Einleitung
In diesem Dokument werden die verschiedenen Ergebnisse beschrieben, wenn schnelle Roaming-Methoden auf den Wireless-Clients aktiviert/deaktiviert werden.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- IEEE 802.11 WLAN-Grundlagen
- IEEE 802.11: WLAN-Sicherheit
- IEEE 802.1x/EAP-Grundlagen
- Schneller Umstieg auf IEEE 802.11r BSS
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Wireless Controller 9800-L IOS® XE 17.9.4
- Cisco Catalyst Access Points der Serie 9130AXI
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Dieses Dokument hilft Ihnen, den Unterschied zu verstehen, wenn Sie die Protokolle 802.11r, 802.11v und 802.11k auf einem Wireless-Controller der Serie 9800 aktiviert haben. Außerdem wird erläutert, welche Auswirkungen die Deaktivierung auf die Clients hat.
802.11r, 802.11v und 802.11k sind verschiedene Standards oder Änderungen innerhalb der 802.11-Familie von Wireless-Netzwerkprotokollen.
802.11r: Hierbei handelt es sich um den schnellen Übergang zwischen grundlegenden Service Sets, der ein neues Konzept einführt, bei dem der erste Handshake mit einem neuen AP durchgeführt wird, noch bevor der Client zum Ziel-Access Point wechselt.
Sie ist besonders in Umgebungen nützlich, in denen eine unterbrechungsfreie Anbindung von entscheidender Bedeutung ist, z. B. bei Voice-over-IP- oder Echtzeit-Stream-Anwendungen mit Video oder konstantem Stream-Monitor.
Mit einem optimierten 802.11r-Netzwerk können Geräte zwischen Access Points wechseln, ohne dass es zu merklichen Unterbrechungen oder Ausfällen der Netzwerkverbindung kommt.
802.11k: Neighbor List and Assisted Roam (Radio Resource Measurement) nutzt die Funktionen der Funkressourcenverwaltung, um die Gesamtleistung und Zuverlässigkeit von Wireless-Netzwerken zu verbessern.
Es optimiert die verfügbaren Funkressourcen, bei denen Access Points Informationen über ihre Funkumgebung sammeln und austauschen. Zu diesen Informationen gehören Kanalnutzung, Signalstärke und Interferenzpegel.
Client-Geräte können damit fundiertere Entscheidungen darüber treffen, mit welchem Access Point eine Verbindung hergestellt werden soll. was zu einem besseren Lastenausgleich, weniger Interferenzen und einer höheren Netzwerkeffizienz führt.
802.11v: Bietet netzwerkgestützten Energiesparmodus, mit dem die Akkulaufzeit verbessert und der Energiesparmodus verlängert werden kann.
Ein weiterer Schwerpunkt ist die Verbesserung der Effizienz und Verwaltung von Wireless-Netzwerken. Dies wiederum ermöglicht eine bessere Kontrolle und Koordination zwischen der Netzwerkinfrastruktur und den Client-Geräten, wenn die Clients Roaming nutzen.
Die Hauptfunktionen sind Berichte von Nachbarn, Änderungen von Service-Sets, Lastausgleich und netzwerkgestützte Energieeinsparungen. Diese Funktionen verbessern die Erkennung, Auswahl und Überwachung des Client-Netzwerks.
Darüber hinaus können die Access Points Client-Geräte zum Roaming anregen, anstatt darauf zu warten, dass das Gerät eine Roaming-Entscheidung trifft.
Während bei 802.11r der nahtlose Übergang zwischen APs im Mittelpunkt steht, zielt 802.11v darauf ab, die Netzwerkverwaltungsfunktionen zu verbessern.
Der 802.11k-Standard ist auf eine optimierte Nutzung von Funkressourcen für eine bessere Leistung und Zuverlässigkeit ausgelegt.
Einige Aussagen in diesem Dokument stammen aus dem Abschnitt Verständnis und Fehlerbehebung für Cisco Catalyst Wireless Controller der Serie 9800, Kapitel 6, 802.11 Roaming.
Höherstufige Sicherheits-Roams
Wenn die SSID zusätzlich zur grundlegenden 802.11-Open-System-Authentifizierung mit L2-Sicherheit auf höherer Ebene konfiguriert ist, sind für die anfängliche Zuordnung und beim Roaming der Clients mehr Frames erforderlich.
Die beiden gebräuchlichsten Sicherheitsmethoden, die für 802.11-WLANs standardisiert und implementiert werden, sind:
- WPA/WPA2/WPA3-Personal: Ein PSK dient zur Authentifizierung der Clients.
