Jump to content
Калькуляторы

Роуминг в Wi-Fi-сетях

Материал: Довольно распространенной ситуацией в офисах крупных компаний с Wi-Fi сетью является отсутствие роуминга или его некорректная настройка. Это приводит к тому, что, несмотря на наличие равномерного радиопокрытия во всем здании, при перемещении абонента по нему обрываются SSH-сессии, прекращается загрузка файлов, не говоря уже о разрывах сеансов связи при использовании WatsApp, Skype и других подобных приложений. Полный текст

Share this post


Link to post
Share on other sites

Что-то слабовато. Куча опечаток.... Кроме самых известных не упомянуто никаких других альтернативных брендов и решений.

Share this post


Link to post
Share on other sites

А есть ли какой нибудь бонус в использовании этих контролеров если мы используем  wpa2-personal? медленого запроса к радиусу нет кешировать нечево.

Share this post


Link to post
Share on other sites

Бонус есть не от использования контроллеров, а  от использования FT (FT-PSK  к примеру). Время аутентификации на следующей AP сокращается в разы (хотя оно и так тут более чем в 10 раз меньше секунды даже по полной процедуре). Но это не самая большая проблема при миграции (скорее самая малая её часть). Контроллеры нынче эт скорее средство мониторинга, максимум какого-то банального управления. Ну и конечно прекрасный способ развода на бабки.

 

Точки прекрасно всю необходимую для обеспечения роуминга инфу гоняют между собой по IAPP.

 

Вот тут https://forum.nag.ru/index.php?/topic/108990-wive-ng-mt-rouming/ (в процессе реализации в Wive-NG) рассматривал все варианты. Все линки и прочее по тексту сохранены. Нюансы обсосаны и т.д. и т.п.

 

Статья на 3ть состоит из заблуждений. Например, что аутентификация с использованием радиуса == несколько секунд тормозов.. Это ж где радиус-то у аффтора? На луне?

Или как то, что для кэширования ключей как по OKC так и FT нужен контроллер (iapp - не не слышал).

 

Ещё две трети маркетинговой шелухи.

 

Ни слова не сказано, что основная проблема находиться в логике выбора кандидата на переключение которая лежит на совести клиента. Не сказано, что совсместимость с 802.11k/r у клиентов встречается весьма и весьма редко (яблоки, топовые самсунги и ещё 1,5 устройства по сути).

 

Видно, что аффтор пыжился, рожал, высасывал, но даже на сайте циски в базе знаний не порылся. Как и на местном форуме поиск заюзать не осилил, а ведь я  уже за него проделал всю работу. Осталось только проанализировать тему и родить статью. =)

 

Хоть бы вот сюда заглянул:

Исследование роуминга у яблофонов от CISCO http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-0/iPhone_roam/b_iPhone-roaming.html#concept_EA3AF8F14F244478804B2D36C25F44C4

Отличия в поведении разных устройств при миграции, автор тот же http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-0/device_classification_guide.html

 

Что касается обмена инфой для FT в типа революционных Wing 5 (и иже с ними) как раз и юзается по сути IAPP (802.11f) вместо того, чтобы таскать все события через "контроллер". И это правильно, и крайне странно, что как-то долго они к этому шли. При такой схеме нужда в контроллере вообще отпадает, и он становиться банальной мониторилкой+обновлялкой (у ынтырпрайзников нередко совмещён со средствами вытряхивания доп бабла из клиента на всевозможные лицензии=)))).

 

Из всего полезного в статье эт упоминание про MDIE и схемка.

 

Опять ни слова о RRM (ну почти). Все уткнулись в эту бедную аутентификацию буд-то вот он корень зла....

 

Короче кому интересно - go в тему по первому линку, там всё есть, от и до. =)

 

Аффтору 5 за умение пользоваться аморфной копипастой, 1 с минусом за полезность.

 

Не удержусь...

