一、项目背景
大多数直播是采用现场定点直播,若遇到企业愿意公开正在运行的车间状态,提升企业运行的真实性,或宣讲企业的非涉密业务环境,而环境的地理范围较大时,进一步扩展现场移动直播的地理范围。
职业学校或技工学校、技师学院直播介绍实训的场地,实训的设备涉及多个专业或实训室时,直播宣讲涉及的范围较大,可能跨楼层、跨楼栋,也就可能跨AC控制器的管理范围,本例以2台AC之间跨大的地理范围漫游直播不断线,原划分的vlan不变、各AC纳管的AP不变的情况下,以华为设备为例实现大地理范围的移动直播。
网络架构说明:
本例采用直连AC跨vlan在2台AC之间实现三层漫游。
二、移动直播
1、物理位置跨楼层的移动直播,移动直播对网络有较高要求,核心在于上行带宽、低延迟和稳定性。
2、移动直播使用无线wifi,比有线网移动更稳定,有线网移动过程中易导致接触不良而丢数据包,从而卡顿或画面不连续。
3、移动直播距离远,至少在同一个无线控制器AC纳管的多个无线接入点AP之间切换直播的无线信号,漫游切换过程中需要低延迟;地理范围更广则可能需要在2台无线控制器AC之间完成无缝漫游,从而实现低延迟信号切换。
4、移动直播过程中,可能涉及一些过道、走廊、平时少用的地理区域未覆盖wifi网络,若要使移动过程中直播画面不中断,则需要在这些区域增加无线接入点AP,原本无线控制器AC的授权点位数已经满的情况下,则需要增加新的无线控制器AC,从而在2台无线控制器AC之间实现漫游。
5、终端在不同AP之间的漫游,上一篇文章已经完成,请参考:
文章:AC旁挂+不同区域不同网段+同名wifi同密码 ------实现无线终端智能漫游
链接:https://blog.csdn.net/weixin_43075093/article/details/159953595
本例主要完成不同AC之间的AP接入的终端用户漫游。
三、拓扑图
四、配置过程
(一)配置基础网络
1、AR1运营商端路由器配置:
sysname AR1
interface GigabitEthernet0/0/0
ip address 172.16.2.1 255.255.255.0
interface LoopBack0
ip address 10.10.10.10 255.255.255.255
2、AR2企业端路由器配置:
sysname AR2
acl number 2001
rule 5 permit
interface GigabitEthernet0/0/0
ip address 172.16.2.2 255.255.255.0
nat outbound 2001
interface GigabitEthernet0/0/1
ip address 172.16.3.2 255.255.255.0
interface GigabitEthernet0/0/2
ip address 172.16.4.2 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 172.16.2.1
ip route-static 192.168.10.0 255.255.255.0 172.16.3.1
ip route-static 192.168.20.0 255.255.255.0 172.16.4.1
3、无线控制器AC1配置
sysname AC1
vlan batch 2 10 20
dhcp enable
interface Vlanif3
ip address 172.16.3.1 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 172.16.3.2
dhcp server dns-list 8.8.8.8 114.114.114.114
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8 114.114.114.114
interface GigabitEthernet0/0/1
port link-type access
port default vlan 3
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 3 10
ip route-static 0.0.0.0 0.0.0.0 172.16.3.2
ip route-static 172.16.4.0 255.255.255.0 172.16.3.2
capwap source interface vlanif3
wlan
ap auth-mode no-auth #下面的指令等AP上线后再配置
security-profile name zhibo5G
security wpa2 psk pass-phrase a1234567 aes
security-profile name zhibo2.4G
security wpa2 psk pass-phrase a1234567 aes
ssid-profile name zhibo5G
ssid zhibo5G
ssid-profile name zhibo2.4G
ssid zhibo2.4G
vap-profile name zhibo5G
forward-mode tunnel
service-vlan vlan-id 10
ssid-profile zhibo5G
security-profile zhibo5G
vap-profile name zhibo2.4G
forward-mode tunnel
service-vlan vlan-id 10
ssid-profile zhibo2.4G
security-profile zhibo2.4G
regulatory-domain-profile name zh
rrm-profile name zhiborrm
rrm-profile name rrm
smart-roam enable
smart-roam roam-threshold check-snr check-rate
smart-roam roam-threshold snr 25
smart-roam roam-threshold rate 25
radio-2g-profile name wlan2g
rrm-profile zhiborrm
radio-5g-profile name wlan5g
rrm-profile zhiborrm
mobility-group name mobility
member ip-address 172.16.3.1
member ip-address 172.16.4.1
ap-group name group1
regulatory-domain-profile zh
radio 0
radio-2g-profile wlan2g
vap-profile zhibo2.4G wlan 1
radio 1
radio-5g-profile wlan5g
