9800 WLC의 802.11r/11k/11v 고속 로밍 이해

소개

이 문서에서는 무선 클라이언트에서 빠른 로밍 방법을 활성화/비활성화할 때의 다양한 결과에 대해 설명합니다.

사전 요구 사항 

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• IEEE 802.11 WLAN 기본 사항 
• IEEE 802.11 WLAN 보안. 
• IEEE 802.1X/EAP 기본 사항 
• IEEE 802.11r BSS 빠른 전환.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Wireless 9800-L Controller IOS® XE 17.9.4
• Cisco Catalyst 9130AXI Series Access Point. 

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

이 문서는 9800 무선 컨트롤러에서 802.11r, 802.11v 및 802.11k 프로토콜을 활성화할 때의 차이점을 이해하는 데 도움이 됩니다. 또한 클라이언트를 비활성화할 때 클라이언트에 미치는 영향에 대해서도 설명합니다.

802.11r, 802.11v 및 802.11k는 802.11 무선 네트워크 프로토콜 제품군 내에서 모두 다른 표준 또는 개정판입니다.

802.11r: 기본 서비스 세트 간의 빠른 전환(Fast Transition)으로, 클라이언트가 대상 액세스 포인트로 로밍하기 전에 새 AP와의 초기 핸드셰이크가 수행되는 새로운 개념을 도입합니다. VoIP(voice-over-IP) 또는 비디오 또는 지속적인 스트림 모니터를 사용하는 실시간 스트림 애플리케이션과 같이 끊김 없는 연결이 중요한 환경에서는 특히 유용합니다. 튜닝된 802.11r 네트워크를 통해 디바이스는 네트워크 연결을 중단하거나 중단하지 않고 액세스 포인트 간에 로밍할 수 있습니다.

802.11k: Neighbor List and Assisted Roam(Radio Resource Measurement)은 무선 리소스 관리의 기능을 활용하여 무선 네트워크의 전반적인 성능과 안정성을 향상시킵니다. 액세스 포인트가 무선 환경에 대한 정보를 수집하고 공유하는 사용 가능한 무선 리소스를 최적화합니다. 이 정보에는 채널 사용량, 신호 세기, 간섭 레벨 등이 포함됩니다. 그런 다음 클라이언트 디바이스에서 연결할 AP에 대해 더 정확한 정보를 바탕으로 결정을 내릴 수 있습니다. 그러면 로드 밸런스가 개선되고, 간섭이 줄어들고, 네트워크 효율성이 향상됩니다.

802.11v: 네트워크 지원 절전 기능으로 고객이 배터리 수명을 향상시켜 절전 시간을 늘릴 수 있습니다. 또한 무선 네트워크의 효율성과 관리를 향상시키는 방법에도 초점을 맞추고 있습니다. 이를 통해 클라이언트가 로밍할 때 네트워크 인프라와 클라이언트 장치 간의 제어 및 조율이 향상됩니다. 기본 기능은 네이버 보고서, 서비스 세트 전환, 로드 밸런싱, 네트워크 지원 전력 절약입니다. 이러한 기능은 클라이언트 네트워크 검색, 선택 및 모니터링을 개선합니다. 또한 액세스 포인트가 디바이스에서 로밍 결정을 기다리는 대신 클라이언트 디바이스에서 로밍하도록 장려할 수 있습니다.

802.11r은 AP 간의 원활한 전환에 중점을 두지만, 802.11v는 네트워크 관리 기능 향상을 목표로 합니다. 802.11k는 무선 리소스 활용을 최적화하여 성능과 안정성을 향상하도록 설계되었습니다.

이 문서의 일부 내용은 Cisco Catalyst 9800 Series Wireless Controllers Chapter 6, 802.11 Roam 섹션에 대한 책 이해 및 트러블슈팅에 있습니다. 

더 높은 수준의 보안 로밍

기본 802.11 개방형 시스템 인증 위에 SSID를 L2 고급 보안으로 구성할 경우, 초기 연결 및 클라이언트가 로밍할 때 더 많은 프레임이 필요합니다. 802.11 WLAN에 대해 표준화되고 구현되는 가장 일반적인 두 가지 보안 방법은 다음과 같습니다.

