Рейтинг@Mail.ru

Быстрый роуминг Wi-Fi на основе открытого протокола 802.11R/802.11K

 

 

 

Рост популярности использования в корпоративных беспроводных сетях приложений реального времени, таких как передача голоса или видеоконференции, увеличило требование к качеству соединения, в первую очередь во время процесса переподключения между точками доступа.

 

Таким образом, двумя наиболее важными факторами для успешного построения современной беспроводной корпоративной локальной сети являются поддержка мобильности пользователей по всей территории покрытия сети и обеспечение высокого уровня безопасности для защиты конфиденциальных корпоративных данных. Тем не менее, достижение этих двух целей одновременно - задача не простая.

Необходимость балансировать между мобильностью и безопасностью стала головной болью технического отдела организаций, заставляя их в ущерб мобильности идти на неприятный компромисс по реализации трудоемких процессов, требуемых системой безопасности. Появление быстрого роуминга Wi-Fi на основе открытого протокола 802.11r/802.11k кардинально изменило ситуацию, позволив, наконец, избавиться от этой проблемы. Эта группа стандартов обеспечивает быстрый безопасный бесшовный роуминг при переходе мобильных клиентов от одной точки доступа до другой в пределах одной сети.

 

 

Wi-Fi-роуминг: на стыке производительности и безопасности

Одним из наиболее важных аспектов для успешной реализации корпоративной беспроводной сети является поддержка мобильности пользователей в пределах этой сети. Широкое распространение портативных и мобильных устройств позволяет офисным работникам избавиться от привязки к традиционным настольным компьютерам. Современным сотрудникам требуется доступ к различным приложениям и устройствам из разных мест по всему рабочему пространству офиса компании. Не менее важно для них и обеспечение непрерывности соединения во время движения. Для успешной реализации новых рабочих мест беспроводная сеть компании должна обладать высокой производительностью и бесшовным роумингом, чтобы в режиме реального времени поддерживать работоспособность чувствительных к задержкам и потерям передаваемых данных мультимедийных приложений (к примеру, передача голоса и/или видео). Не менее важна мобильность и для отраслевых решений в сфере производства и дистрибуции, таких как автоматизация складского учета, использование промышленных роботов и современного медицинского оборудования.

Организациям также требуется высокий уровень безопасности для защиты конфиденциальной информации и выполнение требований нормативов по информационной безопасности, прописанных в различных отраслевых стандартах, таких как HIPPA, PCI, Sarbanes-Oxley, FERPA и других, которые требуют следовать жестко установленному набору правил. Современные беспроводные сети обеспечивают надежную защиту путем требования аутентификации пользователей и использованию надежных методов шифрования.

Однако, балансирование между мобильностью и безопасностью для организаций долгое время сводилось к необходимости чем-то жертвовать. С одной стороны, высокая производительность для беспроводной сети может быть обеспечена при использовании относительно слабой системы безопасности при отключенном шифровании или при использовании режима WPA2-Personal, но это подвергает высокому риску важные корпоративные данные. С дугой стороны, гораздо более высокий уровень защиты обеспечивает режим WPA2-Enterprise, значительно снижающий уровень риска для корпоративных данных, но в результате его использования страдает мобильная производительность из-за длительного процесса аутентификации по стандарту контроля доступа 802.1X. Таким образом, использование более защищенной Wi-Fi-сети решает одну проблему (безопасность), но создает другую (производительность при роуминге).

 

Повышенная безопасность беспроводной сети на основе WPA2-Enterprise включает в себя аутентификацию 802.1X и использует динамический ключ шифрования. Обычно аутентификация 802.1X через протокол RADIUS занимает сотни миллисекунд, когда RADIUS сервер находится в локальной сети LAN (100-700 мс), или этот процесс длится намного дольше (> 1 с), если сервер расположен в ЦОДе на другом конце света. Это может привести к потере пакетов и деградации выполнения приложений реального времени. Как результат, высокая вероятность разрыва сеанса работы приложения, что потребует вмешательства пользователя для восстановления соединения. К примеру, типичная VoIP-сессия отправляет пакеты с интервалом 20 мс, а качество разговора заметно ухудшается, если задержка превышает 100 мс. Это может стать причиной ухудшения качества связи и проблем с работоспособностью приложений, что в итоге, приводит к неудовлетворительной поддержке бизнес-процессов реального времени.