vap-profile zhibo5G wlan 1
ap-id 0 ap-mac 00e0-fc61-7b90
ap-name Area1_ap1
ap-group group1
ap-id 1 ap-mac 00e0-fcfa-5370
ap-name Area1_AP2
ap-group group1
4、无线控制器AC2配置
sysname AC2
vlan batch 4 10 20
dhcp enable
interface Vlanif4
ip address 172.16.4.1 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 172.16.4.2
dhcp server dns-list 8.8.8.8 114.114.114.114
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8 114.114.114.114
interface GigabitEthernet0/0/1
port link-type access
port default vlan 4
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 4 20
ip route-static 0.0.0.0 0.0.0.0 172.16.4.2
ip route-static 192.168.3.0 255.255.255.0 172.16.4.2
capwap source interface vlanif4
wlan
ap auth-mode no-auth #下面的指令等AP上线后再配置
security-profile name wifi5G
security wpa2 psk pass-phrase a1234567 aes
security-profile name wifi2.4G
security wpa2 psk pass-phrase a1234567 aes
ssid-profile name wifi5G
ssid zhibo5G
ssid-profile name wifi2.4G
ssid zhibo2.4G
vap-profile name wifi5G
forward-mode tunnel
service-vlan vlan-id 20
ssid-profile wifi5G
security-profile wifi5G
vap-profile name wifi2.4G
forward-mode tunnel
service-vlan vlan-id 20
ssid-profile wifi2.4G
security-profile wifi2.4G
regulatory-domain-profile name zh
rrm-profile name rrm20
smart-roam enable
smart-roam roam-threshold check-snr check-rate
smart-roam roam-threshold snr 25
smart-roam roam-threshold rate 25
radio-2g-profile name wlan2g
rrm-profile rrm20
radio-5g-profile name wlan5g
rrm-profile rrm20
mobility-group name mobility
member ip-address 172.16.4.1
member ip-address 172.16.3.1
ap-group name group2
regulatory-domain-profile zh
radio 0
radio-2g-profile wlan2g
vap-profile wifi2.4G wlan 1
radio 1
radio-5g-profile wlan5g
vap-profile wifi5G wlan 1
ap-id 0 ap-mac 00e0-fc9f-5a30
ap-name Area2_ap3
ap-group group2
5、LSW1接入交换机配置
sysname LSW1
vlan batch 3 10
interface Ethernet0/0/1
port link-type trunk
port trunk pvid vlan 3
port trunk allow-pass vlan 3 10
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 3 10
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 3
port trunk allow-pass vlan 3 10
6、LSW2接入交换机配置
sysname LSW2
vlan batch 4 20
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 4 20
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 4
port trunk allow-pass vlan 4 20
(二)检查基础网络连通性
(1)无线接入点AP1能获取到无线控制器AC1的DHCP地址池中的管理地址,说明无线控制器AC1开启的基于全局的DHCP服务运行正常,二层网络配置正确
(2)AP2能获取到取到无线控制器AC1的DHCP地址池中的管理地址,说明无线控制器AC1开启的基于全局的DHCP服务运行正常,二层网络配置正确;从AP2连接到公网10.10.10.10/32正常,说明从AP2到公网路由器的路由配置正确。
(3)无线接入点AP3能获取到取到无线控制器AC2的DHCP地址池中的管理地址,说明无线控制器AC2开启的基于全局的DHCP服务运行正常,二层网络配置正确;从无线接入点AP2连接到公网10.10.10.10/32正常,说明从AP3到公网路由器的路由配置正确。从无线接入点AP3到无线接入点AP2能ping通,说明从AP3到AP2之间的路由配置正确。
(4)关键验证从无线控制器AC1到无线控制器AC2的连通性(AC之间需要建立漫游组,确保漫游组工作正常的基础),能正常连通说明从无线控制器AC1到无线控制器AC2之间的路由配置正确
(三)配置无线接入点AP检查连通性
1、无线控制器AC1配置使无线接入点AP1、AP2上线
(1)在AC1上查看是否有AP上线,AP未上线前,如下图所示:
display ap all
(2)开启ap的认证模式为不认证,自动上线,稍等一会,再查看,即有2个AP已上线,如下图:
(3)把上线的AP重命名,并把它加入到已创建的AP组group1中
(4)在AC控制器端执行capwap source interface vlan 3指令后,在AP1端可以看到capwap link is up!!!
