無線域服務配置

簡介

本檔案介紹無線網域服務(WDS)的概念。 本檔案還說明如何將一個存取點(AP)或無線LAN服務模組(Wireless LAN Services Module， WLSM)設定為WDS，以及至少將另一個設定為基礎架構AP。本文檔中的過程將引導您找到功能正常的WDS，並允許客戶端關聯到WDS AP或基礎架構AP。本文檔旨在建立一個基礎，您可以根據此基礎配置快速安全漫遊，或將無線LAN解決方案引擎(WLSE)引入網路，以便使用這些功能。

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

• 全面瞭解無線LAN網路和無線安全問題。

• 瞭解當前的可擴展身份驗證協定(EAP)安全方法。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 使用Cisco IOS®軟體的AP

• Cisco IOS軟體版本12.3(2)JA2或更新版本

• Catalyst 6500系列無線LAN服務模組

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從介面BVI1上的已清除（預設）組態和IP位址啟動，因此可從Cisco IOS軟體GUI或指令行介面(CLI)存取裝置。 如果您在即時網路中工作，請確保您瞭解任何命令的潛在影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

無線域服務

WDS是Cisco IOS軟體中AP的新功能，是Catalyst 6500系列WLSM的基礎。WDS是一個核心功能，支援其他功能，例如：

• 快速安全漫遊

• WLSE互動

• 無線電管理

必須先在參與WDS的AP和WLSM之間建立關係，其他任何基於WDS的功能才能工作。WDS的用途之一是消除驗證伺服器驗證使用者憑據的需要，並減少客戶端驗證所需的時間。

要使用WDS，必須指定一個AP或WLSM作為WDS。WDS AP必須使用WDS使用者名稱和密碼與身份驗證伺服器建立關係。身份驗證伺服器可以是外部RADIUS伺服器，也可以是WDS AP中的本地RADIUS伺服器功能。WLSM必須與身份驗證伺服器建立關係，即使WLSM不需要向伺服器進行身份驗證。

其他AP（稱為基礎設施AP）與WDS通訊。在進行註冊之前，基礎設施AP必須向WDS驗證其自身。WDS上的基礎結構伺服器組定義此基礎結構身份驗證。

WDS上的一個或多個客戶端伺服器組定義客戶端身份驗證。

當客戶端嘗試關聯到基礎設施AP時，基礎設施AP會將使用者的憑證傳遞到WDS進行驗證。如果WDS第一次看到憑證，則WDS會轉到身份驗證伺服器來驗證憑證。然後WDS快取憑證，以便消除相同使用者再次嘗試身份驗證時返回身份驗證伺服器的需要。重新身份驗證的示例包括：

• 重新鍵入

• 漫遊

• 使用者啟動客戶端裝置時

任何基於RADIUS的EAP身份驗證協定都可以通過WDS進行隧道傳輸，如下所示：

• 輕量EAP(LEAP)

• 受保護的EAP(PEAP)

• EAP — 傳輸層安全(EAP-TLS)

• 通過安全通道的EAP-Flexible Authentication(EAP-FAST)

MAC地址身份驗證還可以通過隧道連線到外部身份驗證伺服器，或針對WDS AP的本地清單進行身份驗證。WLSM不支援MAC地址身份驗證。

WDS和基礎架構AP通過稱為WLAN情景控制協定(WLCCP)的組播協定進行通訊。 這些組播消息無法路由，因此WDS和相關基礎設施AP必須位於同一個IP子網和同一個LAN網段上。在WDS和WLSE之間，WLCCP在埠2887上使用TCP和使用者資料包協定(UDP)。當WDS和WLSE位於不同的子網中時，網路地址轉換(NAT)等協定無法轉換資料包。

配置為WDS裝置的AP最多支援60個參與的AP。配置為WDS裝置的整合服務路由器(ISR)最多支援100個參與的AP。配備WLSM的交換機支援多達600個參與的AP和240個移動組。單個AP最多支援16個移動組。

注意：思科建議基礎設施AP運行與WDS裝置相同版本的IOS。如果您使用較舊版本的IOS，AP可能無法向WDS裝置進行身份驗證。此外，Cisco建議您使用最新版本的IOS。您可以在Wireless downloads頁面中找到最新版本的IOS。

WDS裝置的角色

WDS裝置在無線LAN上執行多項任務：

• 通告其WDS功能並參與為您的無線LAN選擇最佳WDS裝置。為WDS配置無線LAN時，需要將一台裝置設定為主要WDS候選裝置，將一台或多台其他裝置設定為備用WDS候選裝置。如果主WDS裝置離線，則其中一個備份WDS裝置將取而代之。

