nastroisam.ru

теория на практике / TP-Link corporate blog / Habr

Введение

Handover или «миграция клиента»

Как в старой, так и в новой сети у клиента будет присутствовать доступ в интернет, однако все установленные подключения будут сброшены. Но проблема ли это? Обычно переключение не вызывает затруднений, так как все современные браузеры, мессенджеры и почтовые клиенты без проблем обрабатывают потерю соединения. Примером такого переключения может служить переход из кинозала в кафе внутри одного крупного торгового центра: только что вы обменялись с друзьями впечатлениями от нашумевшего блокбастера, а теперь готовы поделиться с ними фотографией кулинарного шедевра — нового десерта от шеф-повара.
Увы, в реальности все не так гладко. Все большую популярность набирают голосовые и видеовызовы, передаваемые по беспроводным сетям Wi-Fi, — независимо от того, используете ли вы Skype, Viber, Telegram, WhatsApp или какое-либо иное приложение, возможность перемещаться и при этом продолжать разговор без перерыва бесценна. И здесь возникает проблема минимизации времени переключения. Голосовые приложения в процессе работы отправляют данные каждые 10–30 мс в зависимости от используемого кодека. Потеря одного или пары таких пакетов с голосом не вызовет раздражения у абонентов, однако, если трафик прервется на более продолжительное время, это не останется незамеченным. Обычно считается, что прерывание голоса на время до 50 мс остается незамеченным большинством собеседников, тогда как отсутствие голосового потока в течение 150 мс однозначно вызывает дискомфорт.

Для минимизации времени, затрачиваемого на повторное подключение абонента к медиасервисам, необходимо вносить изменения как в опорную проводную инфраструктуру (позаботиться, чтобы у клиента не менялись внешний и внутренний IP-адреса), так и в процедуру handover, описанную ниже.

Handover между точками доступа:

1. Определить список потенциальных кандидатов (точек доступа) для переключения.
   
2. Установить CAC-статус (Call Admission Control — контроль доступности вызовов, то есть, по сути, степень загруженности устройства) новой точки доступа.
   
3. Определить момент для переключения.
   
4. Переключиться на новую точку доступа:
   

Источник: frankandernest.com

Band steering

В каком случае может возникнуть необходимость переключить клиента в другой частотный диапазон? Например, такая необходимость может быть связана с переводом клиента из перегруженного диапазона 2,4 ГГц в более свободный и высокоскоростной 5 ГГц. Но бывают и другие причины.

Стоит отметить, что на данный момент не существует стандарта, жестко регламентирующего работу описываемой технологии, поэтому каждый производитель реализовывает ее по-своему. Однако общая идея остается примерно схожей: точки доступа не анонсируют клиенту, выполняющему активный скан, SSID в диапазоне 2,4 ГГц, если в течение некоторого времени была замечена активность данного клиента на частоте 5 ГГц. То есть точки доступа, по сути, могут просто умолчать о наличии поддержки диапазона 2,4 ГГц, в случае если удалось установить наличие поддержки клиентом частоты 5 ГГц.

Выделяют несколько режимов работы band steering:

1. Принудительное подключение. В этом режиме клиенту в принципе не сообщается о наличии поддержки диапазона 2,4 ГГц, конечно же, если клиент обладает поддержкой частоты 5 ГГц.
   
2. Предпочтительное подключение. Клиент принуждается к подключению в диапазоне 5 ГГц, только если RSSI (Received Signal Strength Indicator) выше определенного порогового значения, в противном случае клиенту позволяется подключиться к диапазону 2,4 ГГц.
   
3. Балансировка нагрузки. Часть клиентов, поддерживающих оба частотных диапазона, подключаются к сети 2,4 ГГц, а часть — к сети 5 ГГц. Данный режим не позволит перегрузить диапазон 5 ГГц, если все беспроводные клиенты поддерживают оба частотных диапазона.
   

На схеме ниже мы попытались графически изобразить суть технологии band steering.

Технологии и стандарты

802.11k

802.11r

802.11v

IEEE 802.11k в деталях

Обладая таким списком, клиентскому устройству нет необходимости выполнять скан (активный или пассивный) всех беспроводных каналов в диапазонах 2,4 и 5 ГГц, что позволяет сократить использование беспроводных каналов, то есть высвободить дополнительную полосу пропускания. Таким образом, 802.11k позволяет сократить время, затрачиваемое клиентом на переключение, а также улучшить сам процесс выбора точки доступа для подключения. Кроме этого, отсутствие необходимости в дополнительных сканированиях позволяет продлить срок жизни аккумулятора беспроводного клиента. Стоит отметить, что точки доступа, работающие в двух диапазонах, могут сообщать клиенту информацию о точках из соседнего частотного диапазона.

Мы решили наглядно продемонстрировать работу IEEE 802.11k в нашем беспроводном оборудовании, для чего использовали контроллер AC50 и точки доступа CAP1200. В качестве источника трафика использовался один из популярных мессенджеров с поддержкой голосовых звонков, работающий на смартфоне Apple iPhone 8+, заведомо поддерживающий 802.11k. Профиль голосового трафика представлен ниже.

Как видно из диаграммы, использованный кодек генерирует один голосовой пакет каждые 10 мс. Заметные всплески и провалы на графике объясняются небольшой вариацией задержки (jitter), всегда присутствующей в беспроводных сетях на базе Wi-Fi. Мы настроили зеркалирование трафика на коммутаторе, к которому подключены обе точки доступа, участвующие в эксперименте. Кадры от одной точки доступа попадали в одну сетевую карту системы сбора трафика, фреймы от второй — во вторую. В полученных дампах отбирался только голосовой трафик. Задержкой переключения можно считать интервал времени, прошедший с момента пропадания трафика через один сетевой интерфейс, и до его появления на втором интерфейсе. Конечно же, точность измерения не может превышать 10 мс, что обусловлено структурой самого трафика.

