无线域服务常见问题
目录
简介
本文档提供有关 Wireless Domain Services (WDS) 最常见问题 (FAQ) 的信息。
什么是WDS?
答:WDS是思科结构化无线感知网络(SWAN)的一部分。WDS 是 Cisco IOS® 软件功能的集合,这些功能可增强 WLAN 客户端移动性,并简化 WLAN 的部署和管理。WDS 是 Cisco IOS 软件中的一个新接入点 (AP) 功能,也是 Cisco Catalyst 6500 系列无线局域网服务模块 (WLSM) 的基础。WDS 是支持其他功能的核心功能,这些其他功能包括:
快速安全漫游 (FSR)
无线局域网解决方案引擎 (WLSE) 交互
无线电管理 (RM)
在操作任何其他基于 WDS 的功能之前,必须先在参与 WDS 的 AP 与配置为 WDS 的设备之间建立关系。WDS 的主要用途之一是在身份验证服务器首次对客户端进行身份验证时对用户凭证进行缓存。在随后的尝试中,WDS 基于缓存的信息对客户端进行身份验证。
问:如何将我的AP配置为WDS?
A.有关如何将AP配置为WDS的信息,请参阅无线域服务配置。
问:思科结构化无线感知网络(SWAN)WDS在哪些平台上运行?
答:您可以在Cisco Aironet AP、Cisco Catalyst交换机或Cisco路由器上运行SWAN WDS。以下是当前支持 SWAN WDS 的平台的列表:
Aironet 1230 AG 系列 AP
Aironet 1240AG 系列 AP
Aironet 1200 系列 AP
Aironet 1130 AG 系列 AP
Aironet 1100 系列 AP
Catalyst 6500 系列无线局域网服务模块 (WLSM)
Cisco 3800、3700 系列集成多业务路由器 (ISR) 以及运行 Cisco IOS 版本 12.3(11)T 或更高版本的某些型号的 2800 和 2600 系列 ISR。
问:基于AP的WDS与基于交换机的WDS相比如何?
答:当您使用基于AP的WDS时,Cisco SWAN支持:
第 2 层 (L2) 快速安全漫游 (FSR)
可扩展无线局域网 (WLAN) 管理
高级无线电管理 (RM) 功能
增强的无线安全性
使用基于交换机的 WDS 时,SWAN 支持:
L2/第 3 层 (L3) FSR
高级 RM 功能
端到端安全性
园区 WLAN 部署中的端到端服务质量 (QoS)。
问:如何使用我当前的无线局域网(WLAN)网络设置WDS?
答:要设置WDS,您必须指定一个AP或无线LAN服务模块(WLSM)作为WDS。WDS AP 必须通过使用 WDS 用户名和口令进行的身份验证来建立与身份验证服务器的关系。身份验证服务器可以是外部 Remote Authentication Dial-In User Service (RADIUS) 服务器,也可以是 WDS AP 中的本地 RADIUS 服务器功能。WLSM 必须与身份验证服务器之间存在关系,即使 WLSM 不需要向该服务器进行身份验证。
问:WDS设备在无线LAN(WLAN)网络中的作用是什么?
答:WDS设备在WLAN上执行以下任务:
通告 WDS 功能并参与为 WLAN 选择最佳 WDS 设备。
在为 WDS 配置 WLAN 时,需要将一个设备设置为主要 WDS 候选,并将一个或多个其他设备设置为备份 WDS 候选。如果主要 WDS 设备脱机,则某个备份 WDS 设备接替该主要设备。
对子网中的所有 AP 进行身份验证,并与每个 AP 建立安全通信信道。
从子网中的 AP 收集无线电数据,汇聚这些数据,然后将数据转发到网络中的无线局域网解决方案引擎 (WLSE) 设备。
注册子网中的所有客户端设备,为客户端设备建立会话密钥,并缓存客户端安全凭证。
当客户端漫游至另一个 AP 时,WDS 设备会将该客户端的安全凭证转发给新的 AP。
问:WLAN中的WDS和基础设施AP如何相互通信?