- WPA/WPA2/WPA3-Enterprise: Das Extensible Authentication Protocol (EAP)-Verfahren und 802.1x werden zur Authentifizierung der Wireless-Clients verwendet, um die Benutzeranmeldeinformationen (Benutzername und Kennwort), Zertifikate oder Token über einen AAA-Server zu validieren.
In diesem Dokument kann WPA2 Enterprise WLAN mit EAP-PEAP verwendet werden, um den Unterschied bei der Verwendung der IEEE-Protokolle (802.11r, 802.11k und 802.11v) und die möglichen Auswirkungen auf die Wireless-Roamingversuche aufzuzeigen.
SSID mit aktivierten Fast Roam-Protokollen (802.11r, 802.11k und 802.11v)
In der WLAN-Standardkonfiguration ist jedes Protokoll standardmäßig aktiviert. In der Übung versucht der Wireless-Client, zwischen 9.130 Access Points zu wechseln.
Da Sie über die Standardkonfiguration des WLAN verfügen (zusätzlich zu 802.11v und 802.11k ist schnelles Roaming aktiviert), erwarten Sie nahtloses Roaming.
Hier ist ein Beispiel für eine OTA-Aufzeichnung auf Sendung für eine Roam-Veranstaltung:

Hier sind die RA-Spuren für diese Roam-Veranstaltung:
2023/09/19 21:54:25.912523930 {wncd_x_R0-0}{1}: [client-orch-sm] [15403]: (note): MAC: 62be.a38b.07c5 Re-Association received. BSSID 1416.9d7f.a22e, WLAN Roaming-Enabled, Slot 1 AP 1416.9d7f.a220, Rosalia-9130-1, old BSSID f01d.2d49.dacf
!--- Reassociation Request is received from the client.
2023/09/19 21:54:25.912882280 {wncd_x_R0-0}{1}: [dot11-validate] [15403]: (info): MAC: 62be.a38b.07c5 Dot11 validate dot11r pmkid. 11r PMKID match found
!--- Since 802.11r is enabled, WLC/AP were able to validate/use the PMKID
Wenn 802.11r aktiviert ist, erfolgt der erste Handshake mit einem neuen Access Point, noch bevor der Client zum Ziel-Access Point wechselt. Dieses Konzept nennt sich schneller Übergang.
Der erste Handshake ermöglicht einem Client und den Access Points, die Pairwise Transient Key (PTK)-Berechnung im Voraus durchzuführen.
Diese PTK-Schlüssel werden auf den Client und die Access Points angewendet, nachdem der Client auf die Neuzuordnungsanforderung oder auf den Austausch mit dem neuen Ziel-AP reagiert:

2023/09/19 21:54:25.913247615 {wncd_x_R0-0}{1}: [dot11] [15403]: (note): MAC: 62be.a38b.07c5 Association success. AID 2, Roaming = True, WGB = False, 11r = True, 11w = False Fast roam = True
!--- Reassociation Response is sent to the client.
2023/09/19 21:53:59.692212232 {wncd_x_R0-0}{1}: [client-orch-state] [15403]: (note): MAC: 62be.a38b.07c5 Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
!--- Client took an IP address and moved to run state.
SSID mit deaktivierten Fast-Roam-Protokollen (802.11r, 802.11k und 802.11v)
In diesem Szenario sind alle Protokolle auf einer 802.1x-SSID deaktiviert. In diesem Fall erfährt der Client jedes Mal eine vollständige Authentifizierung, wenn der Wireless-Client zwischen den Access Points wechselt. Die nächste Abbildung zeigt ein Beispiel für einen drahtlosen Austausch, bei dem Sie sehen, dass der Client den EAP-Austausch nicht überspringen konnte. Daher wurde eine vollständige Neuauthentifizierung durchgeführt, da keine der schnellen Roamingmethoden aktiviert ist:
Wireless-Protokolle deaktiviert
Nachfolgend finden Sie eine Zusammenfassung der RA-Ablaufverfolgungen des Controllers für dieses Roam-Ereignis:
2023/09/19 21:44:47.425575500 {wncd_x_R0-0}{1}: [client-orch-sm] [15403]: (note): MAC: a2ca.9de1.87c9 Re-Association received. BSSID 1416.9d7f.a22f, WLAN Roaming-Disabled, Slot 1 AP 1416.9d7f.a220, Rosalia-9130-1, old BSSID f01d.2d49.dace
!--- Reasscoiation Request is received from the client.
2023/09/19 21:44:47.425980179 {wncd_x_R0-0}{1}: [dot11-validate] [15403]: (ERR): MAC: a2ca.9de1.87c9 Failed to Dot11 validate dot11i pmkids. No matching pmkid for the pmk available in cache.
