.0 ГГц, если это возможно вашими местными постановлениями, с помощью внутренних каналов не-DFS (36 - 48), позволяет более быстрое время просмотра, поскольку WGB может активно зондировать каждого, вместо того, чтобы делать пассивный прислушивающийся к более длинному времени.

План каналов в использовании для ваших развертываний, возможно, должен был бы принять другие требования. Используйте общие рекомендации по проектированию RF.

Для настройки списка канала просмотра:

in d0 
mobile station scan 1 6 11

Примечание: Мобильная станция только обнаруживается при использовании роли WGB по радио.

Примечание: Удостоверьтесь, что ваш список просмотра WGB совпадает с вашим списком канала инфраструктуры. В противном случае WGB не найдет ваши доступные AP.

Настройте таймеры

Начиная с 12.4 (25a) JA, существует несколько новых команд для оптимизации таймера восстановления, когда проблема найдена, которые только доступны, когда AP находится в режиме WGB.

wgb-1260(config)#workgroup-bridge timeouts ?

  assoc-response  Association Response time-out value
  auth-response   Authentication Response time-out value
  client-add      client-add time-out value
  eap-timeout     EAP Timeout value
  iapp-refresh    IAPP Refresh time-out value

В случае ответа помощника, подлинного ответа, добавляет клиент - они указывают, сколько времени WGB будет ждать родительского AP, чтобы ответить, прежде, чем рассмотреть AP как мертвый и судить следующего кандидата. Значения по умолчанию составляют 5 секунд, который является слишком длинным для некоторых приложений. Минимальный таймер составляет 800 мс и рекомендуется для большинства мобильных приложений.

В таймауте eap WGB заставляет максимальное время ждать, пока не завершен полный процесс Аутентификации eap. Если средство проверки подлинности EAP не огрызается, это работает с точки зрения соискателя EAP для перезапуска процесса. Значение по умолчанию составляет 60 секунд. Старайтесь никогда не настроить значение, которое может быть ниже, чем фактическое время должно было завершить полную аутентификацию 802.1x. Обычно, установка этого к 2 - 4 секундам корректна для большинства развертываний.

Для iapp-обновления WGB по умолчанию генерирует массовое обновление IAPP до родительского AP после роуминга для информирования об известных соединенных проводом клиентах. Существует вторая повторная передача после ассоциации приблизительно 10 секунд спустя. Этот таймер позволяет делать "быструю повторную попытку" объема IAPP после ассоциации для преодоления возможности, что первое обновление IAPP было потеряно из-за RF или ключей шифрования, еще не установленных на родительском AP. Для быстрых сценариев роуминга могут использоваться 100 мс. Однако удостоверьтесь, что существует большое число WGB в использовании. Это увеличивает значительно общее число IAPP, передаваемого инфраструктуре после каждого роуминга.

Пример для агрессивных значений:

workgroup-bridge timeouts eap-timeout 4
workgroup-bridge timeouts iapp-refresh 100
workgroup-bridge timeouts auth-response 800
workgroup-bridge timeouts assoc-response 800
workgroup-bridge timeouts client-add 800

Они были успешно протестированы на мобильных сценариях развертывания WGB.

Другая оптимизация WGB

Существуют другие незначительные изменения для учета для сценариев развертывания WGB:

Связанное радио

  • Уменьшите повторные попытки сигнала RTS - сигнал RTS повторяет 32. Это может сэкономить некоторое время RF на агрессивных сценариях. Обычно это не необходимо.

  • Тип антенны: При использовании одиночной антенны (никакое разнообразие), необходимо настроить радио для улучшения общей производительности:

antenna transmit right-a
antenna receive right-a

Разнос антенн выбираем, но не всегда возможен при физической установке антенн на механизме. Выбор подходящей антенны важен для роуминга. Всего 2 дБ могут быть огромной разницей на общих средних временах роуминга.

