Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RSSI, itinérance et itinérance rapide

L’indicateur d’intensité du signal reçu (RSSI) est une mesure du signal radio du point d’accès, généralement mesuré par le client. L’échelle va de -100 dBm (le plus faible) à 0 dBm (le plus fort), mais les valeurs sont généralement comprises entre -90 dBm et -25 dBm. Des valeurs comprises entre -70 dBm et 0 dBm sont généralement considérées comme acceptables pour la transmission de données, bien que dans certains cas, les clients puissent considérer qu’elles sont médiocres. Les clients IOS peuvent considérer qu’un RSSI de -70 dBm est médiocre.

Le RSSI est important pour préserver une bonne connectivité réseau. Les clients abandonneront une connexion RSSI faible au profit d’une connexion plus forte provenant d’un autre AP. C’est ce qu’on appelle l’itinérance, et comme c’est le client (et non l’AP) qui mesure le RSSI, c’est lui qui contrôle la décision du moment de l’itinérance et le SSID auquel il se connectera. Ainsi, un mauvais RSSI peut causer beaucoup d’itinérance.

Un faible RSSI peut également être à l'origine d'un faible débit entre le point d'accès et le client, mais il n'est pas automatiquement synonyme de faible débit. En fait, les taux de transfert de données pour un niveau RSSI donné, même un RSSI faible, peuvent varier de 5 Mbps à 45 Mbps ou plus. Un RSSI de -75 dBm est significatif en raison de l’effet sur l’itinérance plus que sur le débit.

Itinérance

En itinérance, pour les protocoles de sécurité tels que WPA-3 et WPA-2, et lorsque les points d’accès agissent indépendamment l’un de l’autre, le client doit répéter le processus d’authentification et d’autorisation chaque fois qu’il souhaite utiliser l’itinérance (c’est-à-dire se reconnecter au réseau à l’aide d’un meilleur RSSI). L’utilisateur devra peut-être se reconnecter au réseau. Même si ce n'est pas le cas, la reconnexion peut perturber le service, comme des coupures de voix sur les appels VoIP ou des saccades vidéo dans les flux vidéo en temps réel.

Un client peut envisager une itinérance si le RSSI est inférieur à -70 dBm et qu’il a des données à envoyer. En règle générale, cela signifie qu’il faut effectuer un balayage de 20 millisecondes de chaque canal, ou qu’il peut s’agir d’une interrogation sur l’AP actuel pour obtenir ses voisins (802.11k) ou d’une suggestion (802.11v).

La plupart des problèmes d’itinérance impliquent des clients rémanents. Les clients rémanents ne déclenchent pas d’itinérance vers un meilleur point d’accès cible au moment où ils le devraient.

Itinérance rapide

L’itinérance rapide est une méthode de connexion qui a été développée pour optimiser la façon dont les clients effectuent leur authentification de sécurité WPA2/WPA3 initiale. Il permet également aux clients de conserver leurs identifiants de connexion afin qu’ils puissent être transférés d’un point d’accès à l’autre lors de l’itinérance.

Les méthodes d’itinérance rapide sont les suivantes : par défaut, la mise en cache de clé opportuniste (OKC) et .11r. Pour ces deux méthodes, il n’est pas nécessaire d’envoyer des paquets de demande d’accès au serveur RADIUS.

L’option d’itinérance rapide devient disponible lorsque vous sélectionnez WPA3 ou WPA2 comme type de sécurité.

Par défaut

  • Les points d’accès Mist mettent en cache localement l’ID de clé maîtresse par paire (PMK) client obtenu lors de l’autorisation initiale et l’utilisent pour les réassociations ultérieures sur le même point d’accès. Cette méthode est également connue sous le nom d'« itinérance rapide et sécurisée » et convient aux cas d'utilisation où l'évolutivité n'est pas un facteur, car les clients doivent s'authentifier à nouveau sur chaque nouveau point d'accès du réseau jusqu'à ce que tous les points d'accès disposent de leur propre copie locale du PMKID du client.

Mise en cache opportuniste des clés

  • OKC permet aux clients de se déplacer rapidement vers de nouveaux points d’accès sans avoir à effectuer un échange d’authentification complet. Cela fonctionne car les points d’accès Mist envoient leur cache PMKID aux points d’accès voisins par le biais de mises à jour cloud. Ainsi, les points d’accès d’un même réseau peuvent partager des PMK et les clients peuvent réutiliser les PMK appris par un point d’accès lorsqu’ils sont en itinérance vers un autre point d’accès.

  • Les points d'accès Juniper Mist utilisent les informations clés de la première association d'un client pour générer des clés pour les autres points d'accès du réseau.

  • OKC requiert le SSID pour utiliser la sécurité WPA2/EAP (802.1x). Les attributs RADIUS sont également partagés avec le PMK, de sorte que le client n’a pas besoin de s’authentifier à nouveau sur le RADIUS.

  • OKC est une technologie d’itinérance rapide non standard. Il est pris en charge par les clients Microsoft Windows et certains appareils Android. Certains clients sans fil (y compris les téléphones Apple iOS) ne prennent pas en charge OKC.

  • Une source courante de problèmes d’itinérance est un point d’accès cible qui ne dispose pas du PMKID client dont il a besoin pour accuser réception de la demande de transition BSS rapide (FBT).

Transition BSS rapide (802.11r)

  • L’itinérance standard nécessite huit messages, dans les deux sens, entre le client et le point d’accès (deux authentifications, deux associations et quatre échanges de clés). Tous ces messages utilisent du temps d’antenne, ce qui s’additionne lorsque l’on considère les environnements à haute densité et à haute mobilité.

  • La norme 802.11r, également appelée .11r, réduit l’échange de messages à quatre messages. Pour ce faire, il superpose les quatre messages d’échange clés sur les deux messages d’authentification et les deux messages d’association.

Le tableau ci-dessous récapitule les options d’itinérance et les interactions RADIUS pour différents types de sécurité.

Tableau 1 : Sécurité des différentes options d’itinérance
Sécurité Itinérance Demande d’accès RADIUS ? Recherche MAC sur RADIUS ?
WPA-2/EAP (802.1X) Par défaut Oui Handicapés
WPA-2/EAP (802.1X) .11r Non Handicapés
WPA-2/EAP (802.1X) OKC Non Handicapés
WPA-2/PSK avec phrase de passe Par défaut Oui Soit
WPA-2/PSK avec phrase de passe .11r Non Soit
En libre accès Handicapés Oui Soit