!--- Since none of the roam methods are enabled, WLC/AP could not find any PMKID available.
2023/09/19 21:44:47.426252733 {wncd_x_R0-0}{1}: [dot11] [15403]: (note): MAC: a2ca.9de1.87c9 Association success. AID 1, Roaming = True, WGB = False, 11r = False, 11w = False Fast roam = False
!--- Reasscoiation Response is sent to the client.
2023/09/19 21:44:47.444466744 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 5, EAP-Type = Identity
2023/09/19 21:44:47.444469338 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - REQUEST, ID : 0x1
2023/09/19 21:44:47.444481064 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAPOL packet sent to client
2023/09/19 21:44:47.471913767 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 13, EAP-Type = Identity
2023/09/19 21:44:47.471916029 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - RESPONSE, ID : 0x1
2023/09/19 21:44:47.475646582 {wncd_x_R0-0}{1}: [radius] [15403]: (info): RADIUS: Received from id 1812/103 10.201.234.195:0, Access-Challenge, len 129
2023/09/19 21:44:47.627108647 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 39, EAP-Type = PEAP
2023/09/19 21:44:47.627110791 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - REQUEST, ID : 0x5c
2023/09/19 21:44:47.631319121 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - RESPONSE, ID : 0x5c
2023/09/19 21:44:47.657492378 {wncd_x_R0-0}{1}: [radius] [15403]: (info): RADIUS: Received from id 1812/183 10.201.234.195:0, Access-Accept, len 297
2023/09/19 21:44:47.657840708 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Received an EAP Success
!--- Full Reauthentication EAP exchange packets.
2023/09/19 21:44:47.658787303 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 EAP key M1 Sent successfully
2023/09/19 21:44:47.662831295 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 M2 Status: EAP key M2 validation success
2023/09/19 21:44:47.662931971 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 EAP key M3 Sent successfully
2023/09/19 21:44:47.665864464 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 M4 Status: EAP key M4 validation is successful
!--- 4-way handshake in order to compute the PTK/GTK keys.
SSID mit aktivierter 802.11k-Funktion
Der 802.11k-Standard ermöglicht es Clients, einen Nachbarbericht anzufordern, der Informationen über APs enthält, die sich für ein Roaming innerhalb des Service Sets eignen.
Auf diese Weise können Clients passiven oder aktiven RF-Scan vermeiden, bevor der Client beschließt, zu einem anderen Access Point zu wechseln.
Der C9800 unterstützt eine Funktion namens 11k-unterstütztes Roaming, die eine optimierte Nachbarliste für 802.11k-Clients erstellt und bereitstellt.
Die 802.11k-Nachbarliste wird bei Bedarf generiert und kann für zwei Clients an unterschiedlichen APs unterschiedlich sein, da der WLC die jeweilige Client-RF-Beziehung zu den umschlossenen APs berücksichtigen würde.
Clients, die das 82.11k-Protokoll nicht unterstützen, senden keine Nachbar-Listenanforderungen. Dies ermöglicht eine Vorhersageoptimierung, die diesen Clients hilft.
Dadurch wird eine Nachbarliste in der Mobilstationssoftware-Datenstruktur auf C9800 gespeichert.
Clients senden Anfragen für Nachbarlisten nur, nachdem sie eine Verbindung zu den Access Points hergestellt haben, die das RM-Funktionsinformationselement (IE) im Beacon ankündigen.
Die folgende Abbildung zeigt ein Beispiel für 802.11k-Action-Frames, nachdem der Client dem Access Point zugeordnet wurde:
Over-the-Air Neighbor-Bericht
SSID mit aktivierter 802.11v-Technologie
Der 802.11v-Standard erweitert das Management des Wireless-Netzwerks um folgende Funktionen:
-
Netzwerkgestützte Energiesparfunktion: Erhöht die Leistung des Client-Akkus um einen maximalen Leerlaufzeitraum, der angibt, wie lange ein Client ohne gesendete Daten-Frames im Ruhemodus bleiben kann. Der Kunde wird über diese maximale Leerlaufzeit durch Zuordnungs- und Abtrennungs-Frames informiert.
Wenn ein Access Point für einen bestimmten Zeitraum keine Frames von einem Wireless-Client empfängt, geht er davon aus, dass der Client das Netzwerk verlassen hat, und trennt die Verbindung.
Die maximale BSS-Leerlaufperiode gibt an, wie lange ein Access Point einen Client in Verbindung halten kann, ohne einen Frame empfangen zu müssen (der Client kann eingeschaltet bleiben, wodurch der Akku eingespart wird).