• 對子網中的所有AP進行身份驗證，並與其中每個AP建立安全通訊通道。

• 從子網中的AP收集無線電資料，聚合資料並將其轉發到網路上的WLSE裝置。

• 充當與參與的AP關聯的所有802.1x身份驗證客戶端裝置的傳遞過程。

• 註冊子網中使用動態金鑰的所有客戶端裝置，為其建立會話金鑰，並快取其安全憑據。當客戶端漫遊到另一個AP時，WDS裝置會將客戶端的安全憑證轉發到新AP。

使用WDS裝置的接入點的角色

在以下活動中，無線LAN上的AP與WDS裝置互動：

• 發現並跟蹤當前WDS裝置，並將WDS通告中繼到無線LAN。

• 向WDS裝置驗證並建立與WDS裝置的安全通訊通道。

• 向WDS裝置註冊關聯的客戶端裝置。

• 向WDS裝置報告無線電資料。

組態

WDS以有序的模組化方式顯示配置。每個概念都建立在先前的概念之上。WDS省略了密碼、遠端訪問和無線電設定等其他配置專案，以清晰度並專注於核心主題。

本節提供設定本檔案中所述功能所需的資訊。

註：使用Command Lookup Tool(僅供已註冊客戶使用)可獲取本節中使用的命令的詳細資訊。

將AP指定為WDS

第一步是指定一個AP作為WDS。WDS AP是唯一與身份驗證伺服器進行通訊的接入點。

完成以下步驟，將AP指定為WDS:

1. 要在WDS AP上配置身份驗證伺服器，請選擇Security > Server Manager以轉至「伺服器管理器」頁籤：

   1. 在Corporate Servers下，在Server欄位中鍵入身份驗證伺服器的IP地址。

   2. 指定共用金鑰和埠。

   3. 在Default Server Priorities下，將Priority 1欄位設定為相應身份驗證型別下的該伺服器IP地址。

      

      或者，也可以從CLI發出以下命令：

      WDS_AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#aaa group server radius rad_eap WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646 WDS_AP(config-sg-radius)#exit WDS_AP(config)#aaa new-model WDS_AP(config)#aaa authentication login eap_methods group rad_eap WDS_AP(config)#radius-server host 10.0.0.3 auth-port 1645 acct-port 1646 key labap1200ip102 !--- This command appears over two lines here due to space limitations. WDS_AP(config)#end WDS_AP#write memory

2. 下一步是將身份驗證伺服器中的WDS AP配置為身份驗證、授權和記帳(AAA)客戶端。為此，您需要將WDS AP新增為AAA客戶端。請完成以下步驟：

   注意：本文檔使用Cisco Secure ACS伺服器作為身份驗證伺服器。

   1. 在Cisco Secure Access Control Server(ACS)中，這發生在Network Configuration頁面上，您可以在該頁面中為WDS AP定義以下屬性：

      • 名稱

      • IP 位址

      • 共用金鑰

      • 認證方法

        • RADIUS Cisco Aironet

        • RADIUS Internet工程任務組[IETF]

      按一下Submit。

      對於其它非ACS身份驗證伺服器，請參閱製造商提供的文檔。

      

   2. 此外，在Cisco Secure ACS中，請確保在System Configuration - Global Authentication Setup頁面上配置ACS以執行LEAP身份驗證。首先，按一下System Configuration，然後按一下Global Authentication Setup。

      

   3. 向下滾動頁面至LEAP設定。選中此框時，ACS會驗證LEAP。

      

3. 要在WDS AP上配置WDS設定，請在WDS AP上選擇Wireless Services > WDS，然後按一下General Set-Up頁籤。請執行以下步驟：

   1. 在WDS-Wireless Domain Services - Global Properties下，選中Use this AP as Wireless Domain Services。

   2. 將Wireless Domain Services Priority欄位的值設定為大約254，因為這是第一個值。您可以將一個或多個AP或交換機配置為提供WDS的候選裝置。具有最高優先順序的裝置提供WDS。

      

      或者，也可以從CLI發出以下命令：

      WDS_AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#wlccp wds priority 254 interface BVI1 WDS_AP(config)#end WDS_AP#write memory