Связанный журнал

  • Для сохранения некоторых миллисекунд снизьте уровень входа через консоль до ошибок только: ошибки консоли регистрации. Не отключайте его полностью, потому что это может влиять негативно на бродящую производительность на некоторых условиях.

  • Идеально, используйте telnet или ssh от стороны Ethernet для сбора отладок или журналов. Это оказывает намного более низкое влияние на производительность по сравнению с регистрацией отладок по консоли: logging monitor debugging.

  • Команда для понимания, что происходит для точки зрения роуминга WGB, является dot11 debug dot11 0, трассировка распечатывают канал связи. Это оказывает низкое влияние на ЦП, но не включайте другие параметры отладки, пока не проинструктировано, потому что каждый мог бы инкрементно увеличить общее время роуминга.

  • Попытайтесь использовать SNTP, если это возможно. Это поддерживает время WGB на синхронизовании, которое чрезвычайно полезно для устранения проблем.

Использование MFP

  • MFP может быть полезным от точки зрения безопасности. Однако недостаток - то, что на бродящих сценариях отказов, WGB не принимает, что кадры de-auth от родителя AP инициируют новый роуминг, если ключ шифрования между ними обоими пошел не так, как надо по какой-либо причине.

  • Если текущего родителя можно услышать с хорошим радиочастотным сигналом, на этих редких сценариях отказов WGB может занять до 5 секунд для инициирования нового просмотра. Существует "общий" механизм обнаружения, который может инициировать WGB, если никакие кадры действительных данных не приняты в течение того времени.

  • По умолчанию, если SSID имеет AES WPA2 в использовании, WGB пытается использовать клиентский MFP.

  • Если быстрые времена восстановления необходимы (WGB для реакции на незащищенные кадры deauth), рекомендуется отключить клиентский MFP. Это - компромисс между потребностями безопасности и быстрыми временами восстановления. Решение зависит от того, что более важно для сценария развертывания.

dot11 ssid wgbpsk  
   no ids mfp client

EAP-TLS на WGB и "clock save interval"

См. Синхронизировать Часы Соискателя IOS и Сохраняют Настройку времени к разделу NVRAM Комментариев к выпуску для точек доступа Cisco Aironet и Мостов для Cisco IOS Release 12.4 (21a) Ян.

Следует иметь в виду, что при использовании uWGB, uWGB никогда не мог бы получать шанс сделать синхронизование sntp, потому что он, как правило, привязывается к подключенному MAC-адресу, и uWGB BVI не имеет доступа к сети. Поэтому в случае uWGB, рекомендуется получить хорошую тактовую синхронизацию в NVRAM при развертываниях в минимуме. Если подключенное enet устройство имеет способность быть NTP source (а также обновленный клиент через его uWGB соединение), то возможно рассмотреть наличие синхронизования uWGB sntp от него как эффективная точка отражения NTP.

Пример полной конфигурации

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname wgb-1260
!
logging rate-limit console 9
logging console errors
!
clock timezone CET 1
no ip domain lookup
!
!
dot11 syslog
!
!
dot11 ssid wgbpsk
   vlan 32
   authentication open 
   authentication key-management wpa version 2
   wpa-psk ascii 7 060506324F41584B56
   no ids mfp client
!
!
!
!         
!
!
username Cisco password 7 13261E010803
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid wgbpsk
!
antenna transmit right-a
antenna receive right-a
  packet retries 32
station-role workgroup-bridge
rts retries 32
mobile station scan 2412 2437 2462
mobile station minimum-rate 6.0 
mobile station period 3 threshold 70
bridge-group 1
!

interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
bridge-group 1
!
interface BVI1
ip address 192.168.32.67 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.32.1
no ip http server
no ip http secure-server

bridge 1 route ip

sntp server 192.168.32.1
clock save interval 1
workgroup-bridge timeouts eap-timeout 4
workgroup-bridge timeouts iapp-refresh 100
workgroup-bridge timeouts auth-response 800
workgroup-bridge timeouts assoc-response 800
workgroup-bridge timeouts client-add 800

Анализ отладки

В любых проблемах происходят, важно перехватить выходные данные команды debug dot11 dot11 0 trace print uplink как первый шаг. Это предоставляет хорошее представление того, что происходит при процессе роуминга.