 

Чтобы у руководства компании не возникало сомнений в использовании беспроводной сети для выполнения критически важных бизнес-процессов, необходимо реализовать одновременно высокоскоростной и безопасный БЕСШОВНЫЙ РОУМИНГ.

 

Было найдено следующее решение:

Начальная инициализация сетевого доступа все также требует полной аутентификации посредством процесса 802.1X, но для дальнейшего доступа требуется только проверка исходного события аутентификации.

 

Были разработаны стандарты, но долгое время не существовала единой сертификации таких решений. За это время многие вендоры вывели на рынок свои проприетарные решения быстрого и безопасного роуминга Wi-Fi, которые реализовывали переключения между точками доступа по-своему. Отсутствие координации между поставщиками Wi-Fi оборудования (а также производителями клиентских устройств) привело к появлению на рынке большого количества конкурирующих методов, которые плохо взаимодействовали с решениями от сторонних производителей, что, как следствие, вылилось во фрагментарную поддержку клиентскими устройствами этих методов.

 

Появление программы сертификации Voice-Enterprise от Wi-Fi Alliance в мае 2012 года принесло порядок в этот хаос, предоставив рынку единый основанный на открытых стандартах метод бесшовного роуминга, базирующийся на стандарте IEEE 802.11r. Данная сертификация скоординировала усилия производителей профессионального оборудования и клиентских устройств по единым правилам, гарантировав совместимость и предоставив преимущества использования бесшовного роуминга, сохранив при этом высокий уровень безопасности WPA2-Enterprise.

 

 

Механизм реализации Wi-Fi-роуминга

Роуминг - это процесс переключения мобильного клиентского устройства при перемещении от одной точки доступа к другой в пределах той же расширенной зоны обслуживания ESS (Extended Service Set) без потери сетевого соединения (рис. 1). Важно понимать, что клиентское устройство, а не инфраструктура беспроводной локальной сети контролирует решение о роуминге. В том числе переключение между 2-мя радио интерфейсами точки (2,4 и 5 ГГц).

Тем не менее, WLAN-инфраструктура может повлиять на это решение клиента различными способами:


Рис.1 Wi-Fi-роуминг

 

В соответствии со стандартом 802.11 подключение к новой точке доступа прерывает связь с предыдущей, явно или неявно, так как для клиентского устройства допускается соединение только с одной точкой доступа в любой момент времени. Поэтому при переподключении клиент должен прервать свой канал для приема и передачи данных до установления нового.

 

Контроллер беспроводной сети должен обеспечивать роуминг как на канальном уровне (layer 2), так и на сетевом уровне (layer 3). Не смотря на неизбежность перестроения таблицы коммутации во время хэндвера, мобильное устройство должно сохранить за собой основные сетевые параметры: IP-адрес, шлюз по умолчанию, DNS.

 

Алгоритмы роуминга, как правило, оптимизированы на минимизацию времени, требуемого для передачи данных между клиентом и точкой доступа, чтобы избежать сетевых сбоев в работе клиентских приложений. Это может быть достигнуто за счет быстрого роуминга или кэшированного сеанса, который ускоряет выполнение шагов процесса аутентификации.

 

Быстрый роуминг возможен только после того, как было выполнено начальное подключение, чтобы удостовериться, что клиент прошел все необходимые проверки подлинности и авторизацию, требуемые политикой безопасности сети.

 

 

Сертификация Voice-Enterprise

Устройства, имеющие сертификацию Voice-Enterprise от Wi-Fi Alliance, обеспечивают быстрый роуминг, позволяя совместимым клиентам в рамках развернутой беспроводной локальной сети переподключаться от одной точки доступа к другой менее чем за 50 мс. Сертификация требует от инфраструктурных и клиентских устройств поддержку следующего функционала:

 

Точки доступа и клиентские устройства должны поддерживать протокол Wi-Fi Multimedia, основанный на стандарте IEEE 802.11e, используемый для обеспечения основных функций Quality of Service (QoS). Этот механизм позволяет устройствам распознавать и учитывать приоритеты передачи пакетов с разными данными. Всего определено четыре типа категории доступа. Наивысший приоритет у голосового трафика (Voice over IP), затем — видео, потом — негарантированная доставка (Best Effort, этот сервис предоставляет слабую поддержку QoS и пригоден только для услуг, которые не имеют очень жестких требований к QoS, как, например, обычный Интернет-трафик) и, наконец, низкоприоритетный трафик, который не имеет требований к задержке и производительности при передаче.

