WLAN用户漫游

 

WLAN 漫游策略是指STA可以在WLAN 网络范围内任意移动；具体来说，STA可以在同属一个ESS的AP接入，并且在移动的过程中保证已有的业务不中断。

 

WLAN 的漫游策略包括下面两种：

• 二层漫游：在同一个子网内的漫游。根据用户是否支持快速漫游，又可以将二层漫游分为快速漫游和非快速漫游两种方式。
• 快速漫游，又称为二层安全漫游。它是指如果STA使用的是WPA/WPA2+802.1X 的安全策略，并且支持Key Caching快速漫游技术时，这时的用户漫游即为快速安全漫游，不需要重新完成1X 认证过程，只需要完成四步密钥交互即可。
• 非快速漫游：当用户使用的是非WPA/WPA2+802.1X的安全策略时，用户的漫游都属于非快速漫游。此外，如果用户使用的是WPA/WPA2+802.1X 的安全策略，但用户不支持快速漫游，则改漫游仍然不属于快速漫游，用户仍需要完成1X 认证过程才能完成漫游。
• 跨VLAN 的三层漫游：用户漫游过程中的新老AP对应的业务VLAN 不同。为了保证漫游过程中用户业务不断，则必须保持用户的VLAN 不变。即用户数据报文的VLAN 仍然为初始VLAN，而不是被切换到新AP的VLAN 上。

 

WLAN 漫游策略主要解决以下问题：

• 避免漫游过程中的认证时间过长导致丢包甚至业务中断。采用WPA/WPA2+802.1X 认证模式的终端发生漫游时，1X认证认证过程报文交互次数和时间，大于WLAN 用户连接新AP的过程，所以实现快速漫游需要避免重新进行用户认证。
• 保证用户授权信息不变。用户的认证和授权信息，是用户访问网络的通行证，如果终端漫游接入的AC无法获取用户原来的认证和授权信息，则用户必须重新认证上线，使得用户切换过程缓慢、用户当前业务中断。
• 如何保证用户IP地址不变。应用层协议均以IP地址和TCP/UDP Session为用户业务承载，漫游后的用户必须能够保持原IP地址不变，对应的TCP/UDP Session才能够不中断，应用层数据才能够保持正常转发。漫游技术必须通过认证和授权信息及PMK预同步机制，解决认证时间过长问题，同时解决认证授权信息保持问题

用户受益

• 当用户使用的安全策略为Open、Share-key、WPA+PSK、WPA2+PSK、WPA2+802.1X（快速漫游）时，用户漫游切换时间<100ms，漫游前后业务不中断。
• 当用户使用的安全策略为WPA+802.1X、WPA2+802.1X（非快速漫游）、WAPI时，用户漫游切换时间>100ms，漫游前后业务不中断。

二层漫游

AP与AC直连组网，多个AP连接在同一个VLAN 内，由于STA在不同的AP间切换时，始终在一个VLAN 子网内，从而保证业务不中断。

解除用户与AP1间的关联

建立用户与AP2间的关联

如图所示，AC判断STA是否是首次接入，如果不是首次接入，即为用户从AP1的覆盖范围切换到AP2的覆盖范围，AC会按照如下的流程实现漫游功能：

1. AC 已经与AP1 建立关联信息，STA 在各种信道中发送802.11 请求帧。AP2 在信道6（AP2 使用的信道）中收到请求后，通过在信道6 中发送应答来进行响应。STA收到应答后，对其进行评估，确定同哪个AP关联最合适。
2. 如图中的标号1 所示，STA 通过信道6 向AP2 发送关联请求，AP2 使用关联响应做出应答，建立用户与AP2间的关联。
3. 如图中的标号2 所示，删除用户与AP1 现有的关联。STA 通过信道1（AP1 使用的信道）向AP1发送802.11 解除关联信息，解除用户与AP1间的关联。

上述过程完成后：

• 如果用户使用的是Open或Share-key的安全策略，则用户漫游已完成。
• 如果用户使用的是WPA/WPA2+PSK 的安全策略，则还需要完成四步密钥协商。
• 如果用户不支持快速漫游，即使使用的是WPA2+802.1X 的安全策略，则用户仍需要完成1X 认证过程才能完成漫游。
• 只有在用户既支持快速漫游，同时用户使用的是WPA2+802.1X 的安全策略，用户才会快速漫游，没有重认证的过程，只需要完成四步密钥交互即可。

快速漫游

二层漫游中，根据用户是否支持快速漫游，可将漫游分为快速漫游和非快速漫游两种方式。

快速漫游中，由于采用了Key Cache机制，跳过了重新认证过程，使得用户的漫游切换过程加速。具体如下：

1. WPA2-802.1x 安全用户接入网络认证成功时，AC 通过认证过程获得本次认证的用户PMK。AC本地保存该用户的PMK信息，直到其下线。
2. AC 将PMK 下发给用户接入的AP1，AP1 依据PMK 和用户协商生成空口加密密钥。
3. 当用户发生漫游，向邻居AP2 发起关联请求时，AP2 及时向AC 通报用户切换消息。
4. AC查找到该用户对应的PMK，并发送给AP2。
5. 当终端发起重认证请求时，AP2直接反馈认证成功、并发起密钥协商。为了进一步提高快速漫游的切换时间，可以通过密钥协商下移来实现，即将原STA和AC间进行的密钥协商过程优化为STA和AP间进行密钥协商，减少了报文转发的开销和AC集中处理时的负担。

 

本地转发漫游

即用户报文没有经过CAPWAP隧道封装，而是直接转发到上层网络，从而提高报文的转发效率。

1. STA1 通过AP1上线，此时STA1的用户VLAN 为VLAN1000。
2. AC 在用户漫游过程中下发用户VLAN 给AP，同时AP 根据用户打上用户VLAN的Tag。
3. 当STA1 漫游到AP2 后，为了保证业务不中断，当用户报文上传到AP2 时，AP2给用户报文打上漫游前的VLAN1000 的Tag 发往上层网络。而对于AP2 下的未漫游用户STA2，则AP2 仍然打上用户VLAN 1001 发往上层网络。