無線域服務常見問題
目錄
簡介
本文檔提供有關無線域服務(WDS)的最常見問題(FAQ)的資訊。
什麼是WDS?
答: WDS是Cisco Structured Wireless Aware Network(SWAN)的一部分。WDS是Cisco IOS®軟體功能的集合,可增強WLAN客戶端移動性,並簡化WLAN部署和管理。WDS是Cisco IOS軟體中存取點(AP)的新功能,是Cisco Catalyst 6500系列無線LAN服務模組(WLSM)的基礎。WDS是支援其他功能的核心功能,例如:
快速安全漫遊(FSR)
無線LAN解決方案引擎(WLSE)互動
無線電管理(RM)
在操作任何其他基於WDS的功能之前,您必須建立參與WDS的AP與配置為WDS的裝置之間的關係。WDS的主要用途之一,是在身份驗證伺服器第一次驗證客戶端時,立即快取使用者憑據。在隨後的嘗試中,WDS根據快取的資訊對客戶端進行身份驗證。
問:如何將AP配置為WDS?
A.有關如何將AP配置為WDS的資訊,請參閱無線域服務配置。
問:Cisco Structured Wireless-Aware Network(SWAN)WDS在哪些平台上運行?
答:您可以在Cisco Aironet AP、Cisco Catalyst交換機或Cisco路由器上運行SWAN WDS。以下是目前支援SWAN WDS的平台清單:
Aironet 1230 AG系列AP
Aironet 1240AG系列AP
Aironet 1200系列AP
Aironet 1130 AG系列AP
Aironet 1100系列AP
Catalyst 6500系列無線LAN服務模組(WLSM)
Cisco 3800、3700系列整合服務路由器(ISR),以及執行Cisco IOS版本12.3(11)T或更新版本的一些型號2800和2600系列ISR。
問:與基於交換機的WDS相比,基於AP的WDS如何?
A.使用基於AP的WDS時,Cisco SWAN支援:
第2層(L2)快速安全漫遊(FSR)
可擴充的無線LAN(WLAN)管理
高級無線電管理(RM)功能
增強無線安全性
使用基於交換機的WDS時,SWAN支援:
第2層/第3層(L3)FSR
高級RM功能
端到端安全性
園區WLAN部署中的端到端服務品質(QoS)。
問:如何使用當前的無線LAN(WLAN)網路設定WDS?
A.要設定WDS,必須指定一個AP或無線LAN服務模組(WLSM)作為WDS。WDS AP必須通過使用WDS使用者名稱和密碼進行身份驗證與身份驗證伺服器建立關係。驗證伺服器可以是外部遠端驗證撥入使用者服務(RADIUS)伺服器,也可以是WDS AP中的本地RADIUS伺服器功能。WLSM必須與身份驗證伺服器建立關係,即使WLSM不需要向伺服器進行身份驗證。
問: WDS裝置在無線LAN(WLAN)網路中扮演什麼角色?
A. WDS裝置在您的WLAN上執行以下任務:
通告WDS功能並參與您的WLAN的最佳WDS裝置選擇。
為WDS配置WLAN時,應設定一台裝置作為主要WDS候選裝置,另外設定一台或多台裝置作為備份WDS候選裝置。如果主WDS裝置離線,則其中一個備份WDS裝置將代替主裝置。
對子網中的所有AP進行身份驗證,並與每個AP建立安全通訊通道。
從子網中的AP收集無線電資料,聚合資料,並將資料轉發到網路上的無線LAN解決方案引擎(WLSE)裝置。
註冊子網中的所有客戶端裝置,為客戶端裝置建立會話金鑰,並快取客戶端安全憑據。
當客戶端漫遊到另一個AP時,WDS裝置會將客戶端安全憑證轉發到新AP。
問:WLAN中的WDS和基礎設施AP如何相互通訊?
A. WDS和基礎架構AP通過稱為無線LAN情景控制協定(WLCCP)的組播協定進行通訊。 無法路由這些組播消息。因此,WDS和相關基礎設施AP必須位於同一個IP子網中,並且位於同一個LAN網段上。在WDS和無線LAN解決方案引擎(WLSE)之間,WLCCP在埠2887上使用傳輸控制協定(TCP)和使用者資料包協定(UDP)。當WDS和WLSE位於不同的子網中時,使用網路地址轉換(NAT)等協定的資料包轉換無法進行。
問:能否將1300 AP/網橋配置為主WDS?
A.不能將Cisco Aironet 1300 AP/網橋配置為主WDS。1300 AP/網橋不支援此功能。1300 AP/網橋可以參與WDS網路,其中某些其他AP或WLSM充當主WDS。
問:一個WDS可以管理多少個基礎架構AP?
A.當無線電介面禁用時,單個WDS AP最多可支援60個基礎設施AP。如果充當WDS AP的AP也接受客戶端關聯,則此數字將降為30。
配備無線LAN服務模組(WLSM)的交換機最多支援300個AP。
問:什麼是快速安全漫遊(FSR)?