Итак, без включения поддержки стандарта 802.11k переключение беспроводного клиента происходило в среднем в течение 120 мс, тогда как активация 802.11k позволяла сократить эту задержку до 100 мс. Конечно же, мы понимаем, что, хотя задержку переключения удалось сократить на 20 %, она все равно остается высокой. Дальнейшее уменьшение задержки станет возможным при совместном использовании стандартов 11k, 11r и 11v, как это уже реализовано в домашней серии беспроводного оборудования DECO.

Однако у 802.11k есть еще один козырь в рукаве: выбор момента для переключения. Данная возможность не столь очевидна, поэтому мы бы хотели упомянуть о ней отдельно, продемонстрировав ее работу в реальных условиях. Обычно беспроводной клиент ждет до последнего, сохраняя существующую ассоциацию с точкой доступа. И только когда характеристики беспроводного канала становятся совсем плохими, запускается процедура переключения на новую точку доступа. С помощью 802.11k можно помочь клиенту с переключением, то есть предложить произвести его раньше, не дожидаясь значительной деградации сигнала (конечно же, речь идет о мобильном клиенте). Именно моменту переключения посвящен наш следующий эксперимент.

Качественный эксперимент

Беспроводной клиент перемещался по помещению, совершая видеозвонок. Сначала мы отключили поддержку стандарта 802.11k в контроллере и установили места, в которых происходило переключение. Как видно из представленной ниже картинки, это случалось на значительном удалении от «старой» точки доступа, вблизи «новой»; в этих местах сигнал становился очень слабым, а скорости едва хватало для передачи видеоконтента. Наблюдались заметные лаги в голосе и видео при переключении.

Затем мы включили поддержку 802.11k и повторили эксперимент. Теперь переключение происходило раньше, в местах, где сигнал от «старой» точки доступа все еще оставался достаточно сильным. Лагов в голосе и видео зафиксировано не было. Место переключения теперь переместилось примерно на середину между точками доступа.

В этом эксперименте мы не ставили перед собой цели выяснить какие бы то ни было численные характеристики переключения, а лишь качественно продемонстрировать суть наблюдаемых различий.

Заключение

Можно ли в 2018 году прожить в офисе без роуминга? На наш взгляд, такое вполне возможно. Но, попробовав раз перемещаться между кабинетами и этажами без потери соединения, без необходимости повторно устанавливать голосовой или видеовызов, не будучи вынужденным многократно повторять сказанное или переспрашивать, — от этого будет уже нереально отказаться.

P.S. а вот так можно сделать бесшовность не в офисе, а дома, о чем подробнее расскажем в другой статье.

habr.com

Бесшовный роуминг Wi-Fi / Habr

Решение об осуществлении переподключения всегда принимает клиентское устройство (драйвер Wi-Fi адаптера). Точка доступа может только «подсказать» устройству о желательности данного действия. Иногда можно указать в настройках драйвера параметр «агрессивности» принятия решения. Однако при первоначальном подключении абонента централизованно управляемая система может «заставить» абонента подключиться к предпочтительной (с точки зрения загрузки) точке, и на желаемом канале/диапазоне.

Бесшовным называют такой механизм роуминга, при котором потери передаваемых данных, возникающие в момент переключения с точки на точку, минимальны либо равны нулю, а стек TCP/IP клиентской операционной системы даже не замечает факт переключения. Такой механизм важен при эксплуатации чувствительных к задержкам и потерям приложений, таких как передача голоса по радио-сети (Voice over Wireless), потокового видео, больших объемов данных и вообще всех случаев, где протокол TCP не в состоянии «переварить» временное пропадание канала передачи данных.

Мы поставим эксперименты и подсмотрим за процессом бесшовного роуминга, реализованного средствами централизованно управляемой беспроводной сети, построенной на оборудовании Juniper Wireless, о котором шла речь во вводной статье. Это система корпоративного класса, специально спроектированная для решения задач обеспечения бесшовного роуминга. Затем мы «сломаем» бесшовность и продемонстрируем, к чему это приводит и какого поведения можно ожидать от устройств «бытового класса».

В нашей сети будет обычный Windows7 ноутбук со встроенной карточкой Intel WifiLink 5100abg, два контроллера беспроводных сетей Juniper MX8 в одном сегменте ЛВС, две точки доступа WLA532, каждая настроена на свой контроллер. Трафик до ноутбука будем создавать с Linux-сервера утилитой ping -f -s 1000 либо ping -s 100 -i 0.05. Тот же ноутбук будет заниматься анализом спектра (Wi-Spy DBx/Channelyzer Pro) и захватом 802.11 кадров (OmniWiFi/OmniPeek).

Для авторизации абонентов (правильно, WPA2 Enterprise) по механизму 802.1x поднимем FreeRADIUS-сервер и настроем его на PEAP/MSChapV2. При этом мы сможем наблюдать за потоком трафика «беспроводный контроллер — RADIUS-сервер» при запуске последнего через freeradius -X и отслеживать события полной авторизации и передачи сообщений аккаунтинга. В качестве локальной базы пользователей — текстовый файл с паролями.
Настройки контроллеров для авторизации в нашей сети «DOT1X» идентичны и просты:

set service-profile Secure-DOT1X ssid-name DOT1X
set service-profile Secure-DOT1X 11n short-guard-interval disable
set service-profile Secure-DOT1X rsn-ie cipher-ccmp enable
set service-profile Secure-DOT1X rsn-ie enable
set service-profile Secure-DOT1X attr vlan-name default
set radius server debian64 address 172.16.130.13 timeout 5 retransmit 3 deadtime 5 encrypted-key 0832494d1b1c11
set radius server debian64 mac-addr-format colons
set server group debian64-group members debian64
set accounting dot1x ssid DOT1X ** start-stop debian64-group
set authentication dot1x ssid DOT1X ** pass-through debian64-group
set radio-profile default service-profile Secure-DOT1X