 

Оптимизация управления трафиком на основе WMM-Admission Control позволяет сбалансировать нагрузку в Wi-Fi-сети. В частности, на основе загруженности и канальных характеристик направляя поток трафика на те точки доступа, которые смогут наиболее полноценно обслужить клиента.

 

Стандарт IEEE 802.11r Fast BSS Transition (быстрого BSS-перехода или быстрого роуминга) обеспечивает быстрое переподключение между точками доступа даже при использовании современных методов безопасности, таких как WPA2-Enterprise. Позволяет решить проблему использования технологии VoIP, в том числе и организации IP-телефонии на базе Wi-Fi-сети.

 

Действительно быстрая работа 802.11r требует реализации определенной функциональности из стандартов IEEE улучшения измерения радио ресурсов 802.11k и управления беспроводными сетями 802.11v. Эти стандарты помогают оптимизировать работу приложений в Wi-Fi-сети за счет эффективного управления ресурсами радиосети.

 

Режим безопасности WPA2-Enterprise для Wi-Fi-сетей должен поддерживаться как точками доступа, так и клиентскими устройствами.

 

Точки доступа должны поддерживать механизм WMM-Power Save. Поддержка со стороны клиентских устройств не является обязательной.

 

Таким образом, сертификация Voice-Enterprise от Wi-Fi Alliance обеспечивает совместимость с тремя отдельными стандартами:

  1. Fast BSS Transition (IEEE 802.11r);
  2. Radio Resource Measurement (IEEE 802.11k);
  3. Wireless Network Management (IEEE 802.11v).

 

Тестирование оборудования для соответствия сертификату Voice-Enterprise проводится по ряду сценариев, эмитирующих загруженную сеть предприятия, которые включают моделирование голосовых звонков, высокоскоростного видео потока и остального характерного трафика. Тест считается пройденным, когда выполняется быстрый роуминг между точками доступа и результаты соответствуют следующим критериям:

 

 

IEEE 802.11r Fast BSS Transition (Быстрый роуминг)

Ассоциацией IEEE был разработан стандарт 802.11r, в 2008 году. Мобильный домен (BSS) включает несколько точек доступа в пределах автономной системы (ESS). Точки доступа в в пределах BSS должны координировать свою работу друг с другом, обмениваться информацией о беспроводных клиентах, включая мастер-ключ PMK (Pairwise Master Key). Для ускорения процесса переключения применяется, предварительная аутентификация клиента до непосредственного начала процесса переподключения. Предварительная аутентификация происходит посредством связи клиентского устройства с требуемой точкой доступа, через распределительную систему DS (Distribution System), с помощью пересылки фреймов через промежуточную точку доступа, которая ретранслирует коммуникационный обмен через DS. Распределительная система DS является транзитной сетью, Ethernet или беспроводной сетью Mesh.

Способ, которым точки доступа координируют работу между собой, не является точно определенным, но на практике он сводится к применению контроллера, управляющего авторизацией и контролирующего перемещение мобильных клиентов.

 

Быстрый роуминг беспроводным путем осуществляется следующим образом (см. рис. 2-5):

1. Клиент устанавливает первоначальное подключение к беспроводной сети путем соединения с первой точкой доступа.

2. Контроллер выполняет полную аутентификацию 802.1X-клиента через сервер RADIUS (режим WPA2-Enterprise), или обеспечивает для клиентского устройства и точки доступа предварительную конфигурацию в режиме PSK (режим WPA2-Personal). Результатом обоих методов является формирование мастер-ключа сессии MSK (Master Session Key), с которого получается парный мастер-ключ PMK (Pairwise Master Key). PMK получается из первичного аутентификатора, который называется ключом PMK-R0 и используется для вычисления уникальных ключей PMK-R1 для всех точек доступа, формирующих мобильный домен. Ключи PMK-R0 и PMK-R1 уникальны для каждой аутентификации клиента в беспроводной локальной сети.