Dieser Wert wird über den Antwortframe für die Zuordnung und die erneute Zuordnung an den Wireless-Client gesendet.
Die nächste Abbildung zeigt den Wert in der Antwort auf die erneute Zuordnung vom Access Point, bei der die maximale BSS-Leerlaufperiode in Zeiteinheiten angegeben wird. Jedes Mal, wenn die Einheit 1,024 Millisekunden entspricht:
Wert des Over-the-Air BSS-Zeitraums
- Netzwerkunterstütztes Roaming: Ermöglicht der Wireless-Infrastruktur, dem Client das Roaming von seinem aktuellen Access Point aus vorzuschlagen. Dadurch erhält der Client eine Liste von Access Points, zu denen er im selben erweiterten Service Set (ESS) wechseln kann.
802.11v BSS Transition Management Frames werden in drei Szenarien ausgetauscht:
- Angeforderte Anforderung: Vor dem Übergang zu einem neuen Access Point hat der Client die Möglichkeit, eine 802.11v BSS Transition Management Query zu senden, um bessere Optionen für Access Points zu ermitteln, denen neu zugeordnet werden kann. Der aktuelle Access Point, mit dem der Client verbunden ist, kann mit einer BSS Transition Management Request antworten, die eine Liste der möglichen Access Points enthält, zu denen Roaming erfolgen kann.
2. Unerwünschte Lastenausgleichsanforderung: Diese Funktion ermöglicht dem Access Point, Clients über Access Points auf demselben Controller hinweg Lastenausgleich durchzuführen, um eine Überlastung des Access Points zu vermeiden. Wenn die Client-Anzahl den konfigurierten Lastenausgleichschwellenwert für einen Access Point überschreitet, wird jedem neuen Client, der versucht, eine Verbindung zum Access Point herzustellen, eine Zuordnungsantwort mit dem Status 17 (AP besetzt) verweigert. In der Regel versuchen die abgelehnten Clients, eine Verbindung mit demselben geladenen Access Point herzustellen, auch nachdem der Client eine Ablehnung der Zuordnung erhalten hat, d. h. wenn dieser Access Point aus RSSI-Sicht die beste Option ist. Nehmen wir als Beispiel 40 Benutzer in einem Konferenzraum, der von einem AP bedient wird. Mit einer 802.11v BSS Transition Management-Abfrage kann ein Lastenausgleichsfehler reibungsloser gehandhabt werden, wenn der Access Point stattdessen eine Liste potenzieller Access Points zum Roaming sendet.
3. Unerwünschte optimierte Roam-Anforderung: Von den Wireless-Clients wird erwartet, dass sie RF scannen und mit dem höchsten Signal zu AP roamen. Einige Clients zeigen jedoch ein klebriges Verhalten, wenn sie beim AP verbleiben, dem sie zugeordnet sind, selbst wenn ein Nachbar-AP ein stärkeres Signal liefert. Dies wird als klebriges Client-Problem bezeichnet. Um dieses Problem zu beheben, unterstützt der Controller 9800 eine Funktion namens optimiertes Roaming, bei der das RSSI der Client-Datenpakete und die Datenrate überwacht werden und der Client proaktiv getrennt wird. Die 802.11v BSS Transition Management Request verbessert das optimierte Roaming, wodurch der Client von einer drohenden Trennung in Kenntnis gesetzt wird und eine Liste der APs bereitgestellt wird, zu denen das Roaming erfolgen kann.
Anmerkung: Erfahrungen mit dem TAC zeigen, dass sich optimiertes Roaming nicht für alle Netzwerke eignet. Vergewissern Sie sich, dass die Abdeckung zwischen den Access Points ausreichend ist, damit dies wie erwartet funktioniert, da andernfalls weitere Probleme auftreten könnten, wenn Sie die Funktion aktivieren.
Eine 802.11v BSS Transition Management Request, die, wenn sie von einem Access Point an einen Client gesendet wird, nur einen Vorschlag darstellt. Der Kunde kann den Vorschlag honorieren oder verwerfen. Der Wireless-Controller 9800 bietet eine Konfigurationsoption mit der Bezeichnung "Imminent Disassociation" (unmittelbare Trennung), mit der Sie die Clients zwingen können, die Verbindung zu trennen, wenn der Client innerhalb eines festgelegten Zeitfensters keine Neuzuweisung zu einem anderen Access Point vornimmt. Sie können sie nur über den CLI-Befehl bss-sition disassociation-imminent unter einem bestimmten WLAN-Profil konfigurieren.
Zugehörige Informationen