Цитата

Поправка 11k позволяет уменьшить время обнаружения точек доступа с лучшими уровнями сигналов. Это реализуется за счет того, что по беспроводной сети начинают "летать" пакеты с информацией о соседних точках доступа и их состоянии.

 

АФФФТООР. Не кури больше этой травы. Лётчик блин. Каждая точка ведёт свою базу AP List соседних, выполняя сканирование + наблюдение за маяками, и может отдать отфильтрованный и отсортированный список AP клиенту по запросу по радио (опять же если клиент умеет спрашивать). Больше нигде там ничего уже не летает на эту тему.

 

Цитата


Несмотря на то, что подавляющее большинство современных Wi-Fi устройств поддерживает 802.11r,
 

 

ЭЭЭЭЭЭЭЭ.... Нука афффтор. Давай-ка расскажи с линками на подавляющее большинство устройств умеющих FT/RRM. Всё строго наоборот.

Share this post


Link to post
Share on other sites

9 часов назад, Sergey_kha сказал:

А есть ли какой нибудь бонус в использовании этих контролеров если мы используем  wpa2-personal? медленого запроса к радиусу нет кешировать нечево.

В этом случае "бонусов" от контроллеров конкретно для шифрования нет, но в корпоративном сегменте обычно используют Radius-сервер с паролями, чтобы у каждого пользователя (группы пользователей) был личный пароль, который в случае какого-то инсайда можно было бы поменять. Считается (но я согласен что теория отличается от практики), что использовать обычный persanal в сети, где работает с десяток точек доступа - это мовитон =) 

 

 

19 часов назад, khoma сказал:

Что-то слабовато. Куча опечаток.... Кроме самых известных не упомянуто никаких других альтернативных брендов и решений.

Действительно, можно более глубоко развить эту тему.

Что касается альтернативных брендов, то перечисленные - Cisco, Motorola, Juniper и Aruba это наиболее распространенные решения. В качестве альтернативного решения можно было бы выделить еще точки доступа Mikrotik, но их инсталляция - это довольно сложный процесс для компаний с небольшой инфраструктурой, акцент на которые был сделан здесь.    

Share this post


Link to post
Share on other sites

2 часа назад, sfstudio сказал:

Бонус есть не от использования контроллеров, а  от использования FT (FT-PSK  к примеру). Время аутентификации на следующей AP сокращается в разы (хотя оно и так тут более чем в 10 раз меньше секунды даже по полной процедуре). Но это не самая большая проблема при миграции (скорее самая малая её часть). Контроллеры нынче эт скорее средство мониторинга, максимум какого-то банального управления. Ну и конечно прекрасный способ развода на бабки.

Сейчас интернет превращается в интеллектуальную систему с бесчисленным количеством устройств мониторинга. так что я полагаю, что появление контроллеров в Wi-Fi сетях обусловлено не только тем, чтобы вытащить побольше денег из заказчиков.

 

Цитата

АФФФТООР. Не кури больше этой травы. Лётчик блин. Каждая точка ведёт свою базу AP List соседних, выполняя сканирование + ...

Откуда точка доступа берет информацию для своих AP-листов если не из пакетов в пакетной радиосети?

 

Цитата

Вот тут https://forum.nag.ru/index.php?/topic/108990-wive-ng-mt-rouming/ (в процессе реализации в Wive-NG) рассматривал все варианты. Все линки и прочее по тексту сохранены. Нюансы обсосаны и т.д. и т.п.

Не спорю, что реализовать роуминг без контроллеров возможно, здесь же речь шла об удобных для интеграции решениях

 

Цитата

Из всего полезного в статье эт упоминание про MDIE и схемка.

