はじめに
このドキュメントでは、高速ローミング方式がワイヤレスクライアントで有効または無効にされている場合のさまざまな結果について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- IEEE 802.11 WLAN の基本.
- IEEE 802.11 WLAN のセキュリティ.
- IEEE 802.1X/EAPの基本』を参照してください。
- IEEE 802.11r BSS高速移行。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Wireless 9800-LコントローラIOS® XE 17.9.4
- Cisco Catalyst 9130AXIシリーズアクセスポイント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
このドキュメントは、9800ワイヤレスコントローラでプロトコル802.11r、802.11v、および802.11kを有効にした場合の違いを理解するのに役立ちます。また、無効にした場合のクライアントへの影響についても説明します。
802.11r、802.11v、および802.11kは、すべて802.11ファミリのワイヤレスネットワークプロトコルの標準または改訂です。
802.11r:基本的なサービスセット間の高速移行により、クライアントがターゲットアクセスポイントにローミングする前でも新しいAPとの初期ハンドシェイクが行われるという新しい概念が導入されます。ビデオや常時ストリームモニタを使用するVoice over IP(VoIP)やリアルタイムストリームアプリケーションなど、中断のない接続が重要な環境で特に役立ちます。調整された802.11rネットワークでは、デバイスはアクセスポイント間をローミングでき、ネットワーク接続の大幅な中断やドロップは発生しません。
802.11k:ネイバーリストおよびAssisted Roam(Radio Resource Measurement)は、無線リソース管理(RRM)の機能を利用して、ワイヤレスネットワークの全体的なパフォーマンスと信頼性を向上させます。アクセスポイントが無線環境に関する情報を収集して共有する場所で、利用可能な無線リソースを最適化します。この情報には、チャネルの使用状況、信号強度、干渉レベルが含まれます。その後、クライアントデバイスはこれを使用して、どのAPに接続するかについて、より多くの情報に基づいた決定を行うことができます。これにより、ロードバランスの向上、干渉の低減、およびネットワーク効率の向上が実現します。
802.11v:ネットワーク支援による省電力で、クライアントのバッテリ駆動時間を延ばし、より長くスリープ状態に保ちます。また、ワイヤレスネットワークの効率と管理を強化する方法にも重点を置いています。これにより、クライアントのローミング時にネットワークインフラストラクチャとクライアントデバイス間の制御と調整が向上します。主な機能は、ネイバーレポート、サービスセットの移行、ロードバランス、およびネットワーク支援型省電力です。これらの機能により、クライアントネットワークの検出、選択、およびモニタリングが強化されます。また、アクセスポイントは、デバイスがローミングの決定を行うのを待たずに、クライアントデバイスにローミングを促すことができます。
802.11rはAP間のシームレスな移行に重点を置いていますが、802.11vはネットワーク管理機能の強化を目指しています。802.11kは、パフォーマンスと信頼性を向上させるために無線リソースの使用率を最適化するように設計されています。
このドキュメントの一部の説明は、「Cisco Catalyst 9800シリーズワイヤレスコントローラの説明とトラブルシューティング」の第6章「802.11のローミング」の項に記載されています。
高レベルのセキュリティローミング
SSIDが基本的な802.11オープンシステム認証に加えてL2高レベルセキュリティで設定されている場合、初期関連付けとクライアントのローミングにはさらに多くのフレームが必要です。802.11 WLAN用に標準化および実装されている最も一般的な2つのセキュリティ方式は次のとおりです。
- WPA/WPA2/WPA3 Personal:PSKはクライアントの認証に使用されます。
- WPA/WPA2/WPA3 Enterprise:Extensible Authentication Protocol(EAP)方式および802.1xを使用してワイヤレスクライアントを認証し、AAAサーバ経由でユーザクレデンシャル(ユーザ名とパスワード)、証明書、またはトークンを検証します。
このドキュメントでは、EAP-PEAPでWPA2 Enterprise WLANを使用して、IEEEプロトコル(802.11r、802.11k、および802.11v)の使用の違い、およびそれがワイヤレスローミングの試行にどのように影響するかを示すことができます。
高速ローミングプロトコルが有効なSSID(802.11r、802.11k、および802.11v)
デフォルトのWLAN設定では、すべてのプロトコルがデフォルトで有効になっています。ラボでは、ワイヤレスクライアントは9130台のアクセスポイント間のローミングを試みます。WLANのデフォルト設定を使用しているため、802.11vと802.11kに加えて高速ローミングが有効になり、シームレスなローミングが期待できます。次に、ローミングのOTAキャプチャの例を示します。
このローミングイベントのRAトレースを次に示します。
2023/09/19 21:54:25.912523930 {wncd_x_R0-0}{1}: [client-orch-sm] [15403]: (note): MAC: 62be.a38b.07c5 Re-Association received. BSSID 1416.9d7f.a22e, WLAN Roaming-Enabled, Slot 1 AP 1416.9d7f.a220, Rosalia-9130-1, old BSSID f01d.2d49.dacf
!--- Reassociation Request is received from the client.
