1. Статьи
Заметки пользователей
11.10.2017 12:20
PDF
20230
13

Роуминг в Wi-Fi-сетях

Введение

Современные принципы построения инфокоммуникационных сетей ориентированы не только на предоставление высокоскоростного доступа, но и на удобство пользователей. Роуминг в Wi-Fi-сетях является той самой составляющей, которая больше относится к удобству абонентов. В радиосетях роумингом называют процесс переключения абонента беспроводной сети от одной базовой станции (точки доступа, из зоны обслуживания которой уходит абонент) к другой (в зону обслуживания которой этот абонент входит).

Роуминг в Wi-Fi-сетях

Довольно распространенной ситуацией в офисах крупных компаний с Wi-Fi-сетью является отсутствие роуминга или его некорректная настройка. Это приводит к тому, что, несмотря на наличие равномерного радиопокрытия во всем здании, при перемещении абонента по нему обрываются SSH-сессии, прекращается загрузка файлов, не говоря уже о разрывах сеансов связи при использовании WatsApp, Skype и других подобных приложений.

Самый простой, дешевый и распространенный способ организации роуминга заключается в конфигурировании радиосети из точек доступа с одинаковым SSID. Когда мощность радиосигнала от абонента ослабевает (уменьшается SNR - отношения сигнал-шум), то это приводит к уменьшению скорости соединения, и если SNR падает ниже критической отметки, то соединение полностью разрывается. В том случае, если беспроводное абонентское устройство "видит" в сети оборудование с одинаковым SSID, то оно производит к нему подключение.

Многие производители беспроводного оборудования для организации роуминга используют проприетарные протоколы, но даже в этом случае задержки при хендовере могут достигать нескольких секунд, например, при использовании протокола WPA2-Enterprise, когда требуется подключение точек доступа к RADIUS-серверу:

Роуминг в Wi-Fi-сетях

Камнем преткновения в организации Wi-Fi-роуминга является то, что решение о переключении от одной точки доступа к другой принимает абонент (точнее клиентское оборудование). Большинство протоколов для переключения абонента от одного Wi-Fi-устройства к другому, используют принудительное отключение пользователя от точки доступа при ухудшении качества сигнала. В настройках большинства точек доступа, поддерживающих роуминг, можно установить минимальный уровень сигнала, при котором абонент будет отключен от сети. Это не самый лучший вариант реализации роуминга, ведь все также происходит разрыв TCP-сессии, а клиентское устройство может безуспешно пытаться продолжить попытки установления соединения с устройством, наглым образом выкинувшим его из сети.


802.11r и 802.11k – "Мобильный" Wi-Fi

Для решения описанных выше проблем в 2008 году в свет вышла спецификация 802.11r (а позднее еще и поправка к ней - 802.11k), которая является дополнением к стандарту 802.11 и служит для обеспечения бесшовного радиопокрытия и переключения абонентов от одной точки доступа к другой. Так что если вы собираетесь решить похожую задачу организации бесшовного Wi-Fi роуминга, то нужно выбирать оборудование, поддерживающее эти спецификации стандарта.

В 802.11r используется технология Fast Basic Service Set Transition, благодаря которой ключи шифрования от всех точек доступа хранятся в одном месте, что позволяет абоненту сократить процедуру аутентификации до обмена четырьмя короткими сообщениями. Поправка 11k позволяет уменьшить время обнаружения точек доступа с лучшими уровнями сигналов. Это реализуется за счет того, что по беспроводной сети начинают "летать" пакеты с информацией о соседних точках доступа и их состоянии.

Общий принцип работы стандарта 802.11r состоит в том, что абонентский терминал имеет список доступных точек доступа. Доступные точки принадлежат к одному мобильному домену MDIE, информация о принадлежности к MDIE транслируется вместе с SSID. Если абонент видит доступную точку доступа из MDIE с лучшим уровнем SNR, то абонент по еще активному беспроводному подключению производит предварительную авторизацию с другой точкой доступа из MDIE.

Роуминг в Wi-Fi-сетях

Для ускорения подключения, аутентификация происходит по упрощенной схеме, вместо авторизации на RADIUS-сервере, абонентский терминал обменивается с Wi-Fi контроллером PMK-ключом. Ключ PKM передается только при первой аутентификации и хранится в памяти Wi-Fi контроллера.

Роуминг в Wi-Fi-сетях

Только после того, как другая точка доступа авторизовала абонента, происходит хэндовер. Далее скорость переключения уже не будет зависеть от того, насколько быстро по сети летают пакеты, а лишь от того, как быстро абонентское устройство сможет произвести перестройку частоты на новый канал. При таком алгоритме переключение абонента происходит незаметно для пользователя.

