RSSI、漫游和快速漫游
接收信号强度指示器 (RSSI) 是 AP 无线电信号的测量值,通常由客户端测量。刻度从 -100 dBm(最弱)到 0 dBm(最强),但值通常在 -90 dBm 到 -25 dBm 的范围内。-70 dBm 到 0 dBm 之间的值通常被认为是可以接受的数据传输,尽管在某些情况下客户可能认为这很差。请参阅 IOS 客户端可能会认为 -70 dBm 的 RSSI 较差。
RSSI 对于保持良好的网络连接至关重要。客户端将丢弃弱 RSSI 连接,转而使用来自另一个 AP 的更强连接。这称为漫游,因为测量 RSSI 的是客户端(而不是 AP),所以是客户端控制何时漫游的决定以及它将连接到的 SSID。因此,较差的 RSSI 会导致大量漫游。
较差的 RSSI 也可能是 AP 和客户端之间吞吐量低的原因,但这并不自动等同于吞吐量低。实际上,给定RSSI级别的数据传输速率,即使是较差的RSSI,也可能从5 Mbps到45 Mbps或更高。-75 dBm 的 RSSI 非常重要,因为对漫游的影响大于对吞吐量的影响。
漫游
漫游时,对于 WPA-3 和 WPA-2 等安全协议,以及 AP 彼此独立运行的情况,客户端每次想要漫游时都必须重复身份验证和授权过程(即,使用更好的 RSSI 重新连接到网络)。用户可能需要重新登录到网络。即使他们不这样做,重新连接也可能会中断服务,例如VoIP通话中的语音掉线或实时视频流中的视频卡顿。
如果 RSSI 小于 -70 dBm,并且客户端有要发送的数据,则客户端可能会考虑漫游。通常,这意味着对每个信道运行 20 毫秒的扫描,也可以是对当前 AP 进行轮询以获取其邻居 (802.11k) 或建议 (802.11v)。
大多数漫游问题都涉及粘性客户端。粘性客户端不会在应该启动漫游到更好的目标 AP。
快速漫游
快速漫游是一种连接方法,旨在优化客户端执行初始 WPA2/WPA3 安全身份验证的方式。它还为客户端提供了一种保留其登录凭据的方法,以便在漫游时可以将其从一个接入点转移到另一个接入点。
快速漫游的方法包括 默认、 机会密钥缓存 (OKC) 和 .11r。对于这两种方法,无需向 RADIUS 服务器发送访问请求数据包。
当您选择 WPA3 或 WPA2 作为安全类型时,快速漫游选项将变为可用。
默认
-
Mist 接入点在本地缓存在初始授权期间获得的客户端成对主密钥 (PMK) ID,并将其用于同一接入点上的后续重新关联。这也称为“快速安全漫游回传”,适用于规模不是因素的用例,因为客户端必须在网络中的每个新 AP 上完全重新进行身份验证,直到所有 AP 都有自己的客户端 PMKID 本地副本。
机会性密钥缓存
-
OKC 允许客户端快速漫游到新的 AP,而无需执行完整的身份验证交换。之所以有效,是因为 Mist 接入点通过云更新将其 PMKID 缓存发送到相邻的接入点。因此,同一网络中的接入点可以共享 PMK,客户端在漫游到另一个接入点时可以重用一个接入点获知的 PMK。
-
瞻博网络 Mist 接入点使用客户端首次关联的密钥信息为网络中的其他接入点生成密钥。
-
OKC 要求 SSID 使用 WPA2/EAP (802.1x) 安全性。RADIUS 属性也与 PMK 共享,因此客户端无需在 RADIUS 上重新进行身份验证。
-
OKC 是一种非标准的快速漫游技术。微软Windows客户端和一些Android设备支持它。某些无线客户端(包括 Apple iOS 手机)不支持 OKC。
-
漫游问题的常见来源是目标 AP 没有客户端 PMKID,它需要确认快速 BSS 转换 (FBT) 请求。
快速 BSS 转换 (802.11r)
-
标准漫游在客户端和 AP 之间来回执行 8 条消息(2 次身份验证、2 次关联和 4 次密钥交换)。所有这些消息都使用空气时间,这在考虑高密度、高移动性环境时加起来。
-
802.11r(也称为 .11r)将消息交换减少到四条消息。它通过在两个身份验证和两个关联消息上叠加四个密钥交换消息来实现此目的。
下表总结了不同安全类型的漫游选项和 RADIUS 交互。
| 安全 | 漫游 | RADIUS 访问请求? | 在 RADIUS 上查找 MAC? |
| WPA-2/EAP (802.1X) | 默认 | 是的 | 禁用 |
| WPA-2/EAP (802.1X) | .11r | 不 | 禁用 |
| WPA-2/EAP (802.1X) | 俄克拉荷马州 | 不 | 禁用 |
| 带密码的 WPA-2/PSK | 默认 | 是的 | 要么 |
| 带密码的 WPA-2/PSK | .11r | 不 | 要么 |
| 开放获取 | 禁用 | 是的 | 要么 |