此时不要着急操作,等待AP的无线配置从AC控制器下发完成,在AP按回车会显示提示符为止。
(5)等AP重启动完成后,回到ACI的CLI命令提示符,执行display ap all,查看当前上线的AP,有2行,如下图:
在ENSP中可以看到发射出来的2.4G和5G信号圆圈,此时说明已有2个AP上线
2、无线控制器AC2配置使无线接入点AP3上线
(1)在AC2上同样的方式完成AP的认证模式为不认证直接上线,AC端指定无线配置的源接口为vlan 4,然后再查看AP上线,如下图:
(2)此时查看AP3获取到的ip地址,并能看到capwap link is up!!!说明AC正在下发无线配置给AP3,等待AP3重新启动
(3)AP3在接收到AC2下发的配置前,状态如下图:
(4)AP3在接收到AC2下发的配置后,状态如下图:
(四)检查STA终端到AP接入点无线网络连通性
1、启动STA1终端,打开它,可以看到vap列表中有2个无线信号,正是我们配置的好的无线wifi名称,如下图:
2、双击一个无线信号连接,输入我们配置的wifi密码a1234567
(3)此时会有一个正在获取ip地址的过程
(4)在终端STA1获取ip地址时,在AC1的G0/0/2接口处抓数据包如下图:
图中可以看出DHCP服务的过程,有dhcp discover、offer、request、ACK数据包,双击打开ACK的数据包,可以看到you client ip address:192.168.10.124,即为STA1获取到的ip地址。
(5)此时的状态为:已连接,如下图:
(6)回到命令行,执行ipconfig
可以看出,获取到的ip地址,与抓取数据包,分析数据包中结果看到的ip地址相同,所以抓取数据包分析网络的流量,对于我们知道网络流量的走向,或以后判断故障有帮助。
(7)测试STA1终端到公网ip之间可以正常连通,如下图:
五、验证结果
1、查看当前的漫游组是否正常工作
display mobility-group name mobility
上图中,state状态为normal,说明漫游组工作正常
2、查看vap-profile的转发模式,应为隧道模式tunnel
display vap-profile name zhibo2.4G
2、在STA1的命令提示符ping 10.10.10.10 -t ,执行连续ping的动作测试
3、将STA1从AP2移动到AP1的覆盖范围内
4、数据包连续,没有中断,如下图:
5、查看STA1终端漫游的轨迹
display station roam-track sta-mac 5489-98b7-1a04
从上图可以看出,经历了L2二层的漫游,STA1从Area1_AP2到Area1_ap1,来回移动了2次,轨迹显示如上图的列表。
6、查看在线终端、漫游终端
display station roam-statistics ap-id 0
7、查看 AC 整体漫游统计(包含漫游次数、失败次数、原因统计)
display station statistics
8、右击STA1,在wifi覆盖区域内任意自由移动,都能自动连接wifi,业务网络流量都不会中断,如下图是其中一次大范围的地理位置自由移动
9、多次自由移动后,查看漫游轨迹,在AP1与AP2之间漫游移动,在同一个交换机内,属于L2即二层漫游,再到AP3时,跨AC,跨vlan,跨三层网络了,所以为L3即三层漫游:
display station roam-track sta-mac 5489-98b7-1a04
10、整个验证过程看以下视频:
移动直播终端在2台AC之间的二层、三层漫游,整个过程不间断。
视频链接地址:https://live.csdn.net/v/528232
六、漫游的原理
(一)漫游的核心
1、在 2台AC各自AP数量已满(AP不跨AC冗余) 的场景下,要实现直播业务的无缝漫游,核心挑战在于跨AC时如何保持终端IP地址和会话状态不中断。
2、二层漫游 同一AC内AP间漫游(STA1 在 AC1 下的 AP1 <------> AP2 之间移动)
锚点机制: AC1作为本地控制器,漫游锚点 = AC1(首次关联的AC,即HAC),维护STA1的会话状态、安全上下文(PMK/PTK)、DHCP绑定。AP1和AP2都只是AC1的"射频延伸",漫游决策和状态维护都在AC1上完成。
3、三层漫游:跨AC漫游( STA1 从 AC1(企业车间1)移动到 AC2(企业车间2),即 AP2 <------> AP3 之间移动)
(二)通过AC间隧道保持终端IP和会话状态
终端A ──AP1──→ AC1 ──AC间隧道──→ AC2 ←──AP3←── 终端A
↑ ↑ ↑
VLAN10网关 漫游 VLAN20网关
(在AC1上) 锚点 (在AC2上)
(三)漫游的过程
(四)漫游的锚点
1、漫游锚点是终端在漫游过程中始终固定不变的网络 attachment point,它决定了"终端的 IP 网段归属、网关 MAC/IP 位置、认证会话和策略的锚点位置"
2、锚点不变 = IP 不变 = 会话不中断 = 无缝漫游
(五)锚点AC1的职责:
- 维护STA的IP/MAC绑定
- 维护安全上下文(无需重新802.1X/PSK认证)
- 作为业务数据转发的"锚点"
- 处理ARP/ DHCP续租等控制报文
(六)漫游锚点必须满足:
- 在终端的整个移动路径中始终可达
- 能够维护终端的 L2/L3 绑定关系(ARP/MAC)
- 不随终端接入位置变化而变化
综上所述,本例在移动直播、移动宣讲等趋势的推进下,移动直播的路径中需要增加一些无线接入点,才能确保移动直播不中断。项目背景是AC授权已满,无法采用VRRP的主备技术+HSB,所以采用了负载均衡+二层漫游+三层漫游的技术,完成了移动直播的网络部署。唯一美中不足的是,AC直连在拓扑图中,增加了AC的转发量,所以AC的出口的带宽与处理数据包的速度要快,否则会成为网络的瓶颈。
本文至此结束,不足之处敬请批评指正!