Роуминг в Wi-Fi-сетях

Несмотря на то, что подавляющее большинство современных Wi-Fi устройств поддерживает 802.11r, всегда нужно оставлять запасной вариант, поэтому не лишним будет настроить "агрессивный роуминг", работающий по принципу отключения абонента при снижении SNR ниже заданного порогового значения.


Готовые решения для бесшовного роуминга

Организовать роуминг в беспроводной сети можно с использованием обычных точек доступа, поддерживающих вышеуказанные спецификации. И этот вариант подходит скорее для тех случаев, когда сеть состоит из небольшого количества точек доступа. Но если ваша сеть насчитывает десяток беспроводных точек, то для такой сети более целесообразно рассматривать специализированные решения от Cisco, Motorola, Juniper Aruba и пр.

Некоторые решения нуждаются в настройке отдельного контроллера, который управляет всей сетью, но есть и такие, которым контроллер не нужен. Например, у Aruba Networks имеются Instant точки, которые не работают без физического контроллера, но есть виртуальный, который поднимается на одной из точек. При этом работает большинство сервисов, ради которых создают такие сети: бесшовный роуминг, сканирование радиоспектра и пространства, распознавание устройств в сети. В дальнейшем при росте сети эти точки можно перевести в режим работы с физическим контроллером, отказавшись от виртуального.

Компания Motorolla славится своим интеллектуальным решением Wing 5, которым "наделено" беспроводное оборудование. Благодаря этому решению все оборудование (как локальное, так и удаленное) объединяется в единую распределенную сеть, что позволяет уменьшить количество коммутаторов в сети, а точки доступа могут работать более синхронно и эффективно.

Роуминг в Wi-Fi-сетях

Благодаря решению Wing 5 оборудование Motorolla может производить интеллектуальный контроль полосы пропускания и балансировку нагрузки между точками доступа, тем самым распределяя трафик в сети равномерно между всеми точками доступа. Кроме того, оборудование может самостоятельно динамически изменить конфигурацию в случае обнаружения интерференции (например, если рядом микроволновая печь). Также оборудование имеет функцию адаптивного покрытия, позволяющее увеличивать мощность сигнала для устройств в сети с низким отношением сигнал-шум (SNR). И конечно немаловажная функция – самовосстановление соседних точек доступа в случае их зависания.

Роуминг в Wi-Fi-сетях

У компании Cisco тоже есть похожее решение, и называется оно Cisco Mobility Express Solution. Политика Cisco в плане подхода к программному обеспечению чем-то напоминает Apple – простота развертывания и настройки (настройка занимает менее 10 минут). Поэтому оно подходит для компаний с небольшим штатом IT-специалистов либо вовсе без него. Mobility Express Solution разворачивается на базе точек доступа Cisco Aironet, которые также имеют виртуальный контроллер и приобретать отдельное устройство для этого нет необходимости. Подключение и настройка Aironet может производиться даже с обычного смартфона, достаточно лишь подключиться к точке доступа по известному SSID со стандартным заводским паролем:

Роуминг в Wi-Fi-сетях

При подключении к точке доступа по известному IP-адресу пользователю будет предложено пройти настройку с использованием мастера установки Cisco WLAN Express. Независимо от того, сколько точек доступа имеется в сети, ее настройка может производиться через любое оборудование Cisco Aironet, работающее в сети. Кстати говоря, при настройке сети со смартфона, можно скачать отдельное приложение Cisco Wireless, доступное как в Google Play, так и App Sore.


Заключение

Настройка роуминга в сети без использования специализированных решений ведущих производителей сетевого оборудования возможно, но всегда полезно использовать не только "голый стандарт". Поэтому реализация бесшовного роуминга с использованием решений с виртуальным либо физическим контроллером WLAN корпоративного класса от таких производителей как Cisco, Motorola, Juniper и Aruba позволяет легко управлять другими точками доступа без использования дополнительного оборудования. А это значит, что с их помощью любая компания как малого так и среднего бизнеса может предложить своим беспроводным клиентам такой же высокий уровень обслуживания, как и крупные предприятия, без каких-либо дополнительных затрат и сложного программного обеспечения.

