简介
本文档介绍AireOS无线局域网控制器中的移动组,并通过最常见的问题(FAQ)提供信息。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅Cisco技术提示和规则。
背景信息
移动组是适用于思科统一无线LAN环境的概念。
问:什么是移动组?
A.移动组是网络中具有相同移动组名称的一组无线LAN控制器(WLC)。这些WLC可以动态共享客户端设备的上下文和状态、WLC负载信息,还可以在它们之间转发数据流量,从而实现控制器间无线局域网漫游和控制器冗余。有关详细信息,请参阅Cisco无线LAN控制器配置指南8.10版的移动组部分。
问: 移动组的限制是什么?
答:您可以在Cisco Wireless LAN Controller Configuration Guide, Release 8.10的Configuring Mobility Groups一章的Guidelines and Restrictions部分找到移动组的限制。
问: 移动组的前提条件是什么?
A.将控制器添加到移动组之前,必须验证是否满足要包含在组中的所有控制器的特定要求。有关这些要求的列表,请参阅配置移动组的前提条件部分。
问: 如何在WLC上配置移动组?
A.手动配置移动组。属于同一移动组的无线局域网控制器 (WLC) 的 IP 和 MAC 地址要分别在每个 WLC 上进行配置。移动组可以通过CLI或GUI进行配置。有关CLI和GUI配置的详细步骤,请参阅配置移动组GUI和CLI。
问: 如何使用Prime基础设施配置移动组?
A.移动组还可以使用Prime基础设施(PI)进行配置。在部署大量 WLC 时,这种备选方法会很有用。有关如何使用WCS配置移动组的详细信息,请参阅Cisco Prime基础设施3.10用户指南的配置移动组部分。
问: 是否可以在多个移动组中配置WLC?
答:不可以。无线LAN控制器(WLC)只能配置在一个移动组中。
问: AP是否可以加入属于与当前关联的移动组不同的移动组的WLC?
答:是的。默认情况下,当WLC断开时,如果该LAP配置为进行故障切换,则注册到此WLC的AP将故障切换至同一移动组的另一个WLC。但是,如果配置了备用控制器支持,则它可以是任何WLC(即使不在移动组中),并且接入点会故障切换到控制器(即使不在移动组中)。有关详细信息,请参阅N+1高可用性部署指南。
问: 如何在WLC之间交换移动消息?
A.控制器向其他成员控制器发送移动消息,并通过为客户端提供子网间移动性。移动消息可以作为单播或组播消息发送,其中仅发送移动消息的一个副本以到达移动组中的所有WLC。
Mobile Announce消息先在同一个组内发送,然后发送到列表中的其他组。
问: 有没有用于排除 WLC 之间的移动通信故障的命令?
答:无线LAN控制器(WLC)允许您通过移动ping测试测试移动通信环境。可以使用这些测试验证包括访客 WLC 在内的移动组成员之间的连接。有两种 ping 测试:
请确保在相同的移动组中配置 WLC 并确保可以使用移动 ping 对 WLC 执行 ping 测试。
有关详细信息,请参阅 Cisco 无线局域网控制器配置指南 8.10 版中的运行移动 Ping 测试。
问: 一个移动组中可以有多少控制器?
A.移动组最多可包含24个任意类型的WLC。移动组中支持的接入点数量由组中的 WLC 数量和 WLC 类型限定。
例如,如果控制器支持6000个接入点,则由24个此类控制器组成的移动组最多可支持144,000个接入点(24 * 6000 = 144,000个接入点)。
您可以向用于移动锚点(可锚定在不同移动组中)的移动列表中添加属于不同移动组的不同移动成员。列表中最多可包含 72 个成员,其中同一移动组中最多可有 24 个成员。
在移动列表中,允许移动组和成员的以下组合:
-
3个移动组,每个组有24个成员
-
12个移动组,每个组有6个成员
-
24个移动组,每个组有3个成员
-
72个移动组,每个组有1个成员
问: 什么是移动列表?控制器的移动列表中可以包含多少控制器?