• WPA/WPA2/WPA3 개인: PSK는 클라이언트를 인증하는 데 사용됩니다. 
• WPA/WPA2/WPA3 Enterprise: EAP(Extensible Authentication Protocol) 방법 및 802.1x는 무선 클라이언트를 인증하는 데 사용됩니다. 이 방법은 AAA 서버를 통해 사용자 자격 증명(사용자 이름 및 비밀번호), 인증서 또는 토큰을 검증하는 것입니다.

이 문서에서는 WPA2 Enterprise WLAN을 EAP-PEAP와 함께 사용하여 IEEE 프로토콜(802.11r, 802.11k 및 802.11v) 사용의 차이점과 무선 로밍 시도에 미치는 영향을 확인할 수 있습니다. 

고속 로밍 프로토콜이 활성화된 SSID(802.11r, 802.11k 및 802.11v)

기본 WLAN 컨피그레이션에는 기본적으로 모든 프로토콜이 활성화되어 있습니다. 이 실습에서는 무선 클라이언트가 9130개의 액세스 포인트 간에 로밍을 시도합니다. WLAN의 기본 컨피그레이션이 있으므로, 즉 802.11v 및 802.11k에 추가하여 빠른 roam이 활성화되므로 원활한 roam이 예상됩니다. 다음은 로밍용 OTA 무선 캡처의 예입니다.

다음은 이 로밍 이벤트에 대한 RA 추적입니다.

2023/09/19 21:54:25.912523930 {wncd_x_R0-0}{1}: [client-orch-sm] [15403]: (note): MAC: 62be.a38b.07c5 Re-Association received. BSSID 1416.9d7f.a22e, WLAN Roaming-Enabled, Slot 1 AP 1416.9d7f.a220, Rosalia-9130-1, old BSSID f01d.2d49.dacf
!--- Reassociation Request is received from the client. 

2023/09/19 21:54:25.912882280 {wncd_x_R0-0}{1}: [dot11-validate] [15403]: (info): MAC: 62be.a38b.07c5 Dot11 validate dot11r pmkid. 11r PMKID match found
!--- Since 802.11r is enabled, WLC/AP were able to validate/use the PMKID 

802.11r이 활성화되면 클라이언트가 대상 액세스 포인트로 로밍하기 전에도 새 AP와의 초기 핸드셰이크가 수행됩니다. 이 개념을 Fast Transition이라고 합니다. 초기 핸드셰이크는 클라이언트와 액세스 포인트가 PTK(Pairwise Transient Key) 계산을 미리 수행할 수 있도록 합니다. 이러한 PTK 키는 클라이언트가 재연결 요청에 응답하거나 새 대상 AP와의 교환에 응답한 후 클라이언트 및 액세스 포인트에 적용됩니다.

2023/09/19 21:54:25.913247615 {wncd_x_R0-0}{1}: [dot11] [15403]: (note): MAC: 62be.a38b.07c5 Association success. AID 2, Roaming = True, WGB = False, 11r = True, 11w = False Fast roam = True
!--- Reassociation Response is sent to the client. 

2023/09/19 21:53:59.692212232 {wncd_x_R0-0}{1}: [client-orch-state] [15403]: (note): MAC: 62be.a38b.07c5 Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
!--- Client took an IP address and moved to run state. 

고속 로밍 프로토콜이 비활성화된 SSID(802.11r, 802.11k 및 802.11v)

이 시나리오에서는 802.1x SSID에서 모든 프로토콜이 비활성화됩니다. 이 경우 무선 클라이언트가 액세스 포인트 간에 로밍할 때마다 클라이언트에서 전체 인증을 경험합니다. 다음 그림에서는 클라이언트가 EAP 교환을 건너뛸 수 없음을 확인할 수 있는 무선 교환의 예를 보여줍니다. 따라서 빠른 로밍 방법을 사용할 수 없기 때문에 전체 재인증이 이루어졌습니다. 