# Configuration nvgen’d at 2013-6-28 22:18:27
# Image 8.0.2.2.0
# Model MX-8
# Last change occurred at 2013-6-28 19:56:52
set ip route default 172.16.130.1 1
set ip dns enable
set ip dns server 8.8.8.8 PRIMARY
set log server 172.16.130.100 severity error
set system name WLC-1
set system ip-address 172.16.130.30
set system countrycode RU
set timezone MSK 4 0
set service-profile Secure-DOT1X ssid-name DOT1X
set service-profile Secure-DOT1X 11n short-guard-interval disable
set service-profile Secure-DOT1X rsn-ie cipher-ccmp enable
set service-profile Secure-DOT1X rsn-ie enable
set service-profile Secure-DOT1X attr vlan-name default
set radius server debian64 address 172.16.130.13 timeout 5 retransmit 3 deadtime 5 encrypted-key 0832494d1b1c11
set radius server debian64 mac-addr-format colons
set server group debian64-group members debian64
set enablepass password…
set accounting dot1x ssid DOT1X ** start-stop debian64-group
set authentication dot1x ssid DOT1X ** pass-through debian64-group
set user anton password encrypted…
set radio-profile default 11n channel-width-na 20MHz
set radio-profile default service-profile Secure-DOT1X
set ap auto mode enable
set ap 2 serial-id mg0211508096 model WLA532-WW
set ap 2 name WLA-2
set ap 2 blink enable
set ap 2 fingerprint 1a:fb:2e:d2:ab:e0:59:87:a7:3c:2a:20:ec:2a:9b:cc
set ap 2 time-out 900
set ap 2 remote-ap wan-outage mode enable
set ap 2 remote-ap wan-outage extended-timeout 10h
set ap 2 radio 1 tx-power 5 mode enable
set ap 2 radio 2 mode disable
set ap 2 local-switching mode enable vlan-profile default
set ap 5 port 5 model WLA532-WW
set ap 5 radio 1 tx-power 5 mode enable
set ap 5 radio 2 mode disable
set ip snmp server enable
set port poe 5 enable
set snmp protocol v1 disable
set snmp protocol v2c enable
set vlan 1 port 1
set vlan 1 port 2
set vlan 1 port 3
set vlan 1 port 4
set vlan 1 port 6
set vlan 1 port 7
set vlan 1 port 8
set interface 1 ip 172.16.130.30 255.255.255.0
set snmp community name CommunityRO access read-only
set mobility-domain mode seed domain-name LocalMobilityDomain
set mobility-domain member 172.16.130.31

# Configuration nvgen’d at 2013-6-28 18:05:38
# Image 8.0.2.2.0
# Model MX-8
# Last change occurred at 2013-6-28 17:56:28
set ip route default 172.16.130.1 1
set system name WLC-2
set system ip-address 172.16.130.31
set system idle-timeout 0
set system countrycode RU
set service-profile Secure-DOT1X ssid-name DOT1X
set service-profile Secure-DOT1X 11n short-guard-interval disable
set service-profile Secure-DOT1X rsn-ie cipher-ccmp enable
set service-profile Secure-DOT1X rsn-ie enable
set service-profile Secure-DOT1X attr vlan-name default
set radius server debian64 address 172.16.130.13 timeout 5 retransmit 3 deadtime 5 encrypted-key 0832494d1b1c11
set radius server debian64 mac-addr-format colons
set server group debian64-group members debian64
set enablepass password…
set accounting dot1x ssid DOT1X ** start-stop debian64-group
set authentication dot1x ssid DOT1X ** pass-through debian64-group
set user anton password encrypted…
set radio-profile default wmm-powersave enable
set radio-profile default 11n channel-width-na 20MHz
set radio-profile default service-profile Secure-DOT1X
set ap auto mode disable
set ap auto blink enable
set ap 2 serial-id mg0211508096 model WLA532-WW
set ap 2 name WLA-2
set ap 2 fingerprint 1a:fb:2e:d2:ab:e0:59:87:a7:3c:2a:20:ec:2a:9b:cc
set ap 2 time-out 900
set ap 2 remote-ap wan-outage mode enable
set ap 2 remote-ap wan-outage extended-timeout 10h
set ap 2 radio 1 channel 11 tx-power 5 mode enable
set ap 2 radio 2 mode disable
set ap 2 local-switching mode enable vlan-profile default
set load-balancing mode disable
set port poe 5 enable
set port poe 6 enable
set vlan 1 port 1
set vlan 1 port 2
set vlan 1 port 3
set vlan 1 port 4
set vlan 1 port 5
set vlan 1 port 7
set vlan 1 port 8
set interface 1 ip 172.16.130.31 255.255.255.0
set mobility-domain mode member seed-ip 172.16.130.30
set security acl name portalacl permit udp 0.0.0.0 255.255.255.255 eq 68 0.0.0.0 255.255.255.255 eq 67
set security acl name portalacl deny 0.0.0.0 255.255.255.255 capture
commit security acl portalacl

Для проверки работоспособности роуминга необходимо, чтобы ноутбук стал получать от точки доступа, с которой он в настоящий ассоциирован, сигнал существенно худший, чем от другой точки с тем же SSID и настройками шифрования. Можно переносить ноутбук, но мне было так не удобно, поэтому я носил одну из точек доступа (на длинном Ethernet кабеле) поближе либо за бетонный угол, а сигнал второй ослаблял, накрывая её тремя вложенными стальными кастрюлями, как матрешку. Каждая кастрюля давала ослабление в 3-4 dB. В результате в какой-то момент времени клиент «соскакивал» на другую точку доступа:

При этом анализ пакетов в эфире показывает такую картину (для того, чтобы OmniPeek мог видеть весь трафик, мне пришлось повторить все эксперименты с точками, жестко завязанными на 11й канал, иначе при сканировании по {6,11} я бы потерял самое интересное).
Ноутбук пытается найти более предпочтительную точку доступа (probe request, фрейм 79086), и получает ответы от обоих, с уровнем сигнала 23% (текущая) и 63% (кандидат).
Последний полезный кадр 79103 передан до сервера через ap2, после чего кадрами 79122-79136 произведено быстрое переключение на ap1, включая авторизацию, реассоциацию, обмен EAPOL.

