WLAN用户漫游

最近更新

 

WLAN 漫游策略是指STA可以在WLAN 网络范围内任意移动;具体来说,STA可以在同属一个ESS的AP接入,并且在移动的过程中保证已有的业务不中断。

 

WLAN 的漫游策略包括下面两种:

  • 二层漫游:在同一个子网内的漫游。根据用户是否支持快速漫游,又可以将二层漫游分为快速漫游和非快速漫游两种方式。
  • 快速漫游,又称为二层安全漫游。它是指如果STA使用的是WPA/WPA2+802.1X 的安全策略,并且支持Key Caching快速漫游技术时,这时的用户漫游即为快速安全漫游,不需要重新完成1X 认证过程,只需要完成四步密钥交互即可。
  • 非快速漫游:当用户使用的是非WPA/WPA2+802.1X的安全策略时,用户的漫游都属于非快速漫游。此外,如果用户使用的是WPA/WPA2+802.1X 的安全策略,但用户不支持快速漫游,则改漫游仍然不属于快速漫游,用户仍需要完成1X 认证过程才能完成漫游。
  • 跨VLAN 的三层漫游:用户漫游过程中的新老AP对应的业务VLAN 不同。为了保证漫游过程中用户业务不断,则必须保持用户的VLAN 不变。即用户数据报文的VLAN 仍然为初始VLAN,而不是被切换到新AP的VLAN 上。

 

WLAN 漫游策略主要解决以下问题:

  • 避免漫游过程中的认证时间过长导致丢包甚至业务中断。采用WPA/WPA2+802.1X 认证模式的终端发生漫游时,1X认证认证过程报文交互次数和时间,大于WLAN 用户连接新AP的过程,所以实现快速漫游需要避免重新进行用户认证。
  • 保证用户授权信息不变。用户的认证和授权信息,是用户访问网络的通行证,如果终端漫游接入的AC无法获取用户原来的认证和授权信息,则用户必须重新认证上线,使得用户切换过程缓慢、用户当前业务中断。
  • 如何保证用户IP地址不变。应用层协议均以IP地址和TCP/UDP Session为用户业务承载,漫游后的用户必须能够保持原IP地址不变,对应的TCP/UDP Session才能够不中断,应用层数据才能够保持正常转发。漫游技术必须通过认证和授权信息及PMK预同步机制,解决认证时间过长问题,同时解决认证授权信息保持问题

用户受益

  • 当用户使用的安全策略为Open、Share-key、WPA+PSK、WPA2+PSK、WPA2+802.1X(快速漫游)时,用户漫游切换时间<100ms,漫游前后业务不中断。
  • 当用户使用的安全策略为WPA+802.1X、WPA2+802.1X(非快速漫游)、WAPI时,用户漫游切换时间>100ms,漫游前后业务不中断。

二层漫游

AP与AC直连组网,多个AP连接在同一个VLAN 内,由于STA在不同的AP间切换时,始终在一个VLAN 子网内,从而保证业务不中断。

解除用户与AP1间的关联

建立用户与AP2间的关联

如图所示,AC判断STA是否是首次接入,如果不是首次接入,即为用户从AP1的覆盖范围切换到AP2的覆盖范围,AC会按照如下的流程实现漫游功能:

  1. AC 已经与AP1 建立关联信息,STA 在各种信道中发送802.11 请求帧。AP2 在信道6(AP2 使用的信道)中收到请求后,通过在信道6 中发送应答来进行响应。STA收到应答后,对其进行评估,确定同哪个AP关联最合适。
  2. 如图中的标号1 所示,STA 通过信道6 向AP2 发送关联请求,AP2 使用关联响应做出应答,建立用户与AP2间的关联。
  3. 如图中的标号2 所示,删除用户与AP1 现有的关联。STA 通过信道1(AP1 使用的信道)向AP1发送802.11 解除关联信息,解除用户与AP1间的关联。

上述过程完成后:

  • 如果用户使用的是Open或Share-key的安全策略,则用户漫游已完成。
  • 如果用户使用的是WPA/WPA2+PSK 的安全策略,则还需要完成四步密钥协商。
  • 如果用户不支持快速漫游,即使使用的是WPA2+802.1X 的安全策略,则用户仍需要完成1X 认证过程才能完成漫游。
  • 只有在用户既支持快速漫游,同时用户使用的是WPA2+802.1X 的安全策略,用户才会快速漫游,没有重认证的过程,只需要完成四步密钥交互即可。

快速漫游

二层漫游中,根据用户是否支持快速漫游,可将漫游分为快速漫游和非快速漫游两种方式。

快速漫游中,由于采用了Key Cache机制,跳过了重新认证过程,使得用户的漫游切换过程加速。具体如下:

  1. WPA2-802.1x 安全用户接入网络认证成功时,AC 通过认证过程获得本次认证的用户PMK。AC本地保存该用户的PMK信息,直到其下线。
  2. AC 将PMK 下发给用户接入的AP1,AP1 依据PMK 和用户协商生成空口加密密钥。
  3. 当用户发生漫游,向邻居AP2 发起关联请求时,AP2 及时向AC 通报用户切换消息。
  4. AC查找到该用户对应的PMK,并发送给AP2。
  5. 当终端发起重认证请求时,AP2直接反馈认证成功、并发起密钥协商。为了进一步提高快速漫游的切换时间,可以通过密钥协商下移来实现,即将原STA和AC间进行的密钥协商过程优化为STA和AP间进行密钥协商,减少了报文转发的开销和AC集中处理时的负担。

 

本地转发漫游

即用户报文没有经过CAPWAP隧道封装,而是直接转发到上层网络,从而提高报文的转发效率。

  1. STA1 通过AP1上线,此时STA1的用户VLAN 为VLAN1000。
  2. AC 在用户漫游过程中下发用户VLAN 给AP,同时AP 根据用户打上用户VLAN的Tag。
  3. 当STA1 漫游到AP2 后,为了保证业务不中断,当用户报文上传到AP2 时,AP2给用户报文打上漫游前的VLAN1000 的Tag 发往上层网络。而对于AP2 下的未漫游用户STA2,则AP2 仍然打上用户VLAN 1001 发往上层网络。