漫游与密钥管理服务

深入探讨在 AOS 10 中如何实现漫游以及帮助实现该过程的密钥管理服务（KMS）

密钥管理服务（KMS）是 HPE Aruba Networking 无线操作系统 AOS10 的新颖补充，专为促进无缝无线用户漫游和提升网络性能而设计。其主要功能是分发关键性信息，包括配对主密钥（PMK）或 802.11r R1 密钥，在邻近的接入点（AP）之间进行交换。这一交换实现了快速漫游，确保无线网络中用户体验的流畅与连续.

除了密钥共享外，KMS 还作为传递关键用户相关数据的渠道。这些数据包括 VLAN 分配、用户角色信息，以及在使用机器认证时，用户设备的认证状态。这些数据元素共同构成每个用户的站点记录，在漫游过程中起着关键作用.

KMS 的核心职责是高效地将这些站点记录传达给邻近的 AP，从而使它们在用户在 AP 之间移动时提供不间断的服务。邻近 AP 列表由 AirMatch 服务提供，后者在优化无线网络性能方面起到补充作用.

KMS 和 AirMatch 服务都在 HPE Aruba Networking Central 的更广泛框架内运行，并协同工作以促进密钥共享过程.

工作流程

初始状态

在此工作流程中，我们深入探讨 KMS 如何管理和传播关键数据，如配对主密钥（PMK）、802.11r R1 密钥、VLAN 分配、用户角色和认证状态，以创建无缝且安全的无线用户体验.

密钥管理服务工作流程

无线用户发起与接入点（AP1）的关联，并进行 802.1X 认证，获得配对主密钥（PMK）或从主会话密钥派生 R0 密钥，具体取决于是否启用 802.11r 协议。
随后，AP1 将用户的终端记录传输到位于 HPE Aruba Networking Central 的 KMS。该全面的终端记录包含用户的特定信息，包括 PMK 或 R0 密钥、VLAN ID、用户角色以及机器认证状态（如果启用了机器认证）。
在收到用户的站点记录后，KMS 会将该信息存储在其缓存中，并同时通过 AirMatch 服务检索与 AP1 相关联的邻近 AP 列表。
利用邻近 AP 的列表，AP1 的 KMS 访问缓存的用户站点记录，包括 PMK 或 R0 密钥。如果网络采用 802.11r 快速漫游协议，KMS 将为每个邻近 AP 生成 R1 密钥。然而，如果使用 Opportunistic Key Caching（OKC）漫游协议，则省略 R1 密钥生成步骤。
为确保用户的无缝漫游，KMS 将用户的站点记录传播到所有连接到 AP1 的邻近 AP。因此，当用户随后切换到 AP2 或 AP3 时，无需进行完整的认证过程。 AP2 或 AP3 已经拥有用户的 PMK 或 R1 密钥，从而实现用户与相应 AP 之间的流畅四次握手，简化并加快了漫游流程。

桥接用户漫游

AOS 10 引入了两种不同的用户类型：桥接用户和隧道用户。桥接用户包括所有连接到桥接模式 SSID 的用户。在此配置中，用户流量保持在 AP 的网络内，不通过网关路由。对于桥接用户，相关的 VLAN 在 AP 的上行交换机上建立，并由这些 AP 的上行端口允许。

下图展示了利用 KMS 功能进行快速漫游的桥接用户示例。

使用 KMS 的桥接用户漫游工作流程

在与 AP1 初次关联并完成首次全认证后，无线用户在其无线会话过程中最终切换到邻近的 AP2。
AP2 及时将用户的新位置更新到 KMS，确保在网络内实现无缝切换。
KMS 由用户移动到 AP2 驱动，从 AirMatch 服务中检索与 AP2 相关的邻近 AP 列表。
在此邻近接入点列表的基础上，AP2 的 KMS 会引用缓存的用户站点记录，该记录包括 PMK 或 R0 密钥，并为每个邻近接入点生成 R1 密钥。此过程依赖于 802.11r 快速漫游协议的使用，而如果使用 OKC 漫游协议，则省略 R1 密钥生成步骤。
KMS 开始仅向 AP2 的邻近接入点（AP）分发用户站点记录，这些邻近接入点没有用户站点记录的缓存。该过程通过排除同时为 AP1 和 AP2 的邻居，避免了冗余。
AP2 通过在用户 VLAN 上广播用户会话同步请求消息，启动用户会话的同步。此同步操作涉及前 120 个用户数据路径会话。
用户现在与 AP2 关联，在无缝漫游过程中与 AP2 进行四方密钥交换。
AP2 有效地与 AP1 通信，指示其清除与用户相关的所有条目，例如 datapath 条目。随后，用户通过新的接入点 AP2 重新进行数据传输，确保无线体验的流畅和连续。