Рис.2. Быстрый роуминг на основе открытого протокола 802.11r,
установка первичного соединения в беспроводной сети на базе контроллеров

 

3. Контроллер использует ключ PMK-R0, чтобы вычислить уникальный ключ PMK-R1 для каждой точки доступа в пределах мобильной зоны сети (в том числе и для себя, если контроллер является точкой доступа). Затем контроллер распределяет ключи PMK-R1 по остальным точкам доступа (их называют держатели ключа R1 или R1KH) используя защищённый канал (метод шифрования не определяется поправкой IEEE 11r). К примеру, контроллеры Cisco распределяют эти ключи посредством протокола контроля и обеспечения беспроводных точек доступа стандарта CAPWAP через подключенные точки доступа.

Быстрый роуминг стандарта IEEE 802.11r поддерживает как WPA2-Enterprise (802.1X), так и WPA2-Personal (PSK) режимы безопасности.

Рис.3. Быстрый роуминг на основе открытого протокола 802.11r,
установка первичного соединения в беспроводной сети, построенной без контроллеров

 

 

Рис.4. Иерархия ключей для быстрого роуминга на основе открытого протокола 802.11r

 

4. Точка доступа и клиентское устройство выполняют 4-этапное «рукопожатие» (4-Way Handshake) для получения парного временного ключа PTK (Pairwise Transient Key), который будет использоваться для шифрования данных. Ключи PMK-R1, а также изменяемый MAC-адрес, произвольно выбранное число Nonce (случайные числа используются только раз) и проверка целостности сообщений MIC (message integrity checks) позволяют двум станциям получить криптографически безопасным способом извлечь ключ PTK. В этот момент клиент получает разрешение на доступ к сети, и может отправлять и принимать данные.

 

5. При роуминге последующих точек доступа в пределах мобильного домена клиент предоставляет действующие идентификаторы R1KH-ID и PMKID новой точке доступа в рамках аутентификации по стандарту 802.11 и через запросы реассоциации, указывающие на идентичность первичного аутентификатора. Если они будут приняты новой точкой доступа, это позволит клиенту обойти процесс аутентификации по стандарту 802.1X и выполнение 4-этапного «рукопожатия». Быстрый роуминг на основе открытого протокола 802.11r существенно быстрее повторного подключения в режиме PSK, так как 4-этапное «рукопожатие» устраняется за счет материала парного временного ключа PTK (ANonce, SNonce и MIC) и группового временного ключа GTK, переносимых информационным элементом Fast Transition Information Element (FTIE) внутри аутентификации и фреймов реассоциации. Четыре фрейма (ANonce, SNonce, MIC, GTK) — это все, что требуется, чтобы восстановить путь передачи данных между клиентом и сетью для существующих и новых сеансов приложений.

 

6. Передача данных приложения возобновляется, используя централизованную либо распределенную переадресацию, в зависимости от архитектуры беспроводной локальной сети и ее конфигурации.


Рис.5. Быстрый роуминг на основе открытого протокола 802.11r
и возобновление передачи данных приложения

 

  Критически важные информационные элементы для быстрого роуминга на основе открытого протокола 802.11r следующие:

 

Информационный элемент MDIE определяет набор сетей BSS, в пределах одной сети ESS, которые поддерживают быстрый роуминг (fast BSS transition) между группой участников сети, определенных единым идентификатором MDID (mobility domain identifier). По сути MDIE определяет группу точек доступа, работающих в той же беспроводной локальной сети, которая поддерживает быстрый роуминг путем координации распределения материала для получения ключей между этими точками доступа. Информационный элемент MDIE включен во фреймы Beacons, Probe Responses, Authentication, Association Request/Response и Reassociation Request/Response.

 

Информационный элемент MDIE включает в себя идентификатор MDID, который однозначно идентифицирует зону мобильности. Это позволяет клиентским станциям определять, доступен ли быстрый безопасный роуминг между текущей точкой доступа, с которой клиент ассоциирован (подключен), и другой точкой доступа, кандидатом на подключение, без необходимости полагаться только на идентификатор сети SSID. Если MDID идентичен, то обе точки доступа принадлежат к той же беспроводной сети и могут скоординировать быстрый роуминг для клиента. Соответственно, если MDID отличается, то точки доступа принадлежат разным WLAN и не могут обеспечить быстрый роуминг; это может случиться при работе с хот-спотами, например. Идентификатор MDID также включает в себя информацию о возможности быстрого роуминга. Протокол FT Resource Request Protocol позволяет станциям произвести запрос про выделение точкой доступа необходимых ресурсов до процесса реассоциации. Ресурсы, которые могут быть запрошены, включают в себя обеспечение Quality of Service (QoS), Block acknowledgement (BlockAck или BA) или специфические ресурсы от конкретного поставщика.

