úvodní  ::  WDS  ::  Spanning tree  ::  VLAN  ::  Roaming

Než se začneme podrobneji zabývat jednotlivými detaily roamingu a vlastni komunikací mezi jednotlivými AP,řekneme si něco málo o tom co to vlastně Roaming je.
Roaming probíhá typicky na druhé nebo třetí vrstvě síťové architektury. Roaming na druhé vrstvě znamená, že se uživatel přesunuje od jednoho přístupového bodu k druhému v rámci a zacovává si stále stejnou IP (pohyb vrámci jedné podsítě). Je třeba tedy vyřešit fyzické předávání uživatele mezi původním AP a novým AP (více méně MAC adresy). Pokud se ovšem uživatel přesouvá do jiné IP sítě(mimo lokální síť), musí se kromě vlastního předání mezi přístupovými body také zapojit síťová vrstva, protože uživatel nemůže nadále používat původní IP adresu (jiná maska - síť). Tento problém velice efektivně řeší technologie Mobile IP.

Přístupové body WLAN (AP) podporují roaming na druhé vrstvě, kde se uživatelé automaticky připojují a opětovně připojují (re-associate) k různým přístupovým bodům při pohybu mezi sousedními buňkami WLAN. Roaming probíhá na druhé (při výše uvedených podmínkách na třetí) vrstvě zcela transparentně, Pokud se uživatel dostane mimo dosah daného přístupového bodu, nebo jsou problémy ze signálem. klient si automaticky vyhledá nový signál. Klient prohledává kanály 802.11 a pokud najde více přístupových bodů, nejprve vyloučí ty s neznámým SSID a nastavením šifrování (pokud nemá patřičné oprávnění). Klient si pak sestaví seznam vhodných přístupových bodů, z nichž jeden si vybere pro připojení. Jakmile si vybere nový přístupový bod, předá své identifikační údaje a připojí se k němu. Jestliže podporuje 802.1x, pak ještě proběhne autentizace klienta.

Požadavek roamingu vždy vychází od klienta, který sám uzná za vhodné, že by bylo vhodno se přepojit na AP s lepším signálem , například při poklesu signálu aktivního připojení , nebo velkému vyskytu chyb při přenosu.
Obrázek ukazuje rozdíl mezi , roamingem na 2 a roamingem na 3 vrstve.

Pokud chceme mezi jednotlivými AP "předávat klienty" je třeba aby se tyto dva AP domluvily pomocí zprávy reassociation (obsahuje krome identifikace klineta,také MAC zdrojového AP). K tomu nám slouží IAPP Inter-Access Point Protocol, kde překlad by zněl asi takto : protokol pro vnitřní komunikaci mezi přípojnými body.

IAPP

Protokol IAPP normalizovaný v IEEE 802.11f z roku 2003. Nový přístupový (ten ke kterému se chceme připojit) bod musí informovat původní(u kterého jsme aktuálně připojeni) přístupový bod (na základě jeho MAC adresy najde jeho IP adresu – pomocí asociační tabulky nebo RADIUS serveru) o odchodu přihlášeného klienta. MAC adresu původního přístupového bodu nese v sobě zpráva reassociation (běžná zpráva association(přidružení) v sobě žádnou MAC adresu přístupového bodu nemá.Prostřednictvím bezpečného spojení (tunelu chráněného IPSec na základě distribuce klíče pomocí RADIUS) informuje nové AP to původní AP o reasociaci, aby si MAC adresu klienta vymazal ze své asociační tabulky. Nový přístupový bod také informuje mosty a přepínače připojené k lokálnímu segmentu, aby si aktualizovaly své tabulky a rámce pro stanici už posílaly na nový AP. Prostě promítne přepojení klienta do vyžších zůčastněných prvků.