13 комментариев
Оставлять комментарии могут только авторизованные пользователи
Robot_NagNews
Robot_NagNews
Материал: Довольно распространенной ситуацией в офисах крупных компаний с Wi-Fi сетью является отсутствие роуминга или его некорректная настройка. Это приводит к тому, что, несмотря на наличие равномерного радиопокрытия во всем здании, при перемещении абонента по нему обрываются SSH-сессии, прекращается загрузка файлов, не говоря уже о разрывах сеансов связи при использовании WatsApp, Skype и других подобных приложений. Полный текст
khoma
khoma
Что-то слабовато. Куча опечаток.... Кроме самых известных не упомянуто никаких других альтернативных брендов и решений.
Sergey_kha
Sergey_kha

А есть ли какой нибудь бонус в использовании этих контролеров если мы используем  wpa2-personal? медленого запроса к радиусу нет кешировать нечево.

sfstudio
sfstudio

Бонус есть не от использования контроллеров, а  от использования FT (FT-PSK  к примеру). Время аутентификации на следующей AP сокращается в разы (хотя оно и так тут более чем в 10 раз меньше секунды даже по полной процедуре). Но это не самая большая проблема при миграции (скорее самая малая её часть). Контроллеры нынче эт скорее средство мониторинга, максимум какого-то банального управления. Ну и конечно прекрасный способ развода на бабки.

 

Точки прекрасно всю необходимую для обеспечения роуминга инфу гоняют между собой по IAPP.

 

Вот тут https://forum.nag.ru/index.php?/topic/108990-wive-ng-mt-rouming/ (в процессе реализации в Wive-NG) рассматривал все варианты. Все линки и прочее по тексту сохранены. Нюансы обсосаны и т.д. и т.п.

 

Статья на 3ть состоит из заблуждений. Например, что аутентификация с использованием радиуса == несколько секунд тормозов.. Это ж где радиус-то у аффтора? На луне?

Или как то, что для кэширования ключей как по OKC так и FT нужен контроллер (iapp - не не слышал).

 

Ещё две трети маркетинговой шелухи.

 

Ни слова не сказано, что основная проблема находиться в логике выбора кандидата на переключение которая лежит на совести клиента. Не сказано, что совсместимость с 802.11k/r у клиентов встречается весьма и весьма редко (яблоки, топовые самсунги и ещё 1,5 устройства по сути).

 

Видно, что аффтор пыжился, рожал, высасывал, но даже на сайте циски в базе знаний не порылся. Как и на местном форуме поиск заюзать не осилил, а ведь я  уже за него проделал всю работу. Осталось только проанализировать тему и родить статью. =)

 

Хоть бы вот сюда заглянул:

Исследование роуминга у яблофонов от CISCO http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-0/iPhone_roam/b_iPhone-roaming.html#concept_EA3AF8F14F244478804B2D36C25F44C4

Отличия в поведении разных устройств при миграции, автор тот же http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-0/device_classification_guide.html

 

Что касается обмена инфой для FT в типа революционных Wing 5 (и иже с ними) как раз и юзается по сути IAPP (802.11f) вместо того, чтобы таскать все события через "контроллер". И это правильно, и крайне странно, что как-то долго они к этому шли. При такой схеме нужда в контроллере вообще отпадает, и он становиться банальной мониторилкой+обновлялкой (у ынтырпрайзников нередко совмещён со средствами вытряхивания доп бабла из клиента на всевозможные лицензии=)))).

 

Из всего полезного в статье эт упоминание про MDIE и схемка.

 

Опять ни слова о RRM (ну почти). Все уткнулись в эту бедную аутентификацию буд-то вот он корень зла....

 

Короче кому интересно - go в тему по первому линку, там всё есть, от и до. =)

 

Аффтору 5 за умение пользоваться аморфной копипастой, 1 с минусом за полезность.

 

Не удержусь...

Цитата

Поправка 11k позволяет уменьшить время обнаружения точек доступа с лучшими уровнями сигналов. Это реализуется за счет того, что по беспроводной сети начинают "летать" пакеты с информацией о соседних точках доступа и их состоянии.

 

АФФФТООР. Не кури больше этой травы. Лётчик блин. Каждая точка ведёт свою базу AP List соседних, выполняя сканирование + наблюдение за маяками, и может отдать отфильтрованный и отсортированный список AP клиенту по запросу по радио (опять же если клиент умеет спрашивать). Больше нигде там ничего уже не летает на эту тему.

 

Цитата


Несмотря на то, что подавляющее большинство современных Wi-Fi устройств поддерживает 802.11r,
 

 

ЭЭЭЭЭЭЭЭ.... Нука афффтор. Давай-ка расскажи с линками на подавляющее большинство устройств умеющих FT/RRM. Всё строго наоборот.

Denisov.dv
Denisov.dv
9 часов назад, Sergey_kha сказал:

А есть ли какой нибудь бонус в использовании этих контролеров если мы используем  wpa2-personal? медленого запроса к радиусу нет кешировать нечево.