Over-The-Air 프로토콜 비활성화

다음은 이 로밍 이벤트에 대한 컨트롤러 RA 추적의 요약입니다.

2023/09/19 21:44:47.425575500 {wncd_x_R0-0}{1}: [client-orch-sm] [15403]: (note): MAC: a2ca.9de1.87c9 Re-Association received. BSSID 1416.9d7f.a22f, WLAN Roaming-Disabled, Slot 1 AP 1416.9d7f.a220, Rosalia-9130-1, old BSSID f01d.2d49.dace
!--- Reasscoiation Request is received from the client. 

2023/09/19 21:44:47.425980179 {wncd_x_R0-0}{1}: [dot11-validate] [15403]: (ERR): MAC: a2ca.9de1.87c9 Failed to Dot11 validate dot11i pmkids. No matching pmkid for the pmk available in cache.
!--- Since none of the roam methods are enabled, WLC/AP could not find any PMKID available. 

2023/09/19 21:44:47.426252733 {wncd_x_R0-0}{1}: [dot11] [15403]: (note): MAC: a2ca.9de1.87c9 Association success. AID 1, Roaming = True, WGB = False, 11r = False, 11w = False Fast roam = False
!--- Reasscoiation Response is sent to the client. 

2023/09/19 21:44:47.444466744 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 5, EAP-Type = Identity
2023/09/19 21:44:47.444469338 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - REQUEST, ID : 0x1

2023/09/19 21:44:47.444481064 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAPOL packet sent to client
2023/09/19 21:44:47.471913767 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 13, EAP-Type = Identity
2023/09/19 21:44:47.471916029 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - RESPONSE, ID : 0x1

2023/09/19 21:44:47.475646582 {wncd_x_R0-0}{1}: [radius] [15403]: (info): RADIUS: Received from id 1812/103 10.201.234.195:0, Access-Challenge, len 129

2023/09/19 21:44:47.627108647 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 39, EAP-Type = PEAP

2023/09/19 21:44:47.627110791 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - REQUEST, ID : 0x5c

2023/09/19 21:44:47.631319121 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] EAP Packet - RESPONSE, ID : 0x5c

2023/09/19 21:44:47.657492378 {wncd_x_R0-0}{1}: [radius] [15403]: (info): RADIUS: Received from id 1812/183 10.201.234.195:0, Access-Accept, len 297

2023/09/19 21:44:47.657840708 {wncd_x_R0-0}{1}: [dot1x] [15403]: (info): [a2ca.9de1.87c9:capwap_90000002] Received an EAP Success
!--- Full Reauthentication EAP exchange packets.

2023/09/19 21:44:47.658787303 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 EAP key M1 Sent successfully

2023/09/19 21:44:47.662831295 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 M2 Status: EAP key M2 validation success

2023/09/19 21:44:47.662931971 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 EAP key M3 Sent successfully

2023/09/19 21:44:47.665864464 {wncd_x_R0-0}{1}: [client-keymgmt] [15403]: (info): MAC: a2ca.9de1.87c9 M4 Status: EAP key M4 validation is successful
!--- 4-way handshake in order to compute the PTK/GTK keys. 

802.11k가 활성화된 SSID

802.11k 표준에서는 클라이언트가 서비스 집합 내에서 로밍할 수 있는 좋은 후보인 AP에 대한 정보가 포함된 네이버 보고서를 요청할 수 있습니다. 이를 통해 클라이언트가 다른 액세스 포인트로 이동하기 전에 패시브 또는 액티브 RF 스캔을 피할 수 있습니다. C9800은 최적화된 네이버 목록을 생성하여 802.11k 클라이언트에 전달하는 11k 지원 roami라는 기능을 지원합니다. 802.11k 인접 디바이스 목록은 온디맨드 방식으로 생성되며, WLC가 둘러싸인 AP와의 개별 클라이언트 RF 관계를 고려하므로 서로 다른 AP에 있는 두 클라이언트에 대해 서로 다를 수 있습니다.