2023/09/19 21:54:25.912882280 {wncd_x_R0-0}{1}: [dot11-validate] [15403]: (info): MAC: 62be.a38b.07c5 Dot11 validate dot11r pmkid. 11r PMKID match found
!--- Since 802.11r is enabled, WLC/AP were able to validate/use the PMKID
802.11rが有効な場合、クライアントがターゲットアクセスポイントにローミングする前でも、新しいAPとの最初のハンドシェイクが実行されます。この概念は高速移行と呼ばれます。最初のハンドシェイクでは、クライアントとアクセスポイントが事前にPairwise Transient Key(PTK)計算を実行できます。これらのPTKキーは、クライアントが再関連付け要求に応答するか、新しいターゲットAPで交換に応答した後に、クライアントとアクセスポイントに適用されます。
2023/09/19 21:54:25.913247615 {wncd_x_R0-0}{1}: [dot11] [15403]: (note): MAC: 62be.a38b.07c5 Association success. AID 2, Roaming = True, WGB = False, 11r = True, 11w = False Fast roam = True
!--- Reassociation Response is sent to the client.
2023/09/19 21:53:59.692212232 {wncd_x_R0-0}{1}: [client-orch-state] [15403]: (note): MAC: 62be.a38b.07c5 Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
!--- Client took an IP address and moved to run state.
高速ローミングプロトコルが無効なSSID(802.11r、802.11k、および802.11v)
このシナリオでは、802.1x SSIDですべてのプロトコルが無効になっています。この場合、ワイヤレスクライアントがアクセスポイント間をローミングするたびに、クライアントで完全な認証が発生します。次の図は、クライアントがEAP交換をスキップできなかったことを確認できる無線での交換の例を示しています。したがって、どの高速ローミング方式もイネーブルになっていないため、完全な再認証が行われました。
Over-The-Airプロトコルが無効
このローミングイベントのコントローラRAトレースの要約を次に示します。
2023/09/19 21:44:47.425575500 {wncd_x_R0-0}{1}: [client-orch-sm] [15403]: (note): MAC: a2ca.9de1.87c9 Re-Association received. BSSID 1416.9d7f.a22f, WLAN Roaming-Disabled, Slot 1 AP 1416.9d7f.a220, Rosalia-9130-1, old BSSID f01d.2d49.dace
!--- Reasscoiation Request is received from the client.
2023/09/19 21:44:47.425980179 {wncd_x_R0-0}{1}: [dot11-validate] [15403]: (ERR): MAC: a2ca.9de1.87c9 Failed to Dot11 validate dot11i pmkids. No matching pmkid for the pmk available in cache.
!--- Since none of the roam methods are enabled, WLC/AP could not find any PMKID available.
2023/09/19 21:44:47.426252733 {wncd_x_R0-0}{1}: [dot11] [15403]: (note): MAC: a2ca.9de1.87c9 Association success. AID 1, Roaming = True, WGB = False, 11r = False, 11w = False Fast roam = False
!--- Reasscoiation Response is sent to the client.
2023/09/19 21:44:47.444466744 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 5, EAP-Type = Identity
2023/09/19 21:44:47.444469338 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - REQUEST, ID : 0x1
2023/09/19 21:44:47.444481064 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAPOL packet sent to client
2023/09/19 21:44:47.471913767 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 13, EAP-Type = Identity
2023/09/19 21:44:47.471916029 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - RESPONSE, ID : 0x1
2023/09/19 21:44:47.475646582 {wncd_x_R0-0}{1}: [radius] [15403]: (info): RADIUS: Received from id 1812/103 10.201.234.195:0, Access-Challenge, len 129
2023/09/19 21:44:47.627108647 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 39, EAP-Type = PEAP
2023/09/19 21:44:47.627110791 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - REQUEST, ID : 0x5c
2023/09/19 21:44:47.631319121 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - RESPONSE, ID : 0x5c
2023/09/19 21:44:47.657492378 {wncd_x_R0-0}{1}: [radius] [15403]: (info): RADIUS: Received from id 1812/183 10.201.234.195:0, Access-Accept, len 297
2023/09/19 21:44:47.657840708 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Received an EAP Success
!--- Full Reauthentication EAP exchange packets.
2023/09/19 21:44:47.658787303 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 EAP key M1 Sent successfully
2023/09/19 21:44:47.662831295 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 M2 Status: EAP key M2 validation success
2023/09/19 21:44:47.662931971 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 EAP key M3 Sent successfully
2023/09/19 21:44:47.665864464 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 M4 Status: EAP key M4 validation is successful
!--- 4-way handshake in order to compute the PTK/GTK keys.
