RSSI, itinérance et itinérance rapide

Comprendre l’importance du RSSI et l’impact d’un mauvais RSSI sur le débit. Activez l’itinérance rapide et affichez l’historique d’itinérance pour résoudre les problèmes clients.

L’indicateur d’intensité du signal reçu (RSSI) est une mesure du signal radio de l’AP et est généralement mesuré par le client. L’échelle va de -100 dBm (le plus faible) à 0 dBm (le plus fort), mais les valeurