Comprensión de Fast Roams 802.11r/11k/11v en WLC 9800
Contenido
Introducción
Este documento describe los diferentes resultados cuando los métodos de roaming rápido están habilitados/inhabilitados en los clientes inalámbricos.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Fundamentos de WLAN IEEE 802.11.
- Seguridad WLAN IEEE 802.11.
- Aspectos básicos de IEEE 802.1X/EAP.
- IEEE 802.11r: BSS Fast Transition.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Controlador Cisco Wireless 9800-L IOS® XE 17.9.4
- Punto de acceso Cisco Catalyst serie 9130AXI.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Este documento le ayuda a comprender la diferencia cuando tiene los protocolos 802.11r, 802.11v y 802.11k habilitados en un controlador inalámbrico 9800. También explica cuál es el impacto en los clientes cuando los tiene inhabilitados.
802.11r, 802.11v y 802.11k son estándares o enmiendas diferentes dentro de la familia 802.11 de protocolos de red inalámbrica.
802.11r: es la transición rápida entre conjuntos de servicios básicos que introduce un nuevo concepto en el que el intercambio inicial de señales con un nuevo punto de acceso se realiza incluso antes de que el cliente se traslade al punto de acceso de destino. Resulta especialmente útil en entornos en los que la conectividad ininterrumpida es crucial, como en aplicaciones de transmisión de voz sobre IP o en tiempo real con vídeo o con un monitor de transmisión constante. Con una red 802.11r optimizada, los dispositivos pueden desplazarse entre los puntos de acceso sin experimentar interrupciones o caídas significativas en la conectividad de red.
802.11k: Neighbor List and Assisted Roam (Medición de recursos de radio) aprovecha las funciones de gestión de recursos de radio para mejorar el rendimiento y la fiabilidad generales de las redes inalámbricas. Optimiza los recursos de radio disponibles en los que los puntos de acceso recopilan y comparten información sobre su entorno de radio. Esta información incluye el uso del canal, la potencia de la señal y los niveles de interferencia. Los dispositivos cliente pueden utilizarlo para tomar decisiones mejor fundamentadas sobre a qué punto de acceso conectarse, lo que se traduce en un mejor equilibrio de carga, una reducción de las interferencias y una mayor eficacia de la red.
802.11v: es un ahorro de energía asistido por red que ayuda a los clientes a mejorar la duración de la batería, lo que les permite dormir más tiempo. También se centra en cómo mejorar la eficiencia y la gestión de las redes inalámbricas. Esto, a su vez, permite un mejor control y coordinación entre la infraestructura de la red y los dispositivos del cliente cuando los clientes se desplazan. Las funciones principales son los informes de vecinos, las transiciones de conjuntos de servicios, el equilibrio de carga y el ahorro de energía con ayuda de la red. Estas funciones mejoran la detección, selección y supervisión de la red del cliente. También permite que los puntos de acceso animen a los dispositivos cliente a desplazarse en lugar de esperar a que el dispositivo tome una decisión sobre la itinerancia.
Mientras que 802.11r se centra en la transición fluida entre los puntos de acceso, 802.11v pretende mejorar las capacidades de gestión de la red. El estándar 802.11k está diseñado para optimizar la utilización de los recursos de radio para mejorar el rendimiento y la fiabilidad.
Algunas de las afirmaciones de este documento provienen del libro Comprensión y solución de problemas de los controladores de red inalámbrica de Cisco Catalyst serie 9800, capítulo 6, sección Itinerancia de 802.11.
Roams de seguridad de nivel superior
Cuando el SSID se configura con una seguridad de nivel superior L2 sobre la autenticación básica de sistema abierto 802.11, se requieren más tramas para la asociación inicial y cuando los clientes se desplazan. Los dos métodos de seguridad más comunes estandarizados e implementados para WLAN 802.11 son:
- WPA/WPA2/WPA3 Personal: se utiliza una PSK para autenticar los clientes.
- WPA/WPA2/WPA3 Enterprise: el método de protocolo de autenticación ampliable (EAP) y 802.1x se utiliza para autenticar los clientes inalámbricos, que es validar las credenciales del usuario (nombre de usuario y contraseña), los certificados o los tokens a través de un servidor AAA.
En este documento, se puede utilizar WPA2 Enterprise WLAN con EAP-PEAP para mostrar la diferencia en el uso de los protocolos IEEE (802.11r, 802.11k y 802.11v) y cómo podría afectar a los intentos de roaming inalámbrico.
SSID con protocolos de itinerancia rápida habilitados (802.11r, 802.11k y 802.11v)
La configuración WLAN predeterminada tiene cada protocolo habilitado de forma predeterminada. En el laboratorio, el cliente inalámbrico intenta desplazarse entre 9130 puntos de acceso. Dado que tiene la configuración predeterminada de la WLAN, es decir, la itinerancia rápida está habilitada además de 802.11v y 802.11k, esperaría una itinerancia sin problemas. A continuación se muestra un ejemplo de una captura OTA inalámbrica para un evento de roaming:
Estos son los rastros de RA para este evento de itinerancia:
2023/09/19 21:54:25.912523930 {wncd_x_R0-0}{1}: [client-orch-sm] [15403]: (note): MAC: 62be.a38b.07c5 Re-Association received. BSSID 1416.9d7f.a22e, WLAN Roaming-Enabled, Slot 1 AP 1416.9d7f.a220, Rosalia-9130-1, old BSSID f01d.2d49.dacf
!--- Reassociation Request is received from the client.
2023/09/19 21:54:25.912882280 {wncd_x_R0-0}{1}: [dot11-validate] [15403]: (info): MAC: 62be.a38b.07c5 Dot11 validate dot11r pmkid. 11r PMKID match found
!--- Since 802.11r is enabled, WLC/AP were able to validate/use the PMKID
A medida que se habilita 802.11r, el protocolo de enlace inicial con un nuevo punto de acceso se realiza incluso antes de que el cliente se traslade al punto de acceso de destino. Este concepto se denomina transición rápida. El protocolo de enlace inicial permite al cliente y a los puntos de acceso realizar el cálculo de clave transitoria en pares (PTK) por adelantado. Estas claves PTK se aplican al cliente y a los puntos de acceso después de que el cliente responda a la solicitud de reasociación o responda al intercambio con el nuevo AP de destino:
2023/09/19 21:54:25.913247615 {wncd_x_R0-0}{1}: [dot11] [15403]: (note): MAC: 62be.a38b.07c5 Association success. AID 2, Roaming = True, WGB = False, 11r = True, 11w = False Fast roam = True
!--- Reassociation Response is sent to the client.
2023/09/19 21:53:59.692212232 {wncd_x_R0-0}{1}: [client-orch-state] [15403]: (note): MAC: 62be.a38b.07c5 Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
!--- Client took an IP address and moved to run state.
SSID con protocolos de itinerancia rápida desactivados (802.11r, 802.11k y 802.11v)
En este escenario, todos los protocolos están inhabilitados en un SSID 802.1x, en este caso, el cliente experimenta una autenticación completa cada vez que el cliente inalámbrico se desplaza entre los puntos de acceso, la siguiente figura muestra un ejemplo de un intercambio por aire donde se puede ver que el cliente no pudo omitir el intercambio EAP. Por lo tanto, se realizó una reautenticación completa porque ninguno de los métodos de roaming rápido está habilitado:
Protocolos de transmisión por aire desactivados
A continuación se muestra un resumen de los seguimientos RA del controlador para este evento de roaming:
2023/09/19 21:44:47.425575500 {wncd_x_R0-0}{1}: [client-orch-sm] [15403]: (note): MAC: a2ca.9de1.87c9 Re-Association received. BSSID 1416.9d7f.a22f, WLAN Roaming-Disabled, Slot 1 AP 1416.9d7f.a220, Rosalia-9130-1, old BSSID f01d.2d49.dace
!--- Reasscoiation Request is received from the client.
2023/09/19 21:44:47.425980179 {wncd_x_R0-0}{1}: [dot11-validate] [15403]: (ERR): MAC: a2ca.9de1.87c9 Failed to Dot11 validate dot11i pmkids. No matching pmkid for the pmk available in cache.
!--- Since none of the roam methods are enabled, WLC/AP could not find any PMKID available.
2023/09/19 21:44:47.426252733 {wncd_x_R0-0}{1}: [dot11] [15403]: (note): MAC: a2ca.9de1.87c9 Association success. AID 1, Roaming = True, WGB = False, 11r = False, 11w = False Fast roam = False
!--- Reasscoiation Response is sent to the client.
2023/09/19 21:44:47.444466744 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 5, EAP-Type = Identity
2023/09/19 21:44:47.444469338 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - REQUEST, ID : 0x1
2023/09/19 21:44:47.444481064 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAPOL packet sent to client
2023/09/19 21:44:47.471913767 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 13, EAP-Type = Identity
2023/09/19 21:44:47.471916029 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - RESPONSE, ID : 0x1
2023/09/19 21:44:47.475646582 {wncd_x_R0-0}{1}: [radius] [15403]: (info): RADIUS: Received from id 1812/103 10.201.234.195:0, Access-Challenge, len 129
2023/09/19 21:44:47.627108647 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 39, EAP-Type = PEAP
2023/09/19 21:44:47.627110791 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - REQUEST, ID : 0x5c
2023/09/19 21:44:47.631319121 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - RESPONSE, ID : 0x5c
2023/09/19 21:44:47.657492378 {wncd_x_R0-0}{1}: [radius] [15403]: (info): RADIUS: Received from id 1812/183 10.201.234.195:0, Access-Accept, len 297
2023/09/19 21:44:47.657840708 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Received an EAP Success
!--- Full Reauthentication EAP exchange packets.
2023/09/19 21:44:47.658787303 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 EAP key M1 Sent successfully
2023/09/19 21:44:47.662831295 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 M2 Status: EAP key M2 validation success
2023/09/19 21:44:47.662931971 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 EAP key M3 Sent successfully
2023/09/19 21:44:47.665864464 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 M4 Status: EAP key M4 validation is successful
!--- 4-way handshake in order to compute the PTK/GTK keys.
SSID con 802.11k activado
El estándar 802.11k permite a los clientes solicitar un informe de vecino que contenga información sobre los AP que son buenos candidatos para una itinerancia dentro del conjunto de servicios. Esto permite a los clientes evitar el escaneo de RF pasivo o activo antes de que el cliente decida trasladarse a un punto de acceso diferente. El C9800 admite una función denominada itinerancia asistida de 11k, que crea y ofrece una lista de vecinos optimizada para los clientes 802.11k. La lista de vecinos 802.11k se genera a demanda y puede ser diferente para dos clientes en AP diferentes porque el WLC consideraría la relación de RF individual del cliente con los AP rodeados.
Los clientes que no admiten el protocolo 82.11k, no envían solicitudes de lista de vecinos. Esto permite optimizar la predicción para ayudar a esos clientes. Como resultado, una lista de vecinos se almacena en la estructura de datos del software de la estación móvil en C9800.
Los clientes envían solicitudes de listas de vecinos solo después de asociarse con los puntos de acceso que anuncian el elemento de información de capacidad (IE) de RM en la baliza. La siguiente figura es un ejemplo de tramas de acción 802.11k después de que el cliente se asociara con el punto de acceso:
Informe de vecino por aire
SSID con 802.11v activado
Con el estándar 802.11v, las dos mejoras principales en la gestión de redes inalámbricas incluyen:
-
Función de ahorro de energía asistido por red: EMejora el rendimiento de la batería del cliente con un período de inactividad máximo, que indica la duración en la que un cliente puede permanecer en modo de suspensión sin enviar ninguna trama de datos. Se notifica al cliente acerca de este período de inactividad máximo a través de tramas de asociación y desasociación.
Si un punto de acceso no recibe tramas de un cliente inalámbrico durante un determinado período de tiempo, asume que el cliente abandonó la red y la desasocia. El período de inactividad máximo de BSS es la cantidad de tiempo que un AP puede mantener a un cliente asociado sin tener que recibir ninguna trama (el cliente puede permanecer dormido, esto ahorra batería). Este valor se envía al cliente inalámbrico a través de la trama de respuesta de asociación y reasociación. La siguiente figura muestra el valor de la respuesta de reasociación del punto de acceso, donde el período máximo de inactividad de BSS se especifica en unidades de tiempo. Cada vez que la unidad es igual a 1,024 milisegundos:
Valor del período de BSS aéreo
- Itinerancia asistida por la red: habilita la infraestructura inalámbrica para sugerir que el cliente se aleje de su punto de acceso actual. Esto proporciona al cliente la lista de puntos de acceso a los que puede desplazarse en el mismo conjunto de servicios ampliados (ESS).
Las tramas de administración de transición de 802.11v BSS se intercambian en tres escenarios:
- Solicitud solicitada: antes de realizar la transición a un nuevo punto de acceso, el cliente tiene la capacidad de enviar una consulta de administración de transición de BSS 802.11v para encontrar mejores opciones de puntos de acceso con los que volver a asociarse, y el AP actual con el que está conectado el cliente, responder con una solicitud de administración de transición de BSS que proporciona la lista de puntos de acceso candidatos a los que desplazarse.
2. Solicitud de equilibrio de carga no solicitada: una función que permite al AP equilibrar la carga de los clientes a través de los puntos de acceso en el mismo controlador para evitar la sobrecarga de AP. Cuando los recuentos de clientes exceden el umbral de equilibrio de carga configurado para un AP, cualquier cliente nuevo que intente asociarse con el AP es denegado con una respuesta de asociación con el estado 17 (AP ocupado). Normalmente, los clientes denegados intentan asociarse al mismo AP cargado incluso después de que el cliente obtiene un rechazo de asociación, es decir, si desde la perspectiva RSSI, ese AP es su mejor opción. Por ejemplo, considere 40 usuarios en una sala de conferencias atendida por un AP. Con una consulta de administración de transición de BSS 802.11v, un error de equilibrio de carga se puede manejar más fácilmente donde el AP envía una lista de AP candidatos a los cuales se debe trasladar en su lugar.
3. Solicitud de roaming optimizada no solicitada: se espera que los clientes inalámbricos escaneen RF y se trasladen al AP con la señal más alta. Sin embargo, algunos clientes han mostrado un comportamiento pegajoso donde permanecen con el AP al cual están asociados, incluso cuando un AP vecino proporciona una señal más fuerte. Esto se conoce como un problema de cliente persistente. Para resolver este problema, el controlador 9800 admite una función llamada roaming optimizada donde se monitorea el RSSI de los paquetes de datos del cliente y la velocidad de datos, y el cliente se desasocia proactivamente. La petición de administración de transición de BSS 802.11v mejora la itinerancia optimizada, que indica al cliente una desasociación inminente y proporciona una lista de AP a los que vagar.
Nota: según la experiencia del TAC, la itinerancia optimizada no es adecuada para todas las redes. Asegúrese de que la cobertura sea lo suficientemente buena entre los puntos de acceso para que funcione como se espera; de lo contrario, podrían surgir más problemas si lo habilita.
Una petición de administración de transición BSS 802.11v que cuando es enviada por un AP a un cliente es solamente una sugerencia. El cliente puede aceptar la sugerencia o descartarla. El controlador inalámbrico 9800 proporciona una opción de configuración llamada Inminent Disassociation para que usted obligue a los clientes a desasociarse si el cliente no se vuelve a asociar con otro AP dentro de una ventana de tiempo definida. Puede configurarlo solamente desde CLI mediante el comando bss-transaction disassociation-imminent bajo un perfil WLAN específico.
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
2.0 |
20-Feb-2024 |
Versión inicial |
1.0 |
13-Feb-2024 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)