答:WDS和基础设施AP通过称为无线局域网环境控制协议(WLCCP)的组播协议进行通信。 不能对这些组播消息进行路由。因此,WDS 与关联的基础架构 AP 必须在同一个 IP 子网中,并且位于同一个 LAN 网段上。在 WDS 与无线局域网解决方案引擎 (WLSE) 之间,WLCCP 在端口 2887 上使用传输控制协议 (TCP) 和 User Datagram Protocol (UDP)。当 WDS 和 WLSE 位于不同的子网上时,不会发生使用网络地址转换 (NAT) 之类协议的数据包转换。
问:能否将1300 AP/网桥配置为主WDS?
答:您不能将Cisco Aironet 1300 AP/网桥配置为主WDS。1300 AP/Bridge 不支持此功能。1300 AP/网桥可以参与WDS网络,在该网络中,某些其他AP或WLSM充当主WDS。
问:单个WDS可以管理多少个基础设施AP?
答:禁用无线电接口时,单个WDS AP最多可支持60个基础设施AP。如果充当 WDS AP 的 AP 也接受客户端关联,则数量下降到 30。
配备无线局域网服务模块 (WLSM) 的交换机支持最多 300 个 AP。
问:什么是快速安全漫游(FSR)?
答:FSR是WDS提供的功能之一。Cisco Aironet 1200 和 1100 系列 AP 与 Cisco 客户端设备或 Cisco 兼容客户端设备一起支持 FSR。通过 FSR,已经过身份验证的客户端设备可以安全地在第 2 层 (L2) 从一个 AP 漫游到另一个 AP,在重新关联期间不会有任何明显延迟。FSR 支持对延迟敏感的应用,例如:
无线 IP 语音 (VoIP)
企业资源规划 (ERP)
基于 Citrix 的解决方案
WDS 向 AP 提供快速、安全的移交服务,而不会丢失连接。这些服务针对要求漫游时间小于 150 毫秒的应用,如语音应用。
问:第3层(第3层)漫游是什么?
答:在第2层(L2)漫游的情况下,无线客户端在作为有线端同一子网一部分的两个AP之间漫游。基于 AP 的 WDS 提供了此功能。使用基于 AP 的 WDS 时,您必须将 AP 配置到同一个 VLAN 中。
而通过 L3 漫游,无线客户端可在分别位于两个不同子网中的两个 AP 之间漫游。因此,客户端可在有线端的两个不同 VLAN 之间漫游。这样就无需创建基于 AP 的 WDS 所创建的跨整个园区的 VLAN。为了在位于不同 L3 子网上的 AP 间漫游,客户端设备使用多点通用路由封装 (mGRE) 隧道。漫游客户端无需更改 IP 地址即可与网络保持连接。
问:无线局域网解决方案引擎(WLSE)在启用WDS的无线局域网(WLAN)网络中的作用是什么?
答:AP和(可选)思科客户端设备或思科兼容客户端设备在单个子网内进行射频(RF)测量。Cisco SWAN WDS 汇聚这些测量值,并将其转发给 CiscoWorks WLSE 进行分析。以这些测量值为基础,CiscoWorks WLSE 可以:
检测非法 AP 以及来自其他设备的干扰。
注意:在WLSE中可显示的欺诈的最大数量为5000。如果 WLSE 达到了此非法 AP 限制,则显示错误消息 Limit of Infrastructure/Ad-hoc rogues tracking。在这种情况下,若要从 WLSE 中删除这些非法接入点,请转至 IDS > Manage Rogues,选择 Select *ALL* *& Delete 选项以删除这些非法接入点。
如果环境中的未知(非法接入点)无线电计数超过 5000,您会再次达到此数量,并且会显示同样的警告消息。克服此问题的唯一方法是管理这些无线电,或者将它们标记为友好。
提供辅助现场勘测
支持 WLAN 自愈以实现最佳信道级和功率级设置
问:在无线局域网服务模块(WLSM)上使用WDS有何优点?