隧道用户漫游

在 AOS 10 领域，当网络扩展性成为首要关注点时，强烈建议实现网关集群。当网络规模扩大到包含大量 AP，通常超过 500 个，或服务的客户端数量超过 5000 用户时，引入网关集群变得至关重要。这一架构选择提供了一个 multitude of advantages，包括支持大规模的 AP 和客户端、集中管理用户 VLAN、建立跨越无线和有线用户的统一防火墙策略、RADIUS 代理能力等。

有了网关的存在，无线用户采用隧道用户配置，其所有网络流量都通过网关集群高效隧道传输。这一配置消除了单个 AP 管理用户 VLAN 的需求，将此功能集中在网关层。一个显著的优势是，AP 不再需要属于同一层 2 域，以实现顺畅的客户端漫游。因此，当隧道用户在不同 AP 之间漫游时，其用户会话同步依赖于与其指定的 User Designated Gateway（UDG）之间的无缝通信。

下图展示了通过 KMS 实现的隧道用户快速漫游流程。该方法确保了网络的扩展性，同时保持用户体验的无缝和连续。

使用 KMS 的隧道用户漫游工作流程

在无线用户与 AP1 初次关联并完成完整认证后，用户最终可能会漫游到邻近的 AP2。
AP2 及时将用户的新位置更新到 KMS。
KMS 依次从 AirMatch 服务中检索与 AP2 相关联的邻居 AP 列表。
利用此列表，KMS 从其缓存中获取用户站点记录，包括 PMK 或 R0 密钥，并在使用 802.11r 快速漫游协议进行漫游时，继续为列表中每个邻近的接入点生成 R1 密钥。
KMS 启动将用户记录分发到 AP2 的邻近 APs，这些 APs 缺少缓存的用户站点记录。KMS 不会对同时是 AP1 和 AP2 邻居的任何 AP 重复执行站点记录分发过程。
AP2 在用户 VLAN 上广播用户会话同步请求消息。
用户指定的网关（UDG）将此会话同步消息转发到用户的原始接入点（AP），即 AP1。
AP2 继续与 AP1 同步前 120 个用户数据路径会话。
AP2 向 UDG 发送启动会计通知。
当 UDG 获取到开始计费包时，它会将桥接或用户条目更改为将流量发送到 AP2 隧道。如果该用户是来自该 VLAN 的第一个用户，组播组将使用客户端的 VLAN 信息进行更新。
用户与 AP2 进行四方密钥交换。
AP2 然后通知 AP1 执行清理，包括清除与用户相关的所有条目，例如 datapath 条目。之后，用户开始通过 AP2 转发流量。

非快速漫游用户

在较早版本的 AOS 10 中，用户缓存同步（包括用户密钥信息）专门为快速漫游用户保留，例如 802.11r 用户、OKC 用户或 MPSK 用户。然而，出现了一种迫切需求，即在非快速漫游用户之间进行缓存同步，例如 Captive Portal 用户和 MAC 认证用户。这一需求源于希望在这些用户从一个接入点切换到另一个接入点时，避免重新认证。为满足这一需求，引入并支持邻近 AP 之间的缓存同步，从 AOS 10.4 版本开始。

缓存分类

为了优化缓存分布，缓存条目被划分为三种不同类型：

部分漫游缓存： 该缓存结构仅包含在漫游过程中必需的关键信息。对于非快速漫游用户，部分漫游缓存会与邻近的 AP 进行同步。
完整漫游缓存： 除了部分漫游缓存中的数据外，完整漫游缓存还包括可能在漫游过程中暂时不需要的补充站点相关状态信息。完整漫游缓存条目在 KMS 和当前与客户端关联的 AP 上始终可用。
关键缓存： 该特定缓存结构专门由快速漫游用户使用。它存储用于快速漫游的站点密钥，包括 PMK（配对主密钥）、PMKR0、PMKR1（每个 BSSID）和 MPSK，以及全面的完整漫游缓存信息。

工作流程

初始状态

下图概述了非快速漫游用户在创建和同步邻近 AP 之间的缓存条目时的流程。

非快速漫游用户的缓存条目创建与同步

用户与 AP 建立连接并成功完成认证过程。
在此步骤中，接入点（AP）生成一个完整的漫游缓存条目。在这个完整的缓存条目中，部分漫游缓存信息包括用户特定的详细信息，例如用户角色、用户VLAN、用户名、ESSID 和序列号。除了部分漫游缓存外，完整缓存还包含各种用户状态属性，如类别ID、多会话ID、空闲/会话超时等。
接入点将用户的完整漫游缓存信息传输给 KMS。
KMS 获取与该特定 AP 关联的邻近 AP 列表。
KMS 继续将用户的部分缓存信息分发到所有连接到同一 AP 的邻近 AP。这确保邻近 AP 拥有必要的缓存数据，以实现无缝的用户漫游和认证。