Key-caching

Nyní si popíšeme , jednu z metod(výce jsem zatím nenalezl) předávání klientů mezi AP, tato metoda se jmenuje :Key-caching
Předávání uživatelů(tam a zpět) mezi přístupovými body může mít negativní dopad nejen na některé aplikace, ale i na autentizační server(jeho zátež a odezvu). Výše zmíněná metoda ukládání klíčů do cache snižuje zátěž serveru a současně urychluje přepojení klienta. Klient a přístupový bod si musí udržet bezpečnostní relaci při roamingu tak, aby při opětovném připojení k přístupovému bodu bylo možné relaci opět nastartovat.
Pomocí uložení klíčů do cache ukládáme informaci na síť, takže po odpojení a opětovném připojení k přístupovému bodu nezadáva sve kompletní údaje a jen se spojení obnoví. Používáme k tomu tzv bezpečnostní "bezpečnostní spojení" (original: Security Association) kdy při návratu k přístupovému bodu pošle klient v žádosti o připojení (association) jméno klíče, pokud přístupový bod odpoví pozitivně na žádost o připojení , pokračuje se standardní výměnou čtyř zpráv (tzv four way handshake = 4 cestné potřesení rukou) v rámci EAPOL (Extensible Authentication Protocol over LANs), kde první zpráva v této komunikaci obsahuje jméno bezpečnostní relace PMK. V rámci výměny zpráv se mj. ověří, zda klient a přístupový bod mají stejnou bezpečnostní relaci PMK.
Při použití této metody by jsme se měli dosta na hodnoty spoždění při přepojení 25ms (z původních 800ms), což je velice příjemné pro všechny druhy programu založeny např. na streamech (video konference , voice over net atd.)

Metoda "key caching" řeší problémy při přepojování mezi AP na nichž již byl klient připojen, to nám ovšem nevyřeší problém pokud např. prochazíme budovou z jedné strany na druhou, tak projdeme nekolika AP u kterých jsem ještě registrování nebyly a pokud ano , tak již nejsou tyto informace v cache uloženy. Tento problém řeší následně popsaná metoda ato :

Pre-authentication


Při prvním připojení klienta k síti probíhá úplná autentizace. Pokud si je uživatel vědom potřeby roamingu, může provést autentizaci předběžnou u přístupového bodu, který hodlá použít v nedalekém budoucnu. Autentizace předem je podobná 802.1x: autentizace probíhá prostřednictvím nového přístupového bodu (v roli autentizátora) a příslušné pakety putují přes stávající přístupový bod k novému. Viz následující obrázek.

Závěrem úspěšného provedení předběžné autentizace je ustavení bezpečnostní relace PMK mezi klientem a novým přístupovým bodem. Tím proces končí a už se neprovádí výměna čtyř zpráv (4 way handshaking). Při roamingu k novému přístupovému bodu pak klient provádí výše popsaný postup v rámci key-caching, který právě zahrnuje tuto 4 cestnou výměnu.

Požitím této metody klient snižuje dobu, po kterou je vlastně od sítě ,při předávání mezi přístupovými bodu odpojen. Předběžná autentizace ale také znamená zátěž pro autentizační server. A také díky tomu, že jsme stále na druhé vrstvě, nemůžeme zrealizovat predběžnou authorizaci přes různé IP sítě.

Na rychlém roamingu se ovšem pracuje také v rámci podvýboru pro WLAN, kde vzniká norma IEEE 802.11r (Fast Roaming Fast Handoff) pro rychlejší předávání uživatelů (reasociaci) mezi přístupovými body téže WLAN.

Závěr:

V praxi jsme vyzkoušeli pouze, za to úspěšně, roaming bez použití WEP. Konfigurace zabezpečení (SSID, VLAN, SECURITY), respekrive záložka "Security profile" umožňuje nastavení jednak pomocí WEP, 802.1x, WPA, WPAPSK, 802.11i, 802.11iPSK. Problém je, že se nám ani u jednoho AP nepodařilo aktivovat WEP klic. Stále nám to vypisovalo jako odpoved ERROR. Zkoušeli jsme stejný postup na AP značky Orinoco Proxim, kde nastavení ma podobný, ne-li stejný intreface, a fungovalo to bez problemu i s WEP klici. Dalším problémem byla vzdálenost AP. Kolejní podmínky nás limitovali možnou vzdáleností AP. Nedostali jsme AP na vzdálenost větší, jak 20m. Proto jsme testování roamingu prováděli tak, že jsme vždy jedno z AP restartovali. Během praktického ověřování jsme přenášeli data (kopírování filmů na FTP). Průměrná přenosová rychlost byla 400kbps a při absenci signálu klesla přenosová rychlost na 50kbps. Celá operace navázání spojení s druhým AP netrvala ani 1sec.

Poznámka: obě AP byly připojeny k jednomu switchy, který byl připojen k počítači s internetovým řipojením. IP adresy byly z jednoho segmentu.

Prezentace zpracovaných materiálů do předmetu Technologie počítačových sítí.
Autoři : Trávník Lukáš (tra044),Hanke Martin (han154). 2004/2005.