4. 選擇Wireless Services > WDS，然後轉到Server Groups頁籤：

   1. 定義驗證其他AP的伺服器組名稱，即基礎結構組。

   2. 將Priority 1設定為先前配置的身份驗證伺服器。

   3. 按一下Use Group For:Infrastructure Authentication單選按鈕。

   4. 將設定應用到相關的服務集識別符號(SSID)。

      

      或者，也可以從CLI發出以下命令：

      WDS_AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#wlccp authentication-server infrastructure method_Infrastructure WDS_AP(config)#aaa group server radius Infrastructure WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646 WDS_AP(config-sg-radius)#exit WDS_AP(config)#aaa authentication login method_Infrastructure group Infrastructure WDS_AP(config)#end WDS_AP#write memory !--- Some of the commands in this table appear over two lines here due to !--- space limitations. Ensure that you enter these commands in a single line.

5. 將WDS使用者名稱和密碼配置為身份驗證伺服器中的使用者。

   在Cisco Secure ACS中，這發生在User Setup頁面上，您可以在該頁面中定義WDS使用者名稱和密碼。對於其它非ACS身份驗證伺服器，請參閱製造商提供的文檔。

   注意：不要將WDS使用者放在分配了許多許可權和許可權的組中 — WDS只需要有限的身份驗證。

   

6. 選擇Wireless Services > AP，然後為Participate in SWAN infrastructure選項按一下Enable。然後鍵入WDS使用者名稱和密碼。

   必須在身份驗證伺服器上為指定WDS成員的所有裝置定義WDS使用者名稱和密碼。

   

   或者，也可以從CLI發出以下命令：

   WDS_AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#wlccp ap username wdsap password wdsap WDS_AP(config)#end WDS_AP#write memory

7. 選擇Wireless Services > WDS。在「WDS AP WDS狀態」頁籤上，檢查WDS AP是否出現在「WDS資訊」區域的「活動狀態」中。AP還必須出現在AP資訊區域中，其狀態為已註冊。

   1. 如果AP未顯示「已註冊」或「活動」，請檢查身份驗證伺服器是否有任何錯誤或身份驗證嘗試失敗。

   2. 當AP正確註冊時，新增基礎設施AP以使用WDS的服務。

      

      或者，也可以從CLI發出以下命令：

      WDS_AP#show wlccp wds ap MAC-ADDR IP-ADDR STATE LIFETIME 0005.9a38.429f 10.0.0.102 REGISTERED 261 WDS_AP#show wlccp ap WDS = 0005.9a38.429f, 10.0.0.102 state = wlccp_ap_st_registered IN Authenticator = 10.0.0.102 MN Authenticator = 10.0.0.102 WDS_AP#

      注意：您無法測試客戶端關聯，因為客戶端身份驗證還沒有設定。

將WLSM指定為WDS

本節說明如何將WLSM配置為WDS。WDS是唯一與身份驗證伺服器進行通訊的裝置。

註：在WLSM的enable命令提示符下發出這些命令，而不是Supervisor Engine 720的命令。若要進入WLSM的命令提示符，請在Supervisor Engine 720的enable命令提示符下發出以下命令：

c6506#session slot x proc 1

 !--- In this command, x is the slot number where the WLSM resides. 
The default escape character is Ctrl-^, then x.
You can also type 'exit' at the remote prompt to end the session
Trying 127.0.0.51 ... Open


User Access Verification

Username: <username>
Password:  <password>

wlan>enable
Password: <enable password>
wlan#

注意：為了更輕鬆地排除故障和維護WLSM，請配置對WLSM的Telnet遠端訪問。請參閱配置Telnet遠端訪問。

若要將WLSM指定為WDS:

1. 在WLSM的CLI上，發出以下命令，並與身份驗證伺服器建立關係：

   wlan#configure terminal Enter configuration commands, one per line. End with CNTL/Z. wlan(config)#aaa new-model wlan(config)#aaa authentication login leap-devices group radius wlan(config)#aaa authentication login default enable wlan(config)#radius-server host ip_address_of_authentication_server auth-port 1645 acct-port 1646 !--- This command needs to be on one line. wlan(config)#radius-server key shared_secret_with_server wlan(config)#end wlan#write memory

   注意：WLSM中沒有優先順序控制。如果網路包含多個WLSM模組，則WLSM會使用冗餘配置來確定主模組。

2. 將身份驗證伺服器中的WLSM配置為AAA客戶端。

   在Cisco Secure ACS中，這發生在Network Configuration頁面上，您可以在該頁面中為WLSM定義以下屬性：

   • 名稱

   • IP 位址

   • 共用金鑰

   • 認證方法

     • RADIUS Cisco Aironet

     • RADIUS IETF

   對於其它非ACS身份驗證伺服器，請參閱製造商提供的文檔。

   