802.11kが有効なSSID
802.11k標準では、クライアントは、サービスセット内のローミングの適切な候補となるAPに関する情報を含むネイバーレポートを要求できます。これにより、クライアントが別のアクセスポイントに移動することを決定する前に、クライアントはパッシブまたはアクティブRFスキャンを回避できます。C9800は、11k assisted roamiと呼ばれる機能をサポートしています。この機能は、最適化されたネイバーリストを作成して802.11kクライアントに配信します。802.11kネイバーリストはオンデマンドで生成され、WLCは囲まれたAPとの個々のクライアントRF関係を考慮するため、異なるAP上の2つのクライアントで異なる場合があります。
82.11kプロトコルをサポートしていないクライアントは、ネイバーリスト要求を送信しません。これにより、これらのクライアントを支援する予測の最適化が可能になります。その結果、ネイバーリストはC9800のモバイルステーションソフトウェアデータ構造に保存されます。
クライアントは、ビーコンでRM機能情報要素(IE)をアドバタイズするアクセスポイントに関連付けられた後にのみ、ネイバーリストの要求を送信します。次の図は、クライアントがアクセスポイントに関連付けられた後の802.11kアクションフレームの例です。
Over-The-Airネイバーレポート
802.11vが有効なSSID
802.11v標準では、ワイヤレスネットワーク管理に次の2つの主な拡張機能があります。
アクセスポイントがワイヤレスクライアントから一定の時間フレームを受信しないと、クライアントはネットワークから離れたと見なして関連付けを解除します。BSS Max idle periodは、APがフレームを受信せずに関連付けられたクライアントを維持できる時間です(クライアントはスリープ状態を維持できるため、バッテリを節約できます)。この値は、アソシエーションおよび再関連付け応答フレームを介してワイヤレスクライアントに送信されます。次の図は、アクセスポイントからの再関連付け応答の値を示しています。この値では、BSS Max Idle Periodが時間単位で指定されています。ユニットが1.024ミリ秒に等しい場合は常に次のようになります。
Over-The-Air BSS期間値
- ネットワークアシストローミング:ワイヤレスインフラストラクチャが、クライアントが現在のアクセスポイントからローミングすることを提案できるようにします。これにより、同じ拡張サービスセット(ESS)でローミングできるアクセスポイントのリストがクライアントに提供されます。
802.11v BSS移行管理フレームは、次の3つのシナリオで交換されます。
- 送信要求:新しいアクセスポイントへの移行前に、クライアントは802.11v BSS移行管理クエリを送信して、再関連付けするアクセスポイントのより適切なオプションを見つけ出し、クライアントが接続されている現在のAPは、ローミング先の候補アクセスポイントのリストを提供するBSS移行管理要求で応答します。
2.非要請ロードバランス要求:APの過負荷を回避するために、APが同じコントローラ上のアクセスポイント間でクライアントのロードバランシングを行えるようにする機能。クライアントカウントがAPに対して設定されたロードバランスしきい値を超えると、APとの関連付けを試行するすべての新しいクライアントは、ステータス17(APビジー)のアソシエーション応答で拒否されます。通常、拒否されたクライアントは、クライアントが関連付け拒否を取得した後でも、同じロード済みAPへの関連付けを試みます。これは、RSSIの観点からすると、そのAPが最適なオプションである場合です。たとえば、1台のAPがサービスを提供する会議室に40人のユーザがいるとします。802.11v BSS Transition Management(VMS)クエリを使用すると、APが代わりにローミングする候補APのリストを送信する場所で、ロードバランスの障害をより円滑に処理できます。
3.任意選択の最適化されたローミング要求:ワイヤレスクライアントはRFをスキャンし、最も高い信号でAPにローミングすることが想定されます。ただし、一部のクライアントでは、ネイバーAPが強い信号を提供する場合でも、関連付けられているAPと一緒にとどまるスティッキ動作が表示されます。これは、スティッキクライアントの問題と呼ばれます。この問題に対処するために、9800コントローラは最適化ローミングと呼ばれる機能をサポートしています。この機能では、クライアントデータパケットのRSSIとデータレートが監視され、クライアントの関連付けが事前に解除されます。802.11v BSS移行管理要求は、最適化されたローミングを強化します。これにより、クライアントに関連付けの即時解除が通知され、ローミング先のAPのリストが提供されます。
注:TACの経験から、最適化ローミングはすべてのネットワークに適しているわけではありません。アクセスポイント間のカバレッジが十分に良好であることを確認して、この機能が期待どおりに動作するようにします。そうしないと、有効にすると問題が発生する可能性があります。
APからクライアントに送信される802.11v BSS移行管理要求は、単なる推奨事項です。クライアントは提案を承認するか、または廃棄できます。9800ワイヤレスコントローラには、Imminent Disassociationと呼ばれる設定オプションがあり、クライアントが定義された時間内に別のAPと再アソシエーションを行わない場合に、クライアントのアソシエーションを強制的に解除します。この関連付けは、特定のWLANプロファイルでbss-transition disassociation-imminentコマンドを使用してCLIからのみ設定できます。
関連情報