漫游

非快速漫游用户的漫游工作流程与快速漫游用户的流程非常相似，唯一的区别在于：完整的漫游缓存仅由 AP 和 KMS 保留，而只有部分漫游缓存会分发给邻近 AP。

下图展示了非快速漫游客户端的漫游流程的主要步骤。

EMPTY_LINES_39__

非快速漫游用户的漫游工作流程（带 KMS）

用户从 AP1 发起漫游到 AP2。
AP2 向 KMS 传送漫游通知。
KMS 从 AirMatch 服务中获取 AP2 的邻近 AP 列表。
KMS 将该用户的部分漫游缓存分发到 AP2 的邻近 AP（不包括与 AP1 重叠的那些）。例如，在此场景中，AP3 是 AP1 和 AP2 的共同邻居。由于 AP3 在用户最初连接到 AP1 时已经接收了部分漫游缓存，KMS 仅在此阶段将部分漫游缓存发送到 AP4。
在底层场景中，AP2 在用户的 VLAN 内向 AP1 发送广播会话同步请求；在叠加场景中，通过 AP2 的 UDG 向 AP1 发送；或者如果 AP2 上缓存不可用，则在 SSID 的默认 VLAN 内。
AP1 通过共享前 120 个用户会话来响应会话同步请求。
AP2 将用户移动请求转发给 AP1。
AP1 确认移动请求。
KMS 将用户的完整漫游缓存调度到用户已漫游的 AP2。
在底层场景中，AP2 向 AP1 发起会计开始消息；在叠加层场景中，向 AP2 的 UDG 发起会计开始消息。
AP1 进行用户入口清理，删除用户的完整漫游缓存，并安装部分漫游缓存。在叠加场景中，AP2 的 UDG 更新桥接或用户入口，将流量引导到 AP2 隧道。如果用户在 AP2 上标记了该 VLAN 的第一个实例，则多播组会使用客户端的 VLAN 信息进行更新。

配置

在 AOS 10 中配置快速漫游，请按照以下步骤操作：

进入 WLANs 部分，选择您要配置的特定 SSID。
访问 AP 配置页面上的安全选项卡。

快速漫游配置

默认情况下，802.11r快速漫游已启用，而OKC已禁用。

为了实现最佳的802.11r配置，强烈建议设置移动域标识（MDID）。MDID代表一组创建连续无线电频率空间的AP，允许设备共享802.11r R1密钥，并实现快速漫游。

此外，建议启用802.11k。该标准通过创建优化的信道列表，促进设备快速发现可用的漫游目标。当来自当前AP的信号强度减弱时，设备会根据此列表扫描目标AP。

当启用802.11k时，802.11v会在后台自动激活。802.11v促进AP与无线设备之间的基础服务集（BSS）切换消息。这些消息交换信息，帮助引导设备在802.11r快速漫游过程中连接到更优的AP。

验证

命令行界面

用于检查AP的无线用户PMK或R1密钥缓存的AP CLI命令：

show ap pmkcache

API

获取某个AP的邻居AP列表： URL：https://<central-url>/airmatch/ap_nbr_graph/v1/Ap/NeighborList/<AP Serial Number>
检索客户端记录： https://<app-url>/keymgmt/v1/keycache/{client_mac}
检索加密密钥哈希： https://<app-url>/keymgmt/v1/keyhash
获取同步的客户端密钥 AP 列表： https://<app-url>/keymgmt/v1/syncedaplist/{client_mac}
获取每个 AP 的统计信息： https://<app-url>/keymgmt/v1/Stats/ap/{AP_Serial}
检查 KMS 的健康状态： https://<app-url>/keymgmt/health

可用性

客户端漫游

在漫游事件中，如果与 HPE Aruba Networking 中心的连接丢失，通常情况下，站点会在邻近的接入点之间同步现有用户的记录和漫游缓存信息。因此，这些用户的快速漫游体验不会受到影响。

然而，在网络中断期间，新的用户的站点记录或缓存信息可能无法在邻近的接入点之间同步。在这种情况下：

在此期间漫游的新用户，其用户设备将在漫游事件中进行完整的认证。
尽管经过完整的认证流程，这些用户仍将继续享受不间断的服务。

总之，虽然与 HPE Aruba Networking Central 的连接问题可能需要对新用户进行完整的认证，但不会中断他们在网络上的持续通信。

云端回退

鉴于前面章节详细介绍了用户漫游工作流程，值得强调的是，在以下两个特定步骤中，由于网络中的超时，新接入点（AP）可能无法收到前一个 AP 的响应：

数据路径会话同步：在此阶段，新 AP 试图与前一个 AP 同步数据路径会话。
之前的接入点中的用户状态清理：在此步骤中，新的接入点请求之前的接入点清理与用户相关的信息。

为应对这些情况下可能出现的超时，KMS 采用云端备用机制。当会话同步或用户状态清理请求超时时，新的接入点会与 KMS 通讯，报告未收到之前的接入点响应。然后，KMS 会搜索客户端-接入点关联表。如果找到客户端条目，KMS 会促成两个接入点之间的通信，使它们能够有效协调上述步骤。

最后修改时间：2024年3月29日（b258226）