И на том спасибо =)

Edited by Denisov.dv

Share this post


Link to post
Share on other sites

1) От контроллера вообще нет бонусов, ещё раз повторюсь (нормальные AP умеют обмениваться всем чем нужно используя 802.11f специально для этого придуманный). Нет никакого кэширования запросов к радиусу. От слова совсем. Разберитесь как работает FT.
2) Корпоративный сегмент он бывает сильно разный, и чаще всего гораздо выгоднее физически разделить сети оставив в беспроводном сегменте только доступ в интернет. И если уж очень сильно хочется ввернуть каптив портал с полной изоляцией по юзерам. Вариантов миллион. И от 802.1x на доступе часто отказываются, т.к. значительная доля клиентов имеет не то что проблемы с миграцией в WPA Enterprise сетях, но и вообще могут работать с ними не корректно. Проходили неоднократно.  А уж FT+WPA Enterprise может вообще чудеса всевозможные на этих клиентах выхывать. И те же рукусы при любых подземных стуках рекомендуют нафиг вырубить FT в такой схеме.
3) Если сеть скомпроментировали, то скорее всего уже не важно был там личный или общий пароль. =))) Из беспроводного сегмента не должно быть доступа к внутренним ресурсам с ценной информацией. Такова специфика построения действительно защищённых сетей с беспроводными сегментами. Обучловлено это какраз таки тем, что это беспровод, и не надо идти с кусачками что бы попробовать скомпроментировать сеть используя какую-то хитрую уязвимость в реализации уровня доступа. Радио есть радио. Особенно wifi.

4) Да и если утекла одна учётка сети, где гарантия, что тем же макаром не утекли все? Ну т.е. менять придётся так и сяк все учётные данные, причём несколько раз в силу того, что надо ещё понять как утекло.

5) FT даже при использовании PSK в разы ускоряет фазу аутентификации на новой AP, т.е. даже с WPA Personal выигрыш именно в этом моменте был и будет, не смотря на отсутствие радиуса. А соль в том, что клиент зацепившись на первую AP при миграцию на следующую в схеме с FT будет использовать режим реассоциации, как буд-то он уже когда-то был на ней и сессийонный ключ "был кэширован". Т.е. из 4х шагов аутентификации останется 2 самых коротких.

 

Я это всё уже разжовывать устал с примерами и ссылками.

 

2 часа назад, Denisov.dv сказал:

Сейчас интернет превращается в интеллектуальную систему с бесчисленным количеством устройств мониторинга. так что я полагаю, что появление контроллеров в Wi-Fi сетях обусловлено не только тем, чтобы вытащить побольше денег из заказчиков.

 

 

Ещё раз и на пальцах. Слово контроллер тут весьма чревато в силу трактовки. Возможность удалённо крутануть на одной и более АП какой-то параметр это уже контроллер или нет? А радиус сервер без которого не будет работать "контроль доступа" в 802.1x контроллер или нет? И т.д.

 

Мне всё равно во что превращается интернет. Но я вижу тенденцию, что "с появлением" на рынке "бесконтроллерных" решений использующих банальные стандартные вещи вместо изобретения собственных костылей, разом мотороллеры и прочие так же начали перетаскивать всё взаимодействие АП с контроллера на уровень ниже. Ибо оказались в неочень хорошем положении навязывая бессмысленную фигню за N килобаксов.

 

Т.е. те кто больше всего сам орал о нужности контроллера начали переобуваться и кричать о проблемах с отказоустойчивостью в системах с выделенным контроллером (см свои же картинки).

 

Правда у них муркетологи работают хорошо, и им даже тут удалось всё вывернуть наизнанку, придумать красивое название и начать впаривать как супер-пупер достижение.

 

Напомню, тут технари сидят. И эту шелуху надо фильтровать.

 

Ну и ещё раз. Сходите по ссылкам которые давал выше, включая рекурсивно из темы на которую ссылаюсь. Через недельку будем ждать от вас статью с  техническим описанием ОСНОВНЫХ проблем миграции в сетях wifi к которым ускорение авторизации имеет ооооооочень отдалённое отношение.

 

Потрудитесь пожалуйста хотя бы материялы циски прочитать на эту тему, раз мои изыскания ломает вычитывать из рабочей темы.