В этом случае "бонусов" от контроллеров конкретно для шифрования нет, но в корпоративном сегменте обычно используют Radius-сервер с паролями, чтобы у каждого пользователя (группы пользователей) был личный пароль, который в случае какого-то инсайда можно было бы поменять. Считается (но я согласен что теория отличается от практики), что использовать обычный persanal в сети, где работает с десяток точек доступа - это мовитон =) 

 

 

19 часов назад, khoma сказал:

Что-то слабовато. Куча опечаток.... Кроме самых известных не упомянуто никаких других альтернативных брендов и решений.

Действительно, можно более глубоко развить эту тему.

Что касается альтернативных брендов, то перечисленные - Cisco, Motorola, Juniper и Aruba это наиболее распространенные решения. В качестве альтернативного решения можно было бы выделить еще точки доступа Mikrotik, но их инсталляция - это довольно сложный процесс для компаний с небольшой инфраструктурой, акцент на которые был сделан здесь.    

Denisov.dv
Denisov.dv
2 часа назад, sfstudio сказал:

Бонус есть не от использования контроллеров, а  от использования FT (FT-PSK  к примеру). Время аутентификации на следующей AP сокращается в разы (хотя оно и так тут более чем в 10 раз меньше секунды даже по полной процедуре). Но это не самая большая проблема при миграции (скорее самая малая её часть). Контроллеры нынче эт скорее средство мониторинга, максимум какого-то банального управления. Ну и конечно прекрасный способ развода на бабки.

Сейчас интернет превращается в интеллектуальную систему с бесчисленным количеством устройств мониторинга. так что я полагаю, что появление контроллеров в Wi-Fi сетях обусловлено не только тем, чтобы вытащить побольше денег из заказчиков.

 

Цитата

АФФФТООР. Не кури больше этой травы. Лётчик блин. Каждая точка ведёт свою базу AP List соседних, выполняя сканирование + ...

Откуда точка доступа берет информацию для своих AP-листов если не из пакетов в пакетной радиосети?

 

Цитата

Вот тут https://forum.nag.ru/index.php?/topic/108990-wive-ng-mt-rouming/ (в процессе реализации в Wive-NG) рассматривал все варианты. Все линки и прочее по тексту сохранены. Нюансы обсосаны и т.д. и т.п.

Не спорю, что реализовать роуминг без контроллеров возможно, здесь же речь шла об удобных для интеграции решениях

 

Цитата

Из всего полезного в статье эт упоминание про MDIE и схемка.

И на том спасибо =)

sfstudio
sfstudio

1) От контроллера вообще нет бонусов, ещё раз повторюсь (нормальные AP умеют обмениваться всем чем нужно используя 802.11f специально для этого придуманный). Нет никакого кэширования запросов к радиусу. От слова совсем. Разберитесь как работает FT.
2) Корпоративный сегмент он бывает сильно разный, и чаще всего гораздо выгоднее физически разделить сети оставив в беспроводном сегменте только доступ в интернет. И если уж очень сильно хочется ввернуть каптив портал с полной изоляцией по юзерам. Вариантов миллион. И от 802.1x на доступе часто отказываются, т.к. значительная доля клиентов имеет не то что проблемы с миграцией в WPA Enterprise сетях, но и вообще могут работать с ними не корректно. Проходили неоднократно.  А уж FT+WPA Enterprise может вообще чудеса всевозможные на этих клиентах выхывать. И те же рукусы при любых подземных стуках рекомендуют нафиг вырубить FT в такой схеме.
3) Если сеть скомпроментировали, то скорее всего уже не важно был там личный или общий пароль. =))) Из беспроводного сегмента не должно быть доступа к внутренним ресурсам с ценной информацией. Такова специфика построения действительно защищённых сетей с беспроводными сегментами. Обучловлено это какраз таки тем, что это беспровод, и не надо идти с кусачками что бы попробовать скомпроментировать сеть используя какую-то хитрую уязвимость в реализации уровня доступа. Радио есть радио. Особенно wifi.

4) Да и если утекла одна учётка сети, где гарантия, что тем же макаром не утекли все? Ну т.е. менять придётся так и сяк все учётные данные, причём несколько раз в силу того, что надо ещё понять как утекло.

5) FT даже при использовании PSK в разы ускоряет фазу аутентификации на новой AP, т.е. даже с WPA Personal выигрыш именно в этом моменте был и будет, не смотря на отсутствие радиуса. А соль в том, что клиент зацепившись на первую AP при миграцию на следующую в схеме с FT будет использовать режим реассоциации, как буд-то он уже когда-то был на ней и сессийонный ключ "был кэширован". Т.е. из 4х шагов аутентификации останется 2 самых коротких.