A. FSR是WDS提供的功能之一。Cisco Aironet 1200和1100系列AP與Cisco客戶端裝置或Cisco相容客戶端裝置共同支援FSR。使用FSR,經過身份驗證的客戶端裝置可以在第2層(L2)從一個AP安全地漫遊到另一個AP,而在重新關聯過程中沒有任何明顯的延遲。FSR支援延遲敏感型應用程式,例如:
無線IP語音(VoIP)
企業資源規劃
基於Citrix的解決方案
WDS提供到AP的快速安全切換服務,無需中斷連線。這些服務適用於需要少於150毫秒的漫遊時間的應用,例如語音。
問:第3層(L3)漫遊是什麼?
A.使用第2層(L2)漫遊,無線客戶端在有線端同一子網中的兩個AP之間漫遊。基於AP的WDS提供此功能。對於基於AP的WDS,您必須將AP配置為位於同一個VLAN中。
使用L3漫遊時,無線客戶端可在位於兩個不同子網中的兩個AP之間漫遊。因此,使用者端會在有線端的兩個不同VLAN之間漫遊。這會刪除跨整個園區建立VLAN(基於AP的WDS建立)。客戶端裝置使用多點通用路由封裝(mGRE)隧道來漫遊到位於不同L3子網上的AP。漫遊客戶端仍然連線到您的網路,無需更改IP地址。
問:在啟用WDS的無線LAN(WLAN)網路中,無線LAN解決方案引擎(WLSE)的作用是什麼?
A.AP和(可選)思科客戶端裝置或思科相容客戶端裝置在單個子網內進行射頻(RF)測量。Cisco SWAN WDS會聚合測量值並將測量值轉發到CiscoWorks WLSE進行分析。根據這些度量,CiscoWorks WLSE可以:
檢測欺詐接入點和其他裝置的干擾。
註:WLSE中可顯示的惡意程式的最大數量為5000。如果WLSE已達到此欺詐限制,則會顯示Limit of Infrastructure/Ad-hoc rogues tracking錯誤消息。在這種情況下,若要從WLSE中刪除這些惡作劇,請導航到IDS > Manage Rogues,然後選擇"Select *ALL*" *& 'Delete'選項以刪除這些惡作劇。
如果環境中的未知(惡意)無線電計數超過5000,則您再次按此數字後,會出現相同的警告消息。克服此問題的唯一方法是管理這些無線電或將這些無線電標籤為友好。
提供協助的現場勘測
支援WLAN自我修復以實現最佳通道和功率級設定
問:在無線LAN服務模組(WLSM)上使用WDS有哪些優勢?
A.基於交換機的WDS和WLSM的引入促進了第3層(L3)快速安全漫遊(FSR),並為園區第3層移動性提供了高度可擴展的解決方案。基於交換機的WDS將WLSM刀片中的WDS功能集中到中央交換機中,並提供以下優勢:
增強的WDS可擴充性 — 可擴充性可擴展到園區無線LAN(WLAN)網路中的300個AP和6000個使用者。
簡化的設計和實施 — 園區網路中沒有VLAN。使用多點通用路由封裝(mGRE)架構時,無需對當前網路有線基礎架構進行任何變更。
適用於大型WLAN部署的可管理性 — 此解決方案為WLAN控制和使用者資料提供單一入口點,使其可以應用安全和服務品質(QoS)策略。
樓層之間和多棟建築之間的L3移動性
能夠使用Cisco Catalyst 6500(包括其他Catalyst 6500服務模組)上的高級功能
通過與Catalyst 6500平台的整合增強了端到端安全性和QoS
問: WDS的無線電管理(RM)功能是什麼?
A.啟用WDS的AP還充當來自其他AP的射頻(RF)統計資訊的聚合器。啟用WDS的AP會將這些統計資訊傳遞給無線LAN解決方案引擎(WLSE),以便突出顯示惡意AP。RF監視器允許WLSE建立無線覆蓋範圍圖。WLSE還使用當前的AP進行現場勘測,並確定沒有覆蓋的區域。您可以將樓層規劃匯入軟體中,使需要額外AP的區域易於發現。
問:當Cisco Aironet AP掃描空氣/射頻(RF)環境時,它們能否支援客戶端?
答:是,思科AP是多功能的。思科AP為客戶端提供服務,並監控空中/RF。始終建議配置為WDS的與AP關聯的客戶端更少。
WDS可以執行記帳功能嗎?
答:不。WDS可以執行身份驗證,但不能計費。記帳完全獨立,此功能需要使用RADIUS伺服器。
問:為了使用CCKM設定WDS,支援哪些密碼套件?可擴展身份驗證協定 — 通過安全隧道(EAP-FAST)的靈活身份驗證是否與Cisco CKM相容?使用什麼組合?