   1. 此外，在Cisco Secure ACS中，將ACS配置為在System Configuration - Global Authentication Setup頁面上執行LEAP身份驗證。首先，按一下System Configuration，然後按一下Global Authentication Setup。

      

   2. 向下滾動頁面至LEAP設定。選中此框時，ACS會驗證LEAP。

      

3. 在WLSM上，定義驗證其他AP（基礎結構伺服器組）的方法。

   wlan#configure terminal Enter configuration commands, one per line. End with CNTL/Z. wlan(config)#wlccp authentication-server infrastructure leap-devices wlan(config)#end wlan#write memory

4. 在WLSM上，定義驗證客戶端裝置（客戶端伺服器組）以及這些客戶端使用的EAP型別的方法。

   wlan#configure terminal Enter configuration commands, one per line. End with CNTL/Z. wlan(config)#wlccp authentication-server client any leap-devices wlan(config)#end wlan#write memory

   註：此步驟無需執行定義客戶端驗證方法流程。

5. 在Supervisor Engine 720和WLSM之間定義唯一的VLAN，以允許WLSM與外部實體（如AP和身份驗證伺服器）通訊。此VLAN在網路中的其他任何位置或用於任何其他用途。首先在Supervisor Engine 720上建立VLAN，然後發出以下命令：

   • 在Supervisor Engine 720上：

     c6506#configure terminal Enter configuration commands, one per line. End with CNTL/Z. c6506(config)#wlan module slot_number allowed-vlan vlan_number c6506(config)#vlan vlan_number c6506(config)#interface vlan vlan_number c6506(config-if)#ip address ip_address subnet_mask c6506(config-if)#no shut c6506(config)#end c6506#write memory

   • 在WLSM上：

     wlan#configure terminal Enter configuration commands, one per line. End with CNTL/Z. wlan(config)#wlan vlan vlan_number wlan(config)#ipaddr ip_address subnet_mask wlan(config)#gateway ip_address_of_vlan_interface_on_Sup720_created_above wlan(config)#ip route 0.0.0.0 0.0.0.0 !--- This is typically the same address as the gateway statement. wlan(config)#admin wlan(config)#end wlan#write memory

6. 使用以下命令驗證WLSM的功能：

   • 在WLSM上：

     wlan#show wlccp wds mobility LCP link status: up HSRP state: Not Applicable Total # of registered AP: 0 Total # of registered MN: 0 Tunnel Bindings: Network ID Tunnel IP MTU FLAGS ========== =============== ========= ===== 1476 T Flags: T=Trusted, B=IP Broadcast enabled, N=Nonexistent wlan#

   • 在Supervisor Engine 720上：

     c6506#show mobility status WLAN Module is located in Slot: 5 (HSRP State: Active) LCP Communication status : up Number of Wireless Tunnels : 0 Number of Access Points : 0 Number of Access Points : 0

將AP指定為基礎設施裝置

接下來，您必須指定至少一個基礎架構AP並將該AP關聯到WDS。客戶端與基礎設施AP關聯。基礎架構AP請求WDS AP或WLSM為其執行身份驗證。

完成以下步驟，以便新增使用WDS服務的基礎架構AP:

注意：此配置僅適用於基礎設施AP，而不適用於WDS AP。

1. 選擇Wireless Services > AP。在基礎架構AP上，選擇Enable以啟用無線服務選項。然後鍵入WDS使用者名稱和密碼。

   必須在身份驗證伺服器上為要成為WDS成員的所有裝置定義WDS使用者名稱和密碼。

   

   或者，也可以從CLI發出以下命令：

   WDS_AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Infrastructure_AP(config)#wlccp ap username infrastructureap password infrastructureap Infrastructure_AP(config)#end Infrastructure_AP#write memory

2. 選擇Wireless Services > WDS。在WDS AP WDS狀態頁籤上，新的基礎架構AP出現在WDS資訊區域中，狀態為活動，在AP資訊區域中，狀態為註冊。

   1. 如果AP未顯示為ACTIVE和/或REGISTERED，請檢查身份驗證伺服器是否有任何錯誤或身份驗證嘗試失敗。

   2. 在AP顯示ACTIVE和/或REGISTERED後，向WDS新增客戶端身份驗證方法。

      