 

Я это всё уже разжовывать устал с примерами и ссылками.

 

2 часа назад, Denisov.dv сказал:

Сейчас интернет превращается в интеллектуальную систему с бесчисленным количеством устройств мониторинга. так что я полагаю, что появление контроллеров в Wi-Fi сетях обусловлено не только тем, чтобы вытащить побольше денег из заказчиков.

 

 

Ещё раз и на пальцах. Слово контроллер тут весьма чревато в силу трактовки. Возможность удалённо крутануть на одной и более АП какой-то параметр это уже контроллер или нет? А радиус сервер без которого не будет работать "контроль доступа" в 802.1x контроллер или нет? И т.д.

 

Мне всё равно во что превращается интернет. Но я вижу тенденцию, что "с появлением" на рынке "бесконтроллерных" решений использующих банальные стандартные вещи вместо изобретения собственных костылей, разом мотороллеры и прочие так же начали перетаскивать всё взаимодействие АП с контроллера на уровень ниже. Ибо оказались в неочень хорошем положении навязывая бессмысленную фигню за N килобаксов.

 

Т.е. те кто больше всего сам орал о нужности контроллера начали переобуваться и кричать о проблемах с отказоустойчивостью в системах с выделенным контроллером (см свои же картинки).

 

Правда у них муркетологи работают хорошо, и им даже тут удалось всё вывернуть наизнанку, придумать красивое название и начать впаривать как супер-пупер достижение.

 

Напомню, тут технари сидят. И эту шелуху надо фильтровать.

 

Ну и ещё раз. Сходите по ссылкам которые давал выше, включая рекурсивно из темы на которую ссылаюсь. Через недельку будем ждать от вас статью с  техническим описанием ОСНОВНЫХ проблем миграции в сетях wifi к которым ускорение авторизации имеет ооооооочень отдалённое отношение.

 

Потрудитесь пожалуйста хотя бы материялы циски прочитать на эту тему, раз мои изыскания ломает вычитывать из рабочей темы.

 

За последний год, я перевернул всё от патентов, до реальных реализаций как на АП так и на клиентах всего этого дела. Включая форумы конкурентов, свободные форумы. Пообщался с людьми работающими над wpa_supplicnat/hostapd (ессно перечитав все списки рассылки косвенно касающиеся вопроса). Изучил текущий актуальный код Android (AOSP) на предмет этого дела. И т.д. и т.п.

 

И подобные статьи кроме рвотного рефлекса у меня ничего не вызывают.

sfstudio
sfstudio
Цитата

 


>Это реализуется за счет того, что по беспроводной сети начинают "летать" пакеты с информацией о соседних точках доступа и их состоянии.

...

>Откуда точка доступа берет информацию для своих AP-листов если не из пакетов в пакетной радиосети?
 

 

 

Вопрос что начинает летать? Маяки которые всегда есть и которые слушаем для составления MacTab для использования в RRM? Они и летали и будут летать независимо от. Или APScan невозможен без RRM? Или что этим сказать хотелось.

 

Именно, что происходит всё строго наоборот. Точка начинает слушать маяки соседей, не отбрасывать их, а выделять нужную информацию и запихивать в MacTab RRM. А вот когда клиент пошлёт RRM neighbour request то она ему ответит списком AP из того самого MacTab RRM. Так же могут проводиться фоновые или полные активные сканирование. Детальнее с примером запроса опять таки в теме форума по линку выше.

 

Цитата

Не спорю, что реализовать роуминг без контроллеров возможно, здесь же речь шла об удобных для интеграции решениях

 

Ну хватит ёлозить. Что значит удобное решение для интеграции? Две галки в роже/по ssh/tr-098/автоматом из мониторилки-управлялки это неудобно? Мы вообще можем под проект с завода предконфигурацию хоть миллиона устройств выполнить. Т.е. вся интеграция сведётся к втыканию хвостиков. Не ынтырпрайзно? =)))

 

Или когда отвал контроллера приводит к развалу сети это ынтырпрайзно и удобно?

 

И не можно, а нужно и именно так обмен данными был заложен изначально. Но т.к. в ынтырпрайзе принято переизобретать всё и вся ради возможности выдоить вот ещё чуть-чуть с клиента, то нарожали 100500 вариаций на одну и ту же тему.

sfstudio
sfstudio

P.S. Да, вот действительно где нужен именно контроллер эт в так называемых "безроминговых сетях". Аля как у Meru и иже с ними. Но это вопрос совсем другой темы.

YuryD
YuryD

И кстати да, кто будет контролировать контроллер ? И как ?