 

За последний год, я перевернул всё от патентов, до реальных реализаций как на АП так и на клиентах всего этого дела. Включая форумы конкурентов, свободные форумы. Пообщался с людьми работающими над wpa_supplicnat/hostapd (ессно перечитав все списки рассылки косвенно касающиеся вопроса). Изучил текущий актуальный код Android (AOSP) на предмет этого дела. И т.д. и т.п.

 

И подобные статьи кроме рвотного рефлекса у меня ничего не вызывают.

Share this post


Link to post
Share on other sites

Цитата

 


>Это реализуется за счет того, что по беспроводной сети начинают "летать" пакеты с информацией о соседних точках доступа и их состоянии.

...

>Откуда точка доступа берет информацию для своих AP-листов если не из пакетов в пакетной радиосети?
 

 

 

Вопрос что начинает летать? Маяки которые всегда есть и которые слушаем для составления MacTab для использования в RRM? Они и летали и будут летать независимо от. Или APScan невозможен без RRM? Или что этим сказать хотелось.

 

Именно, что происходит всё строго наоборот. Точка начинает слушать маяки соседей, не отбрасывать их, а выделять нужную информацию и запихивать в MacTab RRM. А вот когда клиент пошлёт RRM neighbour request то она ему ответит списком AP из того самого MacTab RRM. Так же могут проводиться фоновые или полные активные сканирование. Детальнее с примером запроса опять таки в теме форума по линку выше.

 

Цитата

Не спорю, что реализовать роуминг без контроллеров возможно, здесь же речь шла об удобных для интеграции решениях

 

Ну хватит ёлозить. Что значит удобное решение для интеграции? Две галки в роже/по ssh/tr-098/автоматом из мониторилки-управлялки это неудобно? Мы вообще можем под проект с завода предконфигурацию хоть миллиона устройств выполнить. Т.е. вся интеграция сведётся к втыканию хвостиков. Не ынтырпрайзно? =)))

 

Или когда отвал контроллера приводит к развалу сети это ынтырпрайзно и удобно?

 

И не можно, а нужно и именно так обмен данными был заложен изначально. Но т.к. в ынтырпрайзе принято переизобретать всё и вся ради возможности выдоить вот ещё чуть-чуть с клиента, то нарожали 100500 вариаций на одну и ту же тему.

Share this post


Link to post
Share on other sites

P.S. Да, вот действительно где нужен именно контроллер эт в так называемых "безроминговых сетях". Аля как у Meru и иже с ними. Но это вопрос совсем другой темы.

Share this post


Link to post
Share on other sites

И кстати да, кто будет контролировать контроллер ? И как ?

Share this post


Link to post
Share on other sites

7 часов назад, Denisov.dv сказал:

В этом случае "бонусов" от контроллеров конкретно для шифрования нет, но в корпоративном сегменте обычно используют Radius-сервер с паролями, чтобы у каждого пользователя (группы пользователей) был личный пароль, который в случае какого-то инсайда можно было бы поменять. Считается (но я согласен что теория отличается от практики), что использовать обычный persanal в сети, где работает с десяток точек доступа - это мовитон =) 

 

 

И что же в PSK плохого? У нас сеть из 600 точек в режиме PSK. Точнее клиент думает что сеть с обычным PSK, а только радиус знает что у каждого устройства ключ PSK свой, привязан к маку. 

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites

1 час назад, YuryD сказал:

И кстати да, кто будет контролировать контроллер ? И как ?

Ну как кто? Как обычно "обезьяна" которая не в состоянии интерпретировать данные, зато у неё есть должность и она значиться в штате как необходимая единица. =)))

Share this post


Link to post
Share on other sites

Собсно цикл статей по теме, без углубления, но со всеми нюансами. https://wi-cat.ru/category/wi-fi/wi-fi-roaming/ На текущий момент описана только L1 часть. Дальше пойдём выше и дойдём уже до конкретных рекомендаций, хотя парочка воркэранудов уже обозначена.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.