В запросе на реассоциацию в кадре 79126 содержится ключ PMKID (Pairwise Master Key), который определяет, грубо говоря, идентификатор данной беспроводной сессии. Если точки доступа работают коллективно (под управлением одного контроллера, либо контроллеры общаются между собой), «новая» точка доступа проверяет полученный идентификатор по своим таблицам и, если таковой найден, пропускает этап авторизации и тут же разрешает обмен данными.

В нашем случае первый полезный кадр 79138 через новую точку доступа, ap1, пошел через 90 миллисекунд после последнего через старую. RADIUS-сервер получил только промежуточное сообщение аккаунтинга от точки, которую оставили в покое:

rad_recv: Accounting-Request packet from host 172.16.130.30 port 20000, id=143, length=264

Acct-Status-Type = Interim-Update
Acct-Multi-Session-Id = «SESS-30-d44e4b-437681-7f4d10»
Acct-Session-Id = «SESS-30-d44e4b-437681-7f4d10»
User-Name = «test»
Event-Timestamp = «Jun 28 2013 20:56:42 MSK»
Trapeze-VLAN-Name = «default»
Calling-Station-Id = «00-21-5D-C8-06-8A»
NAS-Port-Id = «AP5/1»
Called-Station-Id = «78-19-F7-7C-6A-40:DOT1X»
Trapeze-Attr-19 = 0x77696e646f777337
Trapeze-Attr-21 = 0x77696e646f7773
NAS-Port = 33
Framed-IP-Address = 172.16.130.128
Acct-Session-Time = 921
Acct-Output-Octets = 246429867
Acct-Input-Octets = 238261281
Acct-Output-Packets = 232900
Acct-Input-Packets = 247341
NAS-Port-Type = Wireless-802.11
NAS-IP-Address = 172.16.130.30
NAS-Identifier = «Trapeze»
Acct-Delay-Time = 0
# Executing section preacct from file /etc/freeradius/sites-enabled/default
+- entering group preacct {…}
++[preprocess] returns ok
[acct_unique] Hashing ‘NAS-Port = 33,Client-IP-Address = 172.16.130.30,NAS-IP-Address = 172.16.130.30,Acct-Session-Id = «SESS-30-d44e4b-437681-7f4d10»,User-Name = «test»’
[acct_unique] Acct-Unique-Session-ID = «c1a67d40e7b54bea».
++[acct_unique] returns ok
[suffix] No ‘@’ in User-Name = «test», looking up realm NULL
[suffix] No such realm «NULL»
++[suffix] returns noop
++[files] returns noop
# Executing section accounting from file /etc/freeradius/sites-enabled/default
+- entering group accounting {…}
[detail] expand: /var/log/freeradius/radacct/%{Client-IP-Address}/detail-%Y%m%d -> /var/log/freeradius/radacct/172.16.130.30/detail-20130628
[detail] /var/log/freeradius/radacct/%{Client-IP-Address}/detail-%Y%m%d expands to /var/log/freeradius/radacct/172.16.130.30/detail-20130628
[detail] expand: %t -> Fri Jun 28 20:56:16 2013
++[detail] returns ok
++[unix] returns noop
[radutmp] expand: /var/log/freeradius/radutmp -> /var/log/freeradius/radutmp
[radutmp] expand: %{User-Name} -> test
++[radutmp] returns ok
++[exec] returns noop
[attr_filter.accounting_response] expand: %{User-Name} -> test
attr_filter: Matched entry DEFAULT at line 12
++[attr_filter.accounting_response] returns updated
Sending Accounting-Response of id 143 to 172.16.130.30 port 20000
Finished request 269.

WLA-1:

set mobility-domain mode seed domain-name LocalMobilityDomain
set mobility-domain member 172.16.130.31

set mobility-domain mode member seed-ip 172.16.130.30

WLC-1# show mobility-domain 
Mobility Domain name:  LocalMobilityDomain
Flags: u = up[2], d/e = down/config error[0], c = cluster enabled[0],
       p = primary seed, s = secondary seed (S = cluster preempt mode enabled),
       a = mobility domain active seed, A = cluster active seed (if different),
       m = member, y = syncing, w = waiting to sync, n = sync completed,
       f = sync failed 
Member: * = switch behind NAT
Member            Flags  Model     Version     NoAPs  APCap
----------------  -----  --------  ----------  -----  -----
172.16.130.30     upa--  MX-8      8.0.2.2         1     12
172.16.130.31     um---  MX-8      8.0.2.2         1     12

При роуминге абонентов между точками доступа контроллеры обмениваются контекстом абонента, включая историю его перемещений:

Roaming history:
  Switch          AP/Radio     Association time  Duration
  --------------- -----------  ----------------- -------------------
 *172.16.130.30   5/1          06/28/13 22:12:22 00:06:34            
  172.16.130.31   2/1          06/28/13 21:57:28 00:14:54            
  172.16.130.30   5/1          06/28/13 22:08:56                     

1 sessions total

Name: test
Session ID: 42
Global ID: SESS-41-d44e4b-442936-c9f222
Login type: dot1x
SSID: DOT1X
IP: 172.16.130.128
MAC: 00:21:5d:c8:06:8a
AP/Radio: 5/1 (Port 5)
State: ACTIVE
Session tag: 1
Host name: Cartman
Vlan name: default (AAA)
Device type: windows7 (AAA)
Device group: windows (AAA)
Up time: 00:09:59