答:引入基于交换机的WDS和WLSM可促进第3层(L3)快速安全漫游(FSR),并为园区中的第3层移动提供高度可扩展的解决方案。基于交换机的 WDS 将 WLSM 刀片中的 WDS 功能集中在中央交换机中,提供了以下优点:
提高了 WDS 可扩展性 - 可扩展性将园区无线 LAN (WLAN) 网络中的 AP 数量提高到 300,用户数量提高到 6000。
简化了设计和实施 - 没有 VLAN 跨整个园区网络。使用多点通用路由封装 (mGRE) 体系结构后,无需更改当前网络有线基础架构。
大型 WLAN 部署的可管理性 - 此解决方案为进入到要应用安全策略和服务质量 (QoS) 策略的有线网络中的 WLAN 控制和用户数据提供了单一入口点。
楼层间以及跨多座建筑物的 L3 移动性
能够使用 Cisco Catalyst 6500(包括其他 Catalyst 6500 服务模块)上的高级功能
通过与 Catalyst 6500 平台的集成增强端到端安全性和 QoS
问:WDS的无线电管理(RM)功能是什么?
答:启用WDS的AP还充当来自其他AP的射频(RF)统计信息的聚合器。启用了 WDS 的 AP 将这些统计数据传递给无线局域网解决方案引擎 (WLSE),以找到非法 AP。通过 RF 监控器,WLSE 可以创建无线覆盖图。WLSE 还使用当前 AP 来执行现场勘测,并确定无覆盖区域。您可以将楼层规划图导入到软件中,以便轻松找出需要额外 AP 的区域。
问:当AP扫描空/射频(RF)环境时,Cisco Aironet AP能否支持客户端?
答:是的,思科AP是多功能的。Cisco AP 既服务于客户端,也可监视空中/RF。始终建议将较少的客户端与配置为 WDS 的 AP 相关联。
问:WDS能否执行记帐功能?
答:不能。WDS可以执行身份验证,但不能记帐。记帐完全独立的,您需要有 RADIUS 服务器才能执行此功能。
问:为了使用CCKM设置WDS,支持哪些密码套件?可扩展身份验证协议/通过安全隧道的灵活身份验证 (EAP-FAST) 是否与 Cisco CKM 兼容?我应使用什么组合?
答:您需要使用密码套件才能使用Cisco CKM。CCKM 支持以下密码套件组合。
加密模式密码 wep128
加密模式密码 wep40
加密模式密码 ckip
加密模式密码 ckip-cmic
加密模式密码 cmic
加密模式密码 tkip
Cisco Aironet 350 卡支持 EAP-FAST/Cisco CKM,Aironet CB21AG 卡很快也会支持。下面是用于启用密码的命令:
encryption vlan 1 mode ciphers tkip wep128EAP-FAST 不使用您设置的 WEP 密钥。EAP-FAST 使用动态密钥。
问:身份验证密钥管理cckm可选命令是否适用于检查了快速漫游的Aironet客户端和检查了未检查快速漫游的Aironet客户端?
答:如果将思科集中密钥管理(CKM)设置为可选,则该设置适用于检查了快速漫游的Aironet客户端和未检查快速漫游的客户端。
问: WLSM缓存用户凭证的时间有多长?