 

Информационный элемент Fast Transition Information Element (FTIE) включает в себя информацию, необходимую для последовательного выполнения аутентификации во время осуществления быстрого роуминга. Она состоит из материала ключа PTK (ANonce, SNonce, MIC) и группового временного ключа GTK, получение которых ранее обязательно при осуществлении не-быстрого роуминга через обмен фреймами при 4-этапном «рукопожатии». FTIE включен во фреймы Authentication и Reassociation Request/Response.

 

Информационный элемент Robust Security Network (RSN) Information Element (RSN IE) определяет механизмы аутентификации и управления ключами AKM (authentication and key management) и набор средств для шифрования данных при работе в BSS. Типы аутентификации включают 802.1X и PSK; типы шифрования включают AES-CCMP и TKIP. Допускается несколько AKM или наборов шифрования. Например, на период переподключения организации могут настроить беспроводную сеть для одновременной поддержки как TKIP, так и AES-CCMP.

Информационный элемент RSN IE был расширен для быстрого роуминга на основе открытого протокола 802.11r путем включения двух новых AKM-наборов:

  1. Fast Transition authentication and key management используя IEEE 802.1X;
  2. Fast Transition authentication and key management используя Pre-Shared Key (PSK).

 

Несколько AKM-наборов могут поддерживаться одновременно, что позволяет клиентским устройствам с и без поддержки возможностей быстрого роуминга подключаться к той же BSS. Это обеспечивает обратную совместимость и позволяет сосуществование нескольких типов клиентов с различными возможностями в одной и той же сети. Клиенты также указывают на свое желание использовать кэширование PMK путем встраивания идентификатора PMKID внутри RSN IE, что позволяет им не проходить заново процесс аутентификации при повторном подключении.

 

Клиентские устройства, которые не поддерживают стандарт IEEE 802.11r, в большинстве своем могут подключиться к точке доступа, предоставляющей быстрый роуминг. Однако, следует учесть и то обстоятельство, что некоторые клиентские драйверы не способны разобрать RSN IE, когда он включает в себя дополнительные АКМ-наборы для быстрого роуминга, поэтому подключиться к такой сети они не смогут. Во всяком случае, до появления обновления драйверов от производителя клиентского устройства, которое обеспечит поддержку расширенных AKM-наборов.

 

Поэтому настоятельно рекомендуется перед использованием протестировать все клиентские устройства, даже те, которые не поддерживают быстрый роуминг на основе открытого протокола 802.11r, на возможность подключения к разворачиваемой беспроводной сети с поддержкой быстрого роуминга. Если такие несовместимые клиенты будут обнаружены, то следует произвести обновление их драйверов, либо предусмотреть разделение по разным SSID таких клиентов и тех, которые поддерживают быстрый роуминг.

 

 

IEEE 802.11k Radio Resource Measurement (улучшения измерения радио ресурсов)

Стандарт IEEE 802.11k по улучшению измерения радио ресурсов определяет методы для информационного обмена о радиочастотном окружении между точками доступа и клиентскими станциями. Его основная цель заключается в том, чтобы позволить клиентским устройствам понять радиочастотную ситуацию в области их функционирования, чтобы получить больше информации для принятия правильного решения о роуминге и производительности. Станции могут производить измерения радио ресурсов самостоятельно, отправлять запрос точкам доступа, а также запрашивать результаты измерений у других мобильных клиентов или, получив такой запрос от другой станции, возвращать результаты.

 

Поправка IEEE 802.11k была утверждена в 2008 году.