A.您需要使用密碼套件才能使用Cisco CKM。CCKM支援這些密碼套件組合。
加密模式密碼wep128
加密模式密碼wep40
加密模式密碼ckip
加密模式密碼ckip-cmic
加密模式密碼cmic
加密模式密碼tkip
Cisco Aironet 350卡支援EAP-FAST/Cisco CKM,Aironet CB21AG卡不久也將支援。以下是啟用密碼的命令:
encryption vlan 1 mode ciphers tkip wep128EAP-FAST不使用您設定的WEP金鑰。EAP-FAST使用動態金鑰。
問: authentication key-management cckm optional命令是否適用於已檢查快速漫遊和未檢查快速漫遊的Aironet客戶端?
A.如果將Cisco Centralized Key Management(CKM)設定為可選,該設定適用於已檢查快速漫遊的Aironet客戶端和未檢查快速漫遊的客戶端。
問: WLSM快取使用者憑據的時間有多長?
A.緩存時間取決於客戶端的型別。AP和移動節點(MN)之間有一個保持連線,這取決於AP配置和客戶端型別。如果是Cisco客戶端,則AP會快速檢測客戶端是否存在,並保留其關聯清單。一旦發生這種情況,客戶端以分離狀態在WDS的MN清單中停留約10分鐘。
如果是第三方客戶端,AP上的保持活動超時可能非常長,長達30分鐘。
基本上,如果Cisco客戶端不在任何AP的dot11關聯表中10分鐘,則需要重新進行身份驗證,這意味著根據快取的使用者,將其傳送到身份驗證伺服器,而不是基礎設施AP。如果非Cisco客戶端不在任何AP的dot11關聯表中10到30分鐘,則需要重新進行身份驗證。
問:我是否可以在使用基於AP的WDS的WDS中設定超過60個AP?
A.在一個主WDS上使用不超過60個AP。您可能會遇到超過60個AP的CPU利用率問題。您可以有多個主WDS,但它們需要位於不同的子網上。例如:
10.10.10.10上有一個主WDS和30個AP
10.10.20.20上的另一個主WDS和30個AP
在這種情況下,問題是無法在WDS域之間快速漫遊。
問:我能有多少個WDS備份候選裝置?WDS備份候選是否仍可作為WDS中的AP並向主WDS報告資訊?
A.對WDS備份候選的數目沒有限制。是,備份候選仍然充當向主WDS報告的AP。此外,只有主WDS AP建立WLSE安全金鑰並向WLSE註冊,以便與WLSE互動。僅當主WDS發生故障時,備份WDS才扮演活動WDS AP的角色,並繼續向WLSE註冊並建立安全金鑰。只要主WDS處於活動狀態,備份WDS就相當於向主WDS報告的普通AP。
問:如果我有三個WDS AP,並且它們都出現故障,則故障僅影響WDS資訊還是所有接入點和客戶端?換句話說,WDS是否是無線網路的故障點?
A.如果您的主WDS失敗,則所有AP也會失敗。但是,如果AP具有使AP獨立運行所需的所有配置,則當WDS裝置出現故障時,AP開始不使用WDS工作。
問:在一個子網上,我配置了一個優先順序為200的WDS,和一個優先順序為100的WDS。如果優先順序為200的主WDS發生故障,優先順序為100的WDS是否會成為該子網上的主WDS?
A.在這種情況下,如果優先順序為100的主WDS位於同一個子網上,則該WDS將成為主WDS。如果此WDS位於另一個子網上,它不會成為主網路。
問:當無線LAN解決方案引擎(WLSE)未就緒時,Cisco 1200 AP中的show iapp rogue-ap-list命令是否提供任何有用資訊?
答:不,此命令僅與WLSE結合使用以及使用WLSE中的位置管理器時有效。
問:我有一個為WDS配置的Cisco AP1200。AP掛起,直到我重新通電後,才在控制檯或Telnet上響應。但是,AP不會崩潰。為什麼會發生這種情況?
A.此問題是由思科錯誤ID CSCsc01706
(僅限註冊客戶)導致的。 此問題僅發生在多個無線客戶端嘗試關聯或漫遊時WDS AP上。此問題開始於Cisco IOS軟體版本12.3(4)JA,但大多數問題在Cisco IOS軟體版本12.3(7)JA中報告。在MAC欺騙事件上發出簡單網路管理協定(SNMP)查詢的無線LAN解決方案引擎(WLSE)會觸發此問題。WDS AP在至少兩個AP上記錄多個MAC欺騙事件。為了解決此問題,您必須升級到Cisco IOS軟體版本12.3(8)JA或更新版本。
(僅限
問:中繼器AP能否支援WDS?
A.中繼器接入點不支援WDS。請勿將中繼器接入點配置為WDS候選接入點,也不要將WDS接入點配置為在乙太網故障時回退到中繼器模式。
問:能否將350系列AP配置為WDS接入點?
A.不能將350系列接入點配置為WDS接入點。但是,您可以配置350系列接入點以使用WDS接入點。
相關資訊
意見