      或者，也可以從CLI發出以下命令：

      WDS_AP#show wlccp wds ap MAC-ADDR IP-ADDR STATE LIFETIME 000c.8547.b6c7 10.0.0.108 REGISTERED 194 0005.9a38.429f 10.0.0.102 REGISTERED 76

      或者，從WLSM發出以下命令：

      wlan#show wlccp wds ap MAC-ADDR IP-ADDR STATE LIFETIME 000c.8547.b6c7 10.0.0.108 REGISTERED 194 0005.9a38.429f 10.0.0.102 REGISTERED 76 wlan#

      然後在基礎架構AP上發出以下命令：

      Infrastructure_AP#show wlccp ap WDS = 0005.9a38.429f, 10.0.0.102 state = wlccp_ap_st_registered IN Authenticator = 10.0.0.102 MN Authenticator = 10.0.0.102 Infrastructure_AP#

      注意：您無法測試客戶端關聯，因為客戶端身份驗證還沒有設定。

定義客戶端身份驗證方法

最後，定義客戶端身份驗證的方法。

完成以下步驟以新增客戶端身份驗證方法：

1. 選擇Wireless Services > WDS。在WDS AP伺服器組頁籤上執行以下步驟：

   1. 定義驗證客戶端的伺服器組（客戶端組）。

   2. 將Priority 1設定為先前配置的身份驗證伺服器。

   3. 設定適用的身份驗證型別（LEAP、EAP、MAC等）。

   4. 將設定應用到相關SSID。

      

      或者，也可以從CLI發出以下命令：

      WDS_AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. WDS_AP(config)#wlccp authentication-server client eap method_Client WDS_AP(config)#wlccp authentication-server client leap method_Client WDS_AP(config)#aaa group server radius Client WDS_AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646 WDS_AP(config-sg-radius)#exit WDS_AP(config)#aaa authentication login method_Client group Client WDS_AP(config)#end WDS_AP#write memory

      注意：示例WDS AP是專用的，不接受客戶端關聯。

      注意：請勿在基礎架構AP上配置伺服器組，因為基礎架構AP會將任何請求轉發到WDS以進行處理。

2. 在基礎架構AP或AP上：

   1. 在Security > Encryption Manager選單項下，根據您使用的身份驗證協定的要求，按一下WEP Encryption或Cipher。

      

   2. 在Security > SSID Manager選單項下，選擇您使用的身份驗證協定所需的身份驗證方法。

      

3. 現在，您可以成功測試客戶端是否對基礎架構AP進行身份驗證。WDS狀態頁籤中(在Wireless Services > WDS選單項下)的WDS的AP指示客戶端出現在「移動節點資訊」區域中，並且具有「已註冊」狀態。

   如果客戶端沒有出現，請檢查身份驗證伺服器是否存在任何錯誤或客戶端的身份驗證嘗試失敗。

   

   或者，也可以從CLI發出以下命令：

   WDS_AP#show wlccp wds MAC: 0005.9a38.429f, IP-ADDR: 10.0.0.102 , Priority: 254 Interface BVI1, State: Administratively StandAlone - ACTIVE AP Count: 2 , MN Count: 1 WDS_AP#show wlccp wds mn MAC-ADDR IP-ADDR Cur-AP STATE 0030.6527.f74a 10.0.0.25 000c.8547.b6c7 REGISTERED WDS_AP#

   注意：如果需要調試身份驗證，請確保在WDS AP上進行調試，因為WDS AP是與身份驗證伺服器通訊的裝置。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。此清單顯示與WDS命令相關的一些常見問題，以便進一步說明這些命令的用途：

• 問題：在WDS AP上，這些專案的建議設定是什麼？

  • radius-server timeout

  • radius-server deadtime

  • 臨時金鑰完整性協定(TKIP)消息完整性檢查(MIC)故障保持時間

  • 客戶端暫停時間

  • EAP或MAC重新身份驗證間隔

  • EAP客戶端超時（可選）

  答案：建議您將配置保留為有關這些特殊設定的預設設定，並且僅在時間方面出現問題時使用它們。

  以下是WDS AP的建議設定：

  • 禁用radius-server timeout。這是AP在重新傳送請求之前等待回覆RADIUS請求的秒數。預設值為5秒。

  • 禁用radius-server deadtime。除非所有伺服器都標籤為停用，否則會在數分鐘內由其他要求跳過RADIUS。

  • 預設情況下，TKIP MIC故障保持時間啟用為60秒。如果啟用暫停時間，可以輸入時間間隔（以秒為單位）。如果AP在60秒內檢測到兩個MIC故障，它將在此處指定的暫停時間段內阻止該介面上的所有TKIP客戶端。