82.11k 프로토콜을 지원하지 않는 클라이언트는 네이버 목록 요청을 보내지 않습니다. 이를 통해 해당 클라이언트에 도움이 되는 예측 최적화가 가능합니다. 그 결과, 네이버 리스트가 C9800의 이동국 소프트웨어 데이터 구조에 저장된다.

클라이언트인접 디바이스 목록에 대한 요청은 인접 디바이스가 신호에서 RM 기능 IE(정보 요소)를 광고하는 액세스 포인트와 연결된 후에만 보냅니다. 다음 그림은 클라이언트가 액세스 포인트에 연결된 후의 802.11k 작업 프레임의 예입니다. 

Ota(Over-The-Air) 네이버 보고서

802.11v가 활성화된 SSID

802.11v 표준에서 무선 네트워크 관리의 두 가지 주요 개선 사항은 다음과 같습니다.

802.11v BSS 전환 관리 프레임은 세 가지 시나리오에서 교환됩니다. 

1. 요청된 요청: 새 액세스 포인트로 전환하기 전에 클라이언트는 802.11v BSS 전환 관리 쿼리를 전송하여 재연결할 액세스 포인트의 더 나은 옵션을 확인하고 클라이언트가 연결된 현재 AP는 로밍 대상 액세스 포인트 목록을 제공하는 BSS 전환 관리 요청에 응답합니다.

2. 요청되지 않은 로드 밸런싱 요청: AP가 동일 컨트롤러의 액세스 포인트 간에 클라이언트를 로드 밸런싱하여 AP 과부하를 방지할 수 있도록 하는 기능입니다. 클라이언트 수가 AP에 대해 구성된 부하 분산 임계값을 초과하면 AP와의 연결을 시도하는 모든 새 클라이언트가 상태 17(AP 사용 중)의 연결 응답과 함께 거부됩니다. 일반적으로 거부 클라이언트는 연결 거부를 받은 후에도 동일한 로드된 AP에 연결을 시도합니다. 즉, RSSI 관점에서 해당 AP가 최상의 옵션인 경우입니다. 예를 들어, 한 AP가 서비스하는 회의실에서 40명의 사용자를 고려하십시오. 802.11v BSS Transition Management 쿼리를 사용하면 로드 밸런스 오류를 보다 원활하게 처리할 수 있습니다. 이때 AP는 로밍할 후보 AP 목록을 보냅니다. 

3. 요청되지 않은 최적화된 로밍 요청: 무선 클라이언트가 RF를 스캔하고 가장 높은 신호를 사용하여 AP로 로밍. 그러나 일부 클라이언트는 인접 AP가 더 강력한 신호를 제공하는 경우에도 연결된 AP와 함께 유지되는 스티커 동작을 표시했습니다. 이를 스티커 클라이언트 문제라고 합니다. 이 문제를 해결하기 위해 9800 컨트롤러는 최적화된 로암이라는 기능을 지원합니다. 여기서 클라이언트 데이터 패킷의 RSSI와 데이터 속도가 모니터링되고 클라이언트는 사전 대응적으로 연결 해제됩니다. 802.11v BSS Transition Management Request는 클라이언트에 즉각적인 연결 해제를 알려주고 로밍할 AP 목록을 제공하는 최적화된 로밍을 향상시킵니다.

AP가 클라이언트로 전송할 때 제안되는 802.11v BSS 전환 관리 요청. 고객은 제안을 수락하거나 취소할 수 있습니다. 9800 무선 컨트롤러는 Immediate Disassociation이라는 컨피그레이션 옵션을 제공하므로 클라이언트가 정의된 기간 내에 다른 AP와 다시 연결되지 않을 경우 클라이언트를 강제로 연결 해제할 수 있습니다. 특정 WLAN 프로필 아래의 명령 bss-transition disassociation-immediate를 통해서만 CLI에서 구성할 수 있습니다.

관련 정보

• 802.11r BSS 고속 전환
• 802.11k 네이버 목록 및 보조 로밍
• 802.11v BSS
• Cisco 기술 지원 및 다운로드