无限漫游
一、FAT?AP架構下,AP設備不做認證時:
(1)?AP1,AP2正常工作,發送Beacon幀,向STA通告支持的無線服務;?
(2)?STA搜索到AP1的信號,向AP1發Probe?Request,請求獲取AP1所提供的無線服務;AP1回應Probe?Response;?
(3)?STA向AP1發送認證請求報文(Authentication?Request)請求接入,AP1回應認證響應報文(Authentication?Response);?
(4)?STA向AP1發送關聯請求報文(Association?Request)進行關聯,AP1回應關聯響應報文(Association?Response)。STA與AP間建立鏈路層連接;
(5)?STA不需要進行身份認證,通過AP1成功連入網絡。
(6)當STA從AP1往AP2方向移動,感知到AP2的信號強度漸大,AP1強度漸弱,當AP2與AP1的信號強度差達到一定門限時,STA開始向AP2發起認證和關聯請求,(通過Probe?Request/Response,?Authentication?Request/Response以及Association?Request/Response報文);
(7)?STA與AP2的鏈路層連接建立成功后,成功連入網絡
?
二、AC+FIT?AP架構下,AC上不做認證時
(1)?AP1與AP2分別與AC建立CAPWAP隧道; ?
(2)?AP1,AP2發送Beacon幀,向STA通告支持的無線服務;?
(3)?STA搜索到AP1的信號,向AP1發Probe?Request,請求獲取AP1所提供的無線服務;AP1回應Probe?Response
(4)向AP1發送認證請求報文(Authentication?Request)請求接入,AP1透傳報
文到AC,AC通過AP1回應認證響應報文(Authentication?Response);?
(5)?STA向AP1發送關聯請求報文(Association?Request)進行關聯,AP1透傳報文至AC,AC回應關聯響應報文(Association?Response)。
(6)STA與AP1間建立鏈路層連接;?(6)?STA不需要進行身份認證,通過AP1成功連入網絡。?
(7)?當STA從AP1往AP2方向移動,感知到AP2的信號強度漸大,AP1強度漸弱,當AP2與AP1的信號強度差達到一定門限時,STA開始向AP2發起認證和關聯請求,(通過Probe?Request/Response,?Authentication?Request/Response以及Association?Request/Response報文),建立無線鏈路連接;?
(8)?AC通過AP1向STA發送一個去認證報文,通知STA從AP1下線;?(9)?STA通過AP2成功連入網絡
?
三、FAT?AP架構下,在AP上進行802.1X認證時:
(1)?AP1,AP2正常工作,發送Beacon幀,向STA通告支持的無線服務;?
(2)?STA搜索到AP1的信號,向AP1發Probe?Request,請求獲取AP1所提供的無線服務;AP1回應Probe?Response;?
(3)?STA向AP1發送認證請求報文(Authentication?Request)請求接入,AP1回應認證響應報文(Authentication?Response);?
(4)?STA向AP1發送關聯請求報文(Association?Request)進行關聯,AP1回應關聯響應報文(Association?Response)。STA與AP間建立鏈路層連接;?
(5)?AP1向STA發起802.1X協商,用戶輸入用戶名、密碼,AP1通過Radius協議把用戶名、密碼發到Radius服務器上進行認證。?
(6)?802.1X認證成功后,STA與服務器間協商出PMK,同時服務器把PMK下發到AP1上。?
(7)?STA與AP1進行四次握手協商,通過PMK協商得到STA與AP1間數據加密所用的PTK。?
(8)?STA通過AP1成功連入網絡。?
(9)?當STA從AP1往AP2方向移動,感知到AP2的信號強度漸大,AP1強度漸弱,當AP2與AP1的信號強度差達到一定門限時,STA開始向AP2發起認證和關聯請求,(通過Probe?Request/Response,?Authentication?Request/Response以及Association?Request/Response報文);?
(10)?STA與AP2的鏈路層連接建立成功后,因AP2上沒有STA的身份信息,因此還需要與STA進行802.1X協商,并得到STA與AP2之間的PMK;?
(11)?802.1X協商成功后,STA與AP2進一步通過四次握手協商數據加密密鑰PTK;?(12)?STA通過AP2成功連入網絡。
?
四、AC+FIT?AP架構下,AC上做802.1X認證時:
(1)?AP1與AP2分別與AC建立CAPWAP隧道; ?
(2)?AP1,AP2發送Beacon幀,向STA通告支持的無線服務;?
(3)?STA搜索到AP1的信號,向AP1發Probe?Request,請求獲取AP1所提供的無線服務;AP1回應Probe?Response;?
(4)?STA向AP1發送認證請求報文(Authentication?Request)請求接入,AP1透傳報文到AC,AC通過AP1回應認證響應報文(Authentication?Response);?
(5)?STA向AP1發送關聯請求報文(Association?Request)進行關聯,AP1透傳報文至AC,AC回應關聯響應報文(Association?Response)。STA與AP1間建立鏈路層連接;?(6)?AP1與STA開始802.1X協商,用戶輸入用戶名、密碼,AC通過Radius協議把用戶名、密碼發到Radius服務器上進行認證。?
(7)?802.1X認證成功后,STA與服務器間協商出PMK,同時服務器把PMK下發到AC上。
(8)與AC之間進行四次握手協商,通過PMK協商得到STA與AP1間數據加密所用
的PTK,AC把PTK下發到AP1上。
?(9)?STA通過AP1成功連入網絡。?
(10)?當STA從AP1往AP2方向移動,感知到AP2的信號強度漸大,AP1強度漸弱,當AP2與AP1的信號強度差達到一定門限時,STA開始向AP2發起認證和關聯請求,(通過Probe?Request/Response,?Authentication?Request/Response以及Association?Request/Response報文);?
(11)?STA與AP2的鏈路層連接建立成功后,因AC上已經有STA的身份信息,因此不需要再進行802.1X協商,而是直接使用之前得到的PMK進行STA與AP2間的四次握手協議協商AP2與STA間的數據加密密鑰PTK;?
(12)?AC通過AP1向STA發送一個去認證報文,通知STA從AP1下線;?(13)?STA通過AP2成功連入網絡。
?
轉載于:https://www.cnblogs.com/anorferde/p/5831411.html
總結