Это - пример текущий родитель как кандидат:

 Sep 27 11:42:38.797: %DOT11-4-UPLINK_DOWN: Interface Dot11Radio0, parent lost: Signal strength too low
 Sep 27 11:42:38.797: CDD051F1-0 Uplink: Lost AP, Signal strength too low

Это - триггер для низкого встреченного сигнала. Это зависит от периода мобильной станции X пороговых команд Y. Первое сообщение всегда передается консоли, второй часть соединительных трассировок отладки. Это не проблема, но часть обычного процесса WGB.

 Sep 27 11:42:38.798: CDD052C7-0 Uplink: Wait for driver to stop

Процесс канала от абонента к оператору вызывает радио-чистку очереди прежде, чем запустить просмотр канала. Этот шаг может взять от нескольких миллисекунд до нескольких секунд в зависимости от использования канала и глубины очереди. Фреймы данных не вызваны таймаут. Фреймы речевых данных имеют время comparision сделанный, таким образом должен быть отброшен быстрее. Некоторая задержка могла бы наблюдаться в шумных средах.

 Sep 27 11:42:38.798: CDD05371-0 Uplink: Enabling active scan
 Sep 27 11:42:38.799: CDD05386-0 Uplink: Scanning

Это - фактический просмотр канала, имеющий место. Это паркует радио приблизительно 10 - 13 мс за сконфигурированный канал.

 Sep 27 11:42:38.802: CDD064CD-0 Uplink: Rcvd response from 0021.d835.ade0 channel 1 3695

Это - список тестовых полученных ответов. Первый номер является каналом, второй микросекунды, потраченные для получения его.

 Sep 27 11:42:38.808: CDD078F1-0 Uplink: Compare1 0021.d835.ade0 - Rssi 58dBm, Hops 0, Count 0, load 0
 Sep 27 11:42:38.809: CDD07929-0 Uplink: Compare2 0021.d835.cce0 - Rssi 46dBm, Hops 0, Count 0, load 0

Фактическое сравнение, сделанное в этих подробных данных:

 Sep 27 11:42:38.809: CDD07BDB-0 Uplink: Same as previous, send null data packet

Родительский выбор

 Sep 27 11:42:38.809: CDD07BF7-0 Uplink: Done
 Sep 27 11:42:38.808: %DOT11-4-UPLINK_ESTABLISHED: Interface Dot11Radio0,
 Associated To AP AP1 0021.d835.ade0 [None WPAv2 PSK]Roaming completed.

Это - точка, где "закончен" роуминг. Трафик возобновляется, как только кадры IAPP обработаны родителем.

Родитель Сравнивает информацию

 Sep 27 14:16:47.590: F515B1FF-0 Uplink: Compare1 0021.d835.7620 - Rssi 60dBm, Hops 0, Count 0, load 3
 Sep 27 14:16:47.591: F515B238-0 Uplink: Compare2 0021.d835.e8b0 - Rssi 58dBm, Hops 0, Count -1, load 0

compare1 распечатывает фактическое количество-1 ассоциации (таким образом, сам WGB не взят в номере), если “текущий” AP является все еще одним WGB, привязан, то фактические переходы и загрузка.

compare2 распечатывает различия. Это - то, почему возможно видеть отрицательное число. Если тест имеет более высокий номер, чем текущий, вы видите отрицательный.

В зависимости от текущего количества ассоциации, загрузки, сигнального различия, мобильного порогового значения, WGB мог бы или не мог бы выбрать нового родителя.

Сравнение всегда между двумя AP с выбранным AP, заменяющим ток для следующей итерации. Поэтому некоторые решения могут произойти из-за RSSI на одной петле, или из-за других факторов на следующем тесте.


Дополнительные сведения


Document ID: 113198