答:缓存时间可能取决于客户端的类型。在 AP 与移动节点 (MN) 之间存在保活,这取决于 AP 配置以及客户端类型。如果是 Cisco 客户端,则 AP 会迅速检测到该客户端不存在,并保留其关联列表。一旦发生这种情况,客户端就会在断开状态下在 WDS 的 MN 列表中停留约 10 分钟。
如果是第三方客户端,则 AP 上的保活超时可能很长,可长达 30 分钟。
基本上,如果在 10 分钟内在任何 AP 的 dot11 关联表中都没有此 Cisco 客户端,则需要进行重新身份验证,这意味着要将其发送给身份验证服务器,而不是基于缓存的用户发送给基础架构 AP。如果在 10 分钟到 30 分钟之间,非 Cisco 客户端不在任何 AP 的 dot11 关联表中,则也需要进行重新身份验证。
问:能否在使用基于AP的WDS的WDS中设置60多个AP?
答:在一个主WDS上不要使用60个以上的AP。如果超过 60 个 AP,则您可能会遇到 CPU 使用率问题。您可以有多个主WDS,但它们需要位于不同的子网中。例如:
10.10.10.10上一个主WDS和30个AP
10.10.20.20上的另一个主WDS和30个AP
在这种情况下,问题是您无法在 WDS 域之间快速漫游。
问:我可以有多少个WDS备份候选?WDS 备份候选是否仍可作为 WDS 中的 AP 并向主 WDS 报告信息?
答:WDS备份候选的数量没有限制。是的,备份候选仍作为向主WDS报告的AP运行。此外,只有主 WDS AP 才会建立 WLSE 安全密钥并向 WLSE 注册,以便与 WLSE 交互。只有在主 WDS 出现故障时,备份 WDS 才会充当活动 WDS AP 的角色,并继续向 WLSE 注册和建立安全密钥。只要主WDS处于活动状态,备份WDS就作为向主WDS报告的普通AP运行。
问:如果我有三个WDS AP,并且它们都发生故障,故障是否仅影响WDS信息或所有AP和客户端?换句话说,WDS 是否是无线网络的故障点?
答:如果主WDS发生故障,所有AP也会发生故障。但是,如果 AP 具有其独立正常运行所必需的所有配置,则当 WDS 设备出现故障时,AP 会在没有 WDS 的情况下仍开始工作。
问:在一个子网中,我的WDS的优先级配置为200,WDS的优先级配置为100。如果优先级为200的主WDS发生故障,优先级为100的WDS是否会成为子网中的主WDS?
答:在这种情况下,如果此WDS位于同一子网中,优先级为100的主WDS将成为主WDS。如果此WDS位于另一个子网上,则它不会成为主网。
问:当无线LAN解决方案引擎(WLSE)不到位时,Cisco 1200 AP中的show iapp rogue-ap-list命令是否提供任何有用信息?
答:否,此命令仅与WLSE配合使用,并且当您在WLSE中使用位置管理器时。
问:我为WDS配置了Cisco AP1200。该 AP 挂起,直到我执行重新通电,它才在控制台或 Telnet 上产生响应。但是,AP 未崩溃。为什么会发生这种情况?
答:此问题是由于Cisco Bug ID CSCsc01706
(仅注册客户)。 只有在多个无线客户端尝试关联或漫游时,此问题才会在 WDS AP 上发生。此问题始见于 Cisco IOS 软件版本 12.3(4)JA,但是大部分问题是在 Cisco IOS 软件版本 12.3(7)JA 中报告的。发出有关 MAC 欺骗事件的 Simple Network Management Protocol (SNMP) 查询的无线局域网解决方案引擎 (WLSE) 会触发此问题。WDS AP 记录至少两个 AP 上的大量 MAC 欺骗事件。为了解决此问题,必须将软件升级到 Cisco IOS 软件版本 12.3(8)JA 或更改版本。
(仅
问:中继器AP能否支持WDS?
答:中继器接入点不支持WDS。请勿将中继器接入点配置为 WDS 候选,也不要将 WDS 接入点配置为在发生以太网故障时退回到中继器模式。
问:350系列AP是否可以配置为WDS接入点?
答:您不能将350系列接入点配置为WDS接入点。但是,您可以将 350 系列接入点配置为使用 WDS 接入点。
相关信息
反馈