В стандарте IEEE 802.11 определяются следующие типы фреймов управления для проведения измерений:

Получаемые клиентским устройством в Neighbor Report измерения помогают в осуществлении процесса быстрого роуминга, предоставляя клиенту механизм, способный запросить точку доступа провести измерения и прислать отчеты про ближайшие доступные точки доступа, принадлежащие этой же мобильной зоне. Это ускоряет процесс сканирования клиентским устройством окружающего пространства в поисках информации о ближайших точках доступа, к которым можно переподключиться. Информация в ответе фрейма Neighbor Report включает в себя несколько видов различных оперативных данных о каждом из соседей, таких как:

 

 

Балансировка нагрузки в беспроводной сети

Обрабатывая данные о измерениях пропускной способности канала, состоянии радиоэфира и количестве пользователей, подключённых к ближайшим точкам доступа мобильное устройство принимает решение о подключении к точке с лучшими показателями скорости.

Таким образом исключается пиковые перегрузки, когда на одной точке доступа много пользователей, а соседние точки “отдыхают”.

Равномерное распределение нагрузки на основе протокола 802.11K существенно повышает производительность беспроводной сети. При увеличении количества абонентов, клиентские устройства быстро (50 мс) переключаются на соседние точки по протоколу 802.11R.

Протокол 802.11K также снижает воздействие DDoS атак на беспроводную сеть. При снижении производительности одной точки, клиенты мгновенно переходят на соседние точки доступа. Злоумышленник не может вывести из строя всю мобильную сеть одновременно.

 

 

 

 

Смотрите также:

Типовые решения Wi-Fi для разных отраслей

Большой офис, бизнес-центр, корпоративная сеть.

Wi-Fi сеть - полноценная альтернатива / замена проводной сети (беспроводной доступ для сотрудников)
Гостевой беспроводной доступ в интернет для гостей
Стабильное функционирование голосовых (VoIP) и видео сервисов (поддержка QoS и реализация бесшовного роуминга)
Интеграция корпоративных политик безопасности

Беспроводная корпоративная сеть должна отвечать двум основным критериям: безопасность и стабильная работы. Профессиональное Wi-Fi оборудование должным образом обеспечивает работоспособность надёжной и производительной Wi-Fi сети, а максимального уровня защищённости сети позволит добиться параллельно развёрнутая система безопасности Fluke AirMagnet Enterprise.

Узнать больше

Cеть видеонаблюдения

Расширение покрытия Wi-Fi сети организации вне пределов зданий для организации видеонаблюдения по периметру территории.

Для оперативного развертывания системы видеонаблюдения на уличной территории выгоднее, как экономически, так и с точки зрения сроков реализации проекта, использовать беспроводное покрытие для обеспечение связи между камерами и сервером видеонаблюдения.

Узнать больше

Банки, госструктуры.

Максимальный уровень защиты WI-Fi сети организации
Надёжная и производительная Wi-Fi сеть - полноценная альтернатива / замена проводной сети (беспроводной доступ для сотрудников)
Гостевой беспроводной доступ в интернет для гостей

До недавнего времени, развертывание полноценной Wi-Fi сети на объектах, требующих высокого уровня безопасности, было под запретом, так как считалось, что беспроводная среда будет слабым местом системы безопасности. Сейчас же, благодаря развитию технологий, можно построить надёжную и производительную Wi-Fi сеть, которая не будет уступать по степени защищённости сетевой кабельной инфраструктуре. Это возможно при использовании профессионального Wi-Fi оборудования совместно с системой безопасности Fluke AirMagnet Enterprise.

Узнать больше

Беспроводной мост

Объединение в одну сеть удалённых объектов с помощью беспроводного канала связи.

Часто возникают задачи по объединению нескольких корпусов компаний в единую сеть, подключению удалённых посёлков и объектов к общей сети провайдера или, например, выносе камеры видеонаблюдения на отдалённый пункт охраны. В этом может помочь оборудование для построения беспроводных мостов.

Узнать больше

Больницы, поликлиники.

Предоставление Wi-Fi доступа в интернет для клиентов
Обеспечение устойчивого соединения с персональными Wi-Fi устройствами сотрудников больницы
Мониторинг местоположения персонала / аппаратуры

К беспроводным сетям больниц и клиник предъявляются самые высокие требования. Такие параметры как надёжность, качество покрытия и отказоустойчивость выходят на первый план. На базе основной сети можно так же реализовать сервисы гостевого доступа и отслеживания местоположения сотрудников.

Узнать больше