Roaming history:
Switch AP/Radio Association time Duration
— — — — *172.16.130.30 5/1 06/28/13 22:12:22 00:06:34
172.16.130.31 2/1 06/28/13 21:57:28 00:14:54
172.16.130.30 5/1 06/28/13 22:08:56

Session Start: Fri Jun 28 22:08:57 2013 MSK
Last Auth Time: Fri Jun 28 22:08:57 2013 MSK
Last Activity: Fri Jun 28 22:18:56 2013 MSK ( <15s ago)
Session Timeout: 0
Idle Time-To-Live: 179
EAP Method: PASSTHRU, using server 172.16.130.13
Protocol: 802.11 WMM
Session CAC: disabled
Stats age: 0 seconds
Radio type: 802.11g
Last packet rate: 54.0 Mb/s
Last packet RSSI: -52 dBm
Last packet SNR: 43
Power Save: disabled
Voice Queue: IDLE

Packets Bytes
— — Rx Unicast 44824 21023372
Rx Multicast 249 31159
Rx Encrypt Err 0 0
Tx Unicast 22615 7289459
Rx peak A-MSDU 0 0
Rx peak A-MPDU 0 0
Tx peak A-MSDU 0 0
Tx peak A-MPDU 0 0

Queue Tx Packets Tx Dropped Re-Transmit Rx Dropped
— — — — — Background 17015 0 1641 0
BestEffort 5745 0 495 0
Video 0 0 0 0
Voice 11 0 1 0

11n Capabilities:
Max Rx A-MSDU size: 0K
Max Rx A-MPDU size: 0K
Max Channel Width: 20MHz
SM power save: none
TxBeamformer: All
TxBeamformee: NonComp-Unknown, Comp-Unknown

Теперь самое время промоделировать типичный офисный случай, когда точки доступа предоставляют одну сеть, но друг о друге не знают. Ломать-не строить: уберем на одном из контроллеров членство в группе мобильности (clear mobility-domain mode member). Аналогично вызванное событие роуминга приводит к более серьезным последствиям:

Хоть в сообщении реассоциации (27818) клиент и передают верный PMKID, новая точка доступа подтверждает ассоциацию (27820) и тут же запрашивает полную повторную авторизацию по 802.1 (EAP, 27823). Это приводит к длинной цепочке событий, включая отправку сообщений деассоциции «старой» точке доступа (27887) и

rad_recv: Access-Request packet from host 172.16.130.31 port 20000, id=132, length=139
NAS-Port-Id = «AP2/1»
Calling-Station-Id = «00-21-5D-C8-06-8A»
Called-Station-Id = «78-19-F7-75-5F-80:DOT1X»
Service-Type = Framed-User
EAP-Message = 0x020100090174657374
User-Name = «test»
NAS-Port = 19
NAS-Port-Type = Wireless-802.11
NAS-IP-Address = 172.16.130.31
NAS-Identifier = «Trapeze»
Message-Authenticator = 0xaf02c98034a727ae8cc5063bcda80c39
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {…}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No ‘@’ in User-Name = «test», looking up realm NULL
[suffix] No such realm «NULL»
++[suffix] returns noop
[eap] EAP packet type response id 1 length 9
[eap] No EAP Start, assuming it’s an on-going EAP conversation
++[eap] returns updated
[files] users: Matched entry test at line 206
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING: Auth-Type already set. Not setting to PAP
++[pap] returns noop
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {…}
[eap] EAP Identity
[eap] processing type md5
rlm_eap_md5: Issuing Challenge
++[eap] returns handled
Sending Access-Challenge of id 132 to 172.16.130.31 port 20000
и так далее три экрана логов

В данной статье мы не рассмотрели различные имеющиеся стандартные либо вендор-зависимые механизмы «помощи» клиентского роуминга, такие как WPA2 Fast BSS Transition (FT) 802.11r, Neighbor Reports и т.п. Желающие могут изучить эту серию статей.

Подведем итог:

• Бытовые точки доступа, работающие автономно друг от друга, заставят клиента произвести полный цикл авторизации при перемещении от одной точки к другой. Это чревато серьезными задержками в передаче полезного трафика, особенно при использовании централизованных баз пользователей (вы же не применяете общий пароль/PSK в корпоративной среде) и как следствие — обрывом коннектов.
• Бюджетные, но централизованные системы (Mikrotik, UniFi) возможно и обеспечат бесшовный роуминг, но это зависит от реализации. Например, хоть UniFi и имеет «контроллер», он служит только для общей настройки набора точек доступа одним интерфейсом, и по крайней мере в версии софта 2.х точки доступа далее работают автономно и роумингу не помогают (буду рад предложению протестировать эти устройства аналогичным образом).
• Беспроводные системы корпоративного класса (Juniper, Cisco, Aruba и т.д.) изначально проектировались для поддержки бесшовного роуминга; на них в первую очередь и реализуют нововведения вроде 802.11r. Но за это приходится платить, и зачастую немало.

habr.com

Роуминг в Wi-Fi-сетях

Введение

Современные принципы построения инфокоммуникационных сетей ориентированы не только на предоставление высокоскоростного доступа, но и на удобство пользователей. Роуминг в Wi-Fi-сетях является той самой составляющей, которая больше относится к удобству абонентов. В радиосетях роумингом называют процесс переключения абонента беспроводной сети от одной базовой станции (точки доступа, из зоны обслуживания которой уходит абонент) к другой (в зону обслуживания которой этот абонент входит).

Довольно распространенной ситуацией в офисах крупных компаний с Wi-Fi-сетью является отсутствие роуминга или его некорректная настройка. Это приводит к тому, что, несмотря на наличие равномерного радиопокрытия во всем здании, при перемещении абонента по нему обрываются SSH-сессии, прекращается загрузка файлов, не говоря уже о разрывах сеансов связи при использовании WatsApp, Skype и других подобных приложений.

