×

警告メッセージ

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

WLC 802.11r 動作モードの違い

ドキュメント

2017/04/26 - 03:19
4月 21st, 2017
User Badges:
  • Cisco Employee,

 

概要

このドキュメントでは、WLC の WLAN 定義における 802.11r (FT: Fast Transition) 設定の Adaptive, Enable (Mixed Mode), Disable 各動作モードの違いについて説明します。

対象製品: Wireless LAN Controller

動作確認バージョン: AireOS 8.3.112.0



Fast Transition: Disable

AireOS 8.2 以前までのデフォルトです。Disable の場合は、FT 802.1X および FT PSK は設定できません。

この設定では 802.11r 対応クライアントも非 11r クライアントとして接続します


<中略>



Beacon フレーム等の RSN IE (Information Element) では鍵管理 (AKM) として 11r (FT) は使用されません。

 




クライアントが選択したローミング先 AP が PMK キャッシュ (OKC または SKC) を保持していれば、クライアントは EAP 等の認証処理をバイパスしてローミングを行えますが、4 Way Handshake が必要です。


 

Fast Transition: Enable

FTを Enable に設定した場合、FT 802.1X または FT PSK のいずれかを選択する必要があります。

この設定では、802.11r 非対応クライアントは接続できません

<中略>

 

FT を Enable にすると Probe/Beacon 等では RSN IE にて FT による鍵管理が行われることが通知され、MDIE (Mobility Domain IE) が使用され、Association Response では FTIE (Fast BSS Transition IE) が使用されます。

Beacon での IE の例

 

Association Response での IE の例

 


802.11r 対応クライアントが無線接続すると、WLC の保持する PMK キャッシュのタイプは FT-xxxx となり、R0KHID, R1KHID 等 802.11r に関する情報を保持します。

 (Cisco Controller) >show pmk-cache 20:3c:ae:xx:xx:xx

Number of PMK Cache Entries: 1

PMK-CCKM Cache
                            Entry
   Type          Station         Lifetime   VLAN Override        IP Override          Audit-Session-ID
---------     --------------    --------   ------------------   ---------------      ----------------
   FT-PSK    20:3c:ae:xx:xx:xx   85887                             0.0.0.0

   R0KHID ....................................... 172.17.122.41
   R1KHID ....................................... 40:55:39:xx:xx:xx
   Active Pre-Auths ............................. 0

 


WLAN が Flexconnect Local Switchingの場合は、11r クライアントの接続時に同一 Flexconnect Group に属する  Lightweight AP へ 11r キャッシュが配布されます。

LAP#debug capwap flexconnect dot11r

CAPWAP REAP DOT11R debugging is on

*Apr 21 19:47:34.919: REAP DOT11R: Cache update payload: payload length: 170 cache count: 1

*Apr 21 19:47:34.919: (203c.aexx.xxxx): Reap_DOT11R: Got Add 11r cache payload from controller

*Apr 21 19:47:34.923: dot11rCache_t Debug: Condition 1, mac-address 203c.aexx.xxxx triggered, count 1

*Apr 21 19:47:34.923: (203c.aexx.xxxx): Reap_DOT11R: Added new 11r Cache node, life time:86459, vlan Id:-1, FlexAcl Name: 11r Cache count 1

LAP#show capwap reap dot11r
Total number of dot11r cache entries = 1

DOT11R Cache Entries:

HW Address       Life Time(in sec)   BSSID            R0KhId       R1KhId           vlanOverride      client Acl
203c.aexx.xxxx        86408          7010.5cxx.xxxx   172:17:122:41    4055.39xx.xxxx     N/A

 注意: Flexconnect Local Switching で 802.11r をサポートするためには、Central Authentication であることが必要です。また、AP はユーザ定義の Flexconnect Group に所属させる必要があります。事前定義された default-flex-group に属する Flexconnect AP は 11r ローミングをサポートしません。11r キャッシュは同一 Flexconnect Group に属する AP 間で共有されます。

(なお、Flexconnect Local Switching 環境で 802.11r を使用する場合、Over-the-Air 設定をお勧めします。)



11r クライアントはローミング時、Authentication の段階で RSN IE (AKM として FT 、および PMKID をローミング先 AP に提示), FTIE, MDIE を送信し、(Re)association のみで (4 Way Handshake 無しに) 高速ローミングを行い、データ通信を再開できます。

 


 

Fast Transition: Enable (Mixed Mode)

FT を Enable に設定した場合、FT 802.1X と 802.1X を同時に有効にすることができます (または FT PSK と PSK を同時に有効) 。

この設定では 11r 対応クライアントは 11r 接続、11r 非対応クライアントは非 11r 接続を行なうことができますが、クライアントの実装によっては接続できない場合があります


<中略>

 

この場合、Beacon/Probe 等での RSN IE では AKM として FT 802.1X/802.1X (または FT PSK/PSK) の両方が同時に通知されます。

 


この設定は 802.11r Mixed Mode と呼ばれます。無線 LAN の実装ではドライバは自分が認識できない IE を無視することが基本ですので、Mixed Mode 設定により 11r 非対応クライアントは AKM = FT xxxx を無視し、11r 対応クライアントは AKM = FT xxxx を参照することで、11r クライアント・非 11r クライアントが単一の WLAN に接続することができます。

しかしながら、未知の IE を無視ではなくエラーとして処理する実装が存在し、

- 11r 非対応クライアント: FT AKM を無視できず接続失敗

- 11r 対応クライアント: Mixed Mode をサポートせず接続失敗または非 11r 接続

となる可能性があり、802.11 標準による実装では古いクライアントが存在する環境での互換性は保証されず、事前にクライアントのドライバ実装を確認しておく必要があります。




 

Fast Transition: Adaptive

AireOS 8.3 からのデフォルト設定です。

この設定では、Beacon等の RSN IE で通知される AKM に FT は含まれません。このため、一般的なクライアントは非 11r 接続を行います。

Cisco - Apple アライアンスにより、Apple iOS 10.0 以降についてのみ、802.11 標準ではない独自手法によってネゴシエーションを行い 11r 接続が可能になります。

これにより、Apple iOS デバイスについては古い端末との互換性を気にせず 11r を有効化し、高速ローミングを実現することができます


Adaptive モード設定を行なう場合、AKM で FT を選択してはいけません

<中略>

 


 Adaptive モードでは Beacon 等の RSN IE で AKM として非 FT のみが通知されます。