  • 預設情況下應禁用客戶端暫停時間。如果啟用暫掛，請輸入在處理後續身份驗證請求之前AP在身份驗證失敗後應等待的秒數。

  • 預設情況下，EAP或MAC重新驗證間隔處於禁用狀態。如果啟用重新身份驗證，則可以指定間隔或接受身份驗證伺服器給定的間隔。如果選擇指定時間間隔，請輸入AP在強制經過身份驗證的客戶端重新進行身份驗證之前等待的時間間隔（以秒為單位）。

  • 預設情況下，EAP客戶端超時（可選）為120秒。輸入AP應等待無線客戶端響應EAP身份驗證請求的時間。

• 問題：關於TKIP保持時間，我讀到應將其設定為100毫秒，而不是60秒。我假定它在瀏覽器中設定為一秒，因為它是您所能選擇的最低數字？

  答案：沒有將其設定為100 ms的具體建議，除非報告有故障，而唯一的解決方案就是增加此時間。一秒是最低設定。

• 問題：這兩個命令是否以任何方式幫助客戶端進行身份驗證？在WDS或基礎設施AP上是否需要這兩個命令？

  • radius-server attribute 6 on-for-login-auth

  • radius-server attribute 6 support-multiple

  答案：這些命令對身份驗證過程沒有幫助，WDS或AP不需要這些命令。

• 問題：在基礎結構AP上，我假設不需要伺服器管理器和全域性屬性設定，因為AP從WDS接收資訊。基礎架構AP是否需要這些特定命令？

  • radius-server attribute 6 on-for-login-auth

  • radius-server attribute 6 support-multiple

  • radius-server timeout

  • radius-server deadtime

  答案：基礎架構AP不需要伺服器管理器和全域性屬性。WDS負責該任務，無需進行以下設定：

  • radius-server attribute 6 on-for-login-auth

  • radius-server attribute 6 support-multiple

  • radius-server timeout

  • radius-server deadtime

  預設情況下，radius-server attribute 32 include-in-access-req format %h設定保持不變，並且是必需的。

AP是第2層裝置。因此，當AP配置為充當WDS裝置時，AP不支援第3層移動。只有將WLSM配置為WDS裝置時，才能實現第3層移動性。請參閱Cisco Catalyst 6500系列無線LAN服務模組的第3層行動架構一節：獲取更多資訊的白皮書。

因此，將AP配置為WDS裝置時，不要使用mobility network-id命令。此命令適用於第3層移動性，您需要將WLSM作為WDS裝置來正確配置第3層移動性。如果您未正確使用mobility network-id命令，則可能會看到以下一些症狀：

• 無線客戶端無法與AP關聯。

• 無線客戶端可以與AP關聯，但不會從DHCP伺服器接收IP地址。

• 當您部署WLAN語音時，無線電話不會通過身份驗證。

• EAP身份驗證未發生。在配置mobility network-id後，AP會嘗試建立通用路由封裝(GRE)隧道以轉發EAP資料包。如果沒有建立通道，資料包不會到達任何地方。

• 配置為WDS裝置的AP無法按預期工作，並且WDS配置無法工作。

  注意：您不能將Cisco Aironet 1300 AP/網橋配置為WDS主裝置。1300 AP/網橋不支援此功能。1300 AP/網橋可以作為基礎設施裝置加入WDS網路，其中某些其他AP或WLSM配置為WDS主裝置。

疑難排解指令

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

附註：使用 debug 指令之前，請先參閱有關 Debug 指令的重要資訊。

• debug dot11 aaa authenticator all — 顯示客戶端通過802.1x或EAP進程進行關聯和身份驗證時經歷的各種協商。此偵錯是在Cisco IOS軟體版本12.2(15)JA中匯入。此指令在that和更新版本中取代debug dot11 aaa dot1x all。

• debug aaa authentication — 從通用AAA角度顯示身份驗證過程。

• debug wlccp ap — 顯示AP加入WDS時涉及的WLCCP協商。

• debug wlccp packet — 顯示有關WLCCP協商的詳細資訊。

• debug wlccp leap-client — 在基礎設施裝置加入WDS時顯示詳細資訊。

相關資訊

• 配置WDS、快速安全漫遊和無線電管理
• Catalyst 6500系列無線LAN服務模組組態說明
• 配置密碼套件和WEP
• 配置身份驗證型別
• 無線LAN支援頁面
• 技術支援與文件 - Cisco Systems