Самый простой, дешевый и распространенный способ организации роуминга заключается в конфигурировании радиосети из точек доступа с одинаковым SSID. Когда мощность радиосигнала от абонента ослабевает (уменьшается SNR — отношения сигнал-шум), то это приводит к уменьшению скорости соединения, и если SNR падает ниже критической отметки, то соединение полностью разрывается. В том случае, если беспроводное абонентское устройство «видит» в сети оборудование с одинаковым SSID, то оно производит к нему подключение.

Многие производители беспроводного оборудования для организации роуминга используют проприетарные протоколы, но даже в этом случае задержки при хендовере могут достигать нескольких секунд, например, при использовании протокола WPA2-Enterprise, когда требуется подключение точек доступа к RADIUS-серверу:

Камнем преткновения в организации Wi-Fi-роуминга является то, что решение о переключении от одной точки доступа к другой принимает абонент (точнее клиентское оборудование). Большинство протоколов для переключения абонента от одного Wi-Fi-устройства к другому, используют принудительное отключение пользователя от точки доступа при ухудшении качества сигнала. В настройках большинства точек доступа, поддерживающих роуминг, можно установить минимальный уровень сигнала, при котором абонент будет отключен от сети. Это не самый лучший вариант реализации роуминга, ведь все также происходит разрыв TCP-сессии, а клиентское устройство может безуспешно пытаться продолжить попытки установления соединения с устройством, наглым образом выкинувшим его из сети.

802.11r и 802.11k – «Мобильный» Wi-Fi

Для решения описанных выше проблем в 2008 году в свет вышла спецификация 802.11r (а позднее еще и поправка к ней — 802.11k), которая является дополнением к стандарту 802.11 и служит для обеспечения бесшовного радиопокрытия и переключения абонентов от одной точки доступа к другой. Так что если вы собираетесь решить похожую задачу организации бесшовного Wi-Fi роуминга, то нужно выбирать оборудование, поддерживающее эти спецификации стандарта.

В 802.11r используется технология Fast Basic Service Set Transition, благодаря которой ключи шифрования от всех точек доступа хранятся в одном месте, что позволяет абоненту сократить процедуру аутентификации до обмена четырьмя короткими сообщениями. Поправка 11k позволяет уменьшить время обнаружения точек доступа с лучшими уровнями сигналов. Это реализуется за счет того, что по беспроводной сети начинают «летать» пакеты с информацией о соседних точках доступа и их состоянии.

Общий принцип работы стандарта 802.11r состоит в том, что абонентский терминал имеет список доступных точек доступа. Доступные точки принадлежат к одному мобильному домену MDIE, информация о принадлежности к MDIE транслируется вместе с SSID. Если абонент видит доступную точку доступа из MDIE с лучшим уровнем SNR, то абонент по еще активному беспроводному подключению производит предварительную авторизацию с другой точкой доступа из MDIE.

Для ускорения подключения, аутентификация происходит по упрощенной схеме, вместо авторизации на RADIUS-сервере, абонентский терминал обменивается с Wi-Fi контроллером PMK-ключом. Ключ PKM передается только при первой аутентификации и хранится в памяти Wi-Fi контроллера.

Только после того, как другая точка доступа авторизовала абонента, происходит хэндовер. Далее скорость переключения уже не будет зависеть от того, насколько быстро по сети летают пакеты, а лишь от того, как быстро абонентское устройство сможет произвести перестройку частоты на новый канал. При таком алгоритме переключение абонента происходит незаметно для пользователя.

Несмотря на то, что подавляющее большинство современных Wi-Fi устройств поддерживает 802.11r, всегда нужно оставлять запасной вариант, поэтому не лишним будет настроить «агрессивный роуминг», работающий по принципу отключения абонента при снижении SNR ниже заданного порогового значения.

Готовые решения для бесшовного роуминга

Организовать роуминг в беспроводной сети можно с использованием обычных точек доступа, поддерживающих вышеуказанные спецификации. И этот вариант подходит скорее для тех случаев, когда сеть состоит из небольшого количества точек доступа. Но если ваша сеть насчитывает десяток беспроводных точек, то для такой сети более целесообразно рассматривать специализированные решения от Cisco, Motorola, Juniper Aruba и пр.

Некоторые решения нуждаются в настройке отдельного контроллера, который управляет всей сетью, но есть и такие, которым контроллер не нужен. Например, у Aruba Networks имеются Instant точки, которые не работают без физического контроллера, но есть виртуальный, который поднимается на одной из точек. При этом работает большинство сервисов, ради которых создают такие сети: бесшовный роуминг, сканирование радиоспектра и пространства, распознавание устройств в сети. В дальнейшем при росте сети эти точки можно перевести в режим работы с физическим контроллером, отказавшись от виртуального.

Компания Motorolla славится своим интеллектуальным решением Wing 5, которым «наделено» беспроводное оборудование. Благодаря этому решению все оборудование (как локальное, так и удаленное) объединяется в единую распределенную сеть, что позволяет уменьшить количество коммутаторов в сети, а точки доступа могут работать более синхронно и эффективно.

Благодаря решению Wing 5 оборудование Motorolla может производить интеллектуальный контроль полосы пропускания и балансировку нагрузки между точками доступа, тем самым распределяя трафик в сети равномерно между всеми точками доступа. Кроме того, оборудование может самостоятельно динамически изменить конфигурацию в случае обнаружения интерференции (например, если рядом микроволновая печь). Также оборудование имеет функцию адаптивного покрытия, позволяющее увеличивать мощность сигнала для устройств в сети с низким отношением сигнал-шум (SNR). И конечно немаловажная функция – самовосстановление соседних точек доступа в случае их зависания.