A.移动列表是在单个控制器上配置的一组控制器,用于指定不同移动组中的成员。如果控制器包含在每个移动列表中,控制器可以在移动组之间通信,客户端可以在不同移动组中的接入点之间漫游。在此部分的示例中,控制器 1 可以与控制器 2 或 3 通信,但控制器 2 和控制器 3 只能与控制器 1 通信,而不能彼此通信。类似地,客户端可以在控制器 1 和控制器 2 之间或在控制器 1 和控制器 3 之间漫游,但不能在控制器 2 和控制器 3 之间漫游。
Example:
Controller 1 Controller 2 Controller 3
Mobility group: A Mobility group: B Mobility group: C
Mobility list: Mobility list: Mobility list:
Controller 1 (group A) Controller 1 (group A) Controller 1 (group A)
Controller 2 (group B) Controller 2 (group B) Controller 3 (group C)
Controller 3 (group C)
WLC支持控制器移动列表中最多72个控制器,并可跨多个移动组进行无缝漫游。通过无缝漫游,客户端在所有移动组中维护其IP地址。但是,只有移动组的内部漫游才支持 Cisco 集中密钥管理 (CCKM) 和积极密钥缓存 (PKC)。当客户端在漫游时跨越移动组边界时,客户端会进行完全身份验证,但会保留IP地址,并且会为第3层漫游启动EtherIP隧道。
问: 如何保护或加密WLC之间交换的移动消息?
答为,要保护在无线局域网控制器(WLC)之间交换的移动消息,您可以启用安全链路,在该链路中数据可以通过CAPWAP DTLS协议进行加密,从而可以在锚点和外部控制器之间建立安全链路。此安全链路称为加密移动隧道。
如果加密的移动隧道处于启用状态,数据流量将被加密,并且控制器使用UDP端口16667(而不是EoIP)发送数据流量。
为此,可发出 config mobility secure-mode enable 命令。
如果有防火墙,请确保打开 UDP 端口 16667。
为确保启用此模式,请在 show mobility summary 命令的输出中验证该移动协议端口。
端口 16667 表示安全模式(加密)。端口 16666 表示非安全模式(未加密)。
问: 启用加密移动隧道的限制是什么?
答:您可以在Cisco Wireless LAN Controller Configuration Guide, Release 8.10的Restrictions on Encrypted Mobility Tunnel 部分找到启用加密移动隧道的限制。
问: 什么是移动锚点?
A.移动锚点(也称为访客隧道或自动锚点移动)是一项功能,其中属于WLAN(特别是访客WLAN)的所有客户端流量通过隧道传输到预定义的WLC或配置为特定WLAN的锚点的一组控制器。此功能有助于将客户端限定于某个特定子网并更好地控制用户流量。有关此功能的详细信息,请参阅Cisco无线LAN控制器配置指南8.10版的配置自动锚点移动部分。
问: RF 组和移动组之间的区别是什么?
A.
移动组:
无线电射频 (RF) 组:
问: 如果NAT设备后面有一个或多个控制器,移动组是否在WLC之间工作?
答:是的。移动消息负载携带有关源控制器的 IP 地址信息。用 IP 报头的源 IP 地址验证此 IP 地址。当网络中引入网络地址转换NAT设备时,此行为会产生问题,因为它会更改IP报头中的源IP地址。因此,在访客 WLAN 功能中,通过 NAT 设备路由的任何移动数据包将因 IP 地址不匹配而被丢弃。
在WLC中,移动组查找更改为使用源控制器的MAC地址。由于源IP地址因NAT设备中创建的映射而更改,因此在发送回复之前会搜索移动组数据库,以获取发出请求的控制器的IP地址。以发出请求的控制器的 MAC 地址完成此操作。
在启用NAT的网络中配置移动组时,请输入从NAT设备而不是控制器管理接口IP地址发送到控制器的IP地址。
此外,如果使用防火墙(例如PIX),请确保这些端口在防火墙上处于打开状态:
-
隧道16666制流量的UDP协议
-
用于用户数据流量的 IP 协议 97
-
用于SNMP的UDP 161和162
有关详细信息,请参阅将移动组与 NAT 设备配合使用。
相关信息
反馈