У компании Cisco тоже есть похожее решение, и называется оно Cisco Mobility Express Solution. Политика Cisco в плане подхода к программному обеспечению чем-то напоминает Apple – простота развертывания и настройки (настройка занимает менее 10 минут). Поэтому оно подходит для компаний с небольшим штатом IT-специалистов либо вовсе без него. Mobility Express Solution разворачивается на базе точек доступа Cisco Aironet, которые также имеют виртуальный контроллер и приобретать отдельное устройство для этого нет необходимости. Подключение и настройка Aironet может производиться даже с обычного смартфона, достаточно лишь подключиться к точке доступа по известному SSID со стандартным заводским паролем:

При подключении к точке доступа по известному IP-адресу пользователю будет предложено пройти настройку с использованием мастера установки Cisco WLAN Express. Независимо от того, сколько точек доступа имеется в сети, ее настройка может производиться через любое оборудование Cisco Aironet, работающее в сети. Кстати говоря, при настройке сети со смартфона, можно скачать отдельное приложение Cisco Wireless, доступное как в Google Play, так и App Sore.

Заключение

Настройка роуминга в сети без использования специализированных решений ведущих производителей сетевого оборудования возможно, но всегда полезно использовать не только «голый стандарт». Поэтому реализация бесшовного роуминга с использованием решений с виртуальным либо физическим контроллером WLAN корпоративного класса от таких производителей как Cisco, Motorola, Juniper и Aruba позволяет легко управлять другими точками доступа без использования дополнительного оборудования. А это значит, что с их помощью любая компания как малого так и среднего бизнеса может предложить своим беспроводным клиентам такой же высокий уровень обслуживания, как и крупные предприятия, без каких-либо дополнительных затрат и сложного программного обеспечения.

nag.ru

Роуминг в сетях WiFi — 802.11i/r/k/v/OKC, что нам действительно нужно и как это распознать

В мире WiFi дела обстоят иначе, и под роумингом обычно подразумевают незаметное для пользователя перемещение между точками доступа одной сети — BSS transition, хотя повсеместное введение SMS-авторизации в ближайшем будущем должно подтолкнуть операторов к внедрению стандарта роуминга между чужими сетями WiFi в стиле сотовой инфраструктуры и на базе её идентификации.

Далее следует описание существующих технологий роуминга и способы их выявления на незнакомом оборудовании, предполагается, что читатель знаком с базовыми принципами работы WiFi.

Если оценивать роуминг переключения (который handover) в сети WiFi с позиции сотовых сетей, самым верным описанием будет такое – его НЕТ, не предусмотрен стандартом, и за много лет ситуация не изменилась. В сотовых сетях переключение абонента на другую БС инициирует контроллер сети на основе информационных сообщений от клиента, оценивая сигнал на клиенте от соседних баз, в WiFi решение о переключении клиент всегда принимает сам – база может только подсказать, как это сделать быстрее. Зато в WiFi есть множество стандартизированных «костылей», вполне успешно позволяющих уложить процесс смены точки доступа в 50 мс и сохранить абоненту голосовой звонок поверх IP, а также не стандартизированных разработок каждого производителя, которые могут как помочь, так и усугубить и без того грустный процесс (Ubiquity Zero HandOff – пример когда костыль сделал хуже, чем было до него). Тут можно легко кинуть в автора камень, а как же 802.11r/v – но они вовсе не обязательны в рамках WiFi, поддерживаются не всеми устройствами, и не предполагают ничего вроде принудительного перевода с резервированием полосы. Выбор куда и КОГДА переключиться — всё равно остаётся за клиентом. Более того, включение 802.11r приведёт к невозможности подключения к сети для старых клиентов, т.к. это обязательная опция в кадре 802.11! В некоторых случаях он вам не то что не нужен, а вреден (старые драйвера, принтеры сканеры и т.п. устройства).

Теория

802.11i

OKC (Opportunistic Key Caching)

802.11k

802.11v

Совместное использование 802.11k/v даёт хороший результат, и в большинстве случаев домашних и малоофисных сетей достаточно для клиентов, не создавая проблем в работе различных устройств. Дальше уже идёт тяжелая артиллерия – она радикально решает основную проблему, но может вызвать побочные действия – это 802.11r.

802.11r/FT

Fast BSS Transition работает с сетями RSNA (Robust Security Network Association – WPA2) и полностью открытыми сетями. Для WPA2-PSK теряется смысл быстрого роуминга, т.к. клиент и точка всё равно обмениваются 4 пакетами, ускорять тут нечего. В расчётах не учитывается время на поиск подходящей точки, а для диапазона 5 ГГц оно может быть изрядным – необходимо отсканировать 16 каналов и найти подходящую ТД, поэтому общая стратегия как раз заключается в совместном использовании протоколов k/v и r.

Если вы используете для авторизации RADIUS и хотите очень быстрый роуминг — выбора у вас нет, только 802.11r!

Кроме самого роуминга в 802.11r потенциально есть возможность опрашивать точку о наличии необходимых клиенту ресурсах и резервировать их (QoS). Соответственно, существует два подвида протоколов — FT Protocol и FT Resource Request Protocol. Общение между клиентом и точками может происходить как напрямую через воздух (Over-the-Air), так и через используемую точку и контроллеры ( Over-the-DS) – второй способ чуть дольше. Запрос QoS от точки на клиентах пока практически нигде не реализован и не используется.

Самый важный элемент кадра – MDE, Mobility Domain Element, он необходим для успешного роуминга, который возможен только в пределах одного домена.

Затрачиваемое на переключение клиента время в зависимости от стандарта (“Performance Study of Fast BS Transition using IEEE 802.11r” by Sangeetha Bangolae, Carol Bell and Emily Qi):

Необходимо учитывать, что это «чистое» время переключения, когда клиент уже решил что связь ухудшается, и нашёл новую точку!

Практика работы роуминга 802.11r отлично изложена в статье antonvn , не вижу смысла повторяться.

А вот работу других дополнений можно рассмотреть на примере. Добавить строчку в datasheet не сложно, сложнее заставить эту строчку работать. У меня в распоряжении есть пара точек Adtran Bluesocket (BSAP 1925), это нижний средний диапазон, сильно недотягивающий по объему функционала до лидеров рынка, но предоставляющий неплохие возможности по интеграции в операторскую сеть и хорошую стабильность и производительность. Если у вас всего 2-3 точки в одной компании, смысла для вас в них мало (только если аренда с облачным контроллером), а вот для распределенных или масштабных сетей (10-20+) – уже становится интересно. Рядом с ними идут Cambium – их сейчас для тестов под рукой нет, но коллеги хвалят. По описанию Cambium располагает чуть большим функционалом чем Bluesocket (есть 802.11r, больше типов туннелей для пользовательского трафика, возможность работы до 24 точек без внешнего контроллера и т.д. по мелочам), у Bluesocket пока только 802.11k/v/OKC – полный роуминг r обещают в следующем софте. Aruba/Cisco/Ruckus предсказуемо умеют всё из доступного на рынке – правда вопрос, будете ли вы реально это использовать. Тестировать дешевое оборудование часто неблагодарная задача, около года назад нам приносили Edimax, стабильность работы управляющего портала тогда вызвала большие вопросы, на чём тестирование завершили не вдаваясь в глубину функций. Возникают сомнения, что в такой ценовой категории смогли организовать полноценный мониторинг эфира и оповещение о соседях клиента, интересно если кто-то сможет это проверить в деле. Ubiquiti роуминг пока не поддерживает, так же как и Mikrotik (а жаль!).

Нужно ещё заметить, что наличие функции оповещения о соседях не имеет большого смысла, если точка о них не знает – т.е. необходим режим фонового сканирования каналов и поиск на них соседей. Дело в том, что в обычном режиме точки работают только на своём канале, и знать о соседях на других просто не могут! Решение с установкой всех точек на один канал опробовали Ubiquiti, доказав на практике что это плохая идея (в этом никто не сомневался) – драматично падает ёмкость.

Используемое оборудование

Тестирование делали дома у друзей, одна точка стояла на кухне, другая в комнате, отделены капитальной стеной и видели друг друга с минимальным сигналом. Обстановка и наличие соседних сетей аналогичны небольшим офисам. Телефон практически сразу при попадании в помещение переключался на стоявшую в нём точку. Для усложнения задачи переход делался быстро, а сигнал стремительно падал сразу при выходе из помещения за угол – такая схема больше проверяла работу клиента, точки не успевали задействовать систему балансировки.

Работа с дампами

802.11k
Точка анонсирует возможность отправки списка соседей в кадрах Beacon:

Клиент при желании получить список точек по своему SSID, отправляет Action Frame. В моём случае клиент запрашивает список соседей после подключения к SSID (фильтр Wireshark по типу кадров wlan.fc.type_subtype eq 13):

Ответ со списком соседних точек клиенту Neighbor List Report от текущей ТД, с указанием на каком канале и какую точку искать клиенту:

802.11v
Отыскать следы работы 802.11v не получилось – для активации работы балансировки необходимо хорошо нагрузить точку, и ждать что произойдёт в эфире, в этот раз не удалось этого сделать. Bluesocket заявляет адаптивную систему балансировки, которая всегда позволяет подключиться клиенту к желаемому радио, а дальше уже при необходимости его переключает. Нет смысла выдавливать всех по умолчанию в 5 ГГц, когда 2,4 пуст, также у клиента не всегда достаточный уровень сигнала для использования пятёрки, а ему мешают подключиться к двойке. По опыту, балансировка работает, но вот поймать её работу в дамп полностью я пока не сумел – в этот раз попались только сообщения Disassociate после падения сигнала и отсутствия ответа от клиента, но клиент в это время уже переподключился самостоятельно. Свежие аппараты, как мой Xperia Z5, сразу подключаются в 5 ГГц, аналогично поступают все новые устройства Apple. Ограничился проверкой предоставления соседей, и дампом роуминга на двух каналах одновременно. В процессе разбора переключения увидел достаточно интересное – задержку передачи определенных пакетов устройством, когда канал уже установлен и работает, но трафика приложения долгое время нет. Так что при реальном тестировании определенного приложения необходимо учитывать особенности работы его и сетевого стека вашего устройства – вполне возможно, что в задержке виноват не WiFi, а ваш софт!

Особенности стэка клиента

Аутентификация и успешное подключение:

После подключения появляется сетевой трафик, однако это не ICMP, а какие-то другие пакеты! И только спустя 3 секунды появляются ICMP запросы:

Вот что в это время происходит на исходной точке доступа, сложно сказать, начал ли клиент процедуру подключения на новую точку ранее полного отключения от исходной, как это следует из дампа, т.к. время может быть не точным:

После того как точка доступа получает последние пакеты от клиента с уровнем сигнала -80 dBm, и далее клиент не подтверждает несколько пакетов, точка отправляет ему сообщения Disassociate. Вероятно, клиент в это время уже ведёт успешную передачу на новом канале, т.к. никто не мешает ему переключаться на него для сканирования доступных точек не отключаясь от текущей, а в данном случае для этого не нужно тратить много времени.

Визуально, некоторая задержка переключения присутствует, пинги подвисают – но как показал дамп, это не проблема WiFi. Полного отключения от сети на устройстве не происходило, сигнал при переходе между помещениями падает, а потом быстро возвращается к высоким значениям.

В случае поддержки функционала BSS Transition, его наличие в дампе выявляется по указанному флагу — кадр Probe Request от клиента:

Выводы?

Грамотная расстановка точек по помещению и планирование сети позволят получить хорошие результаты даже с недорогим оборудованием, точно так же используя топовое железо можно легко угробить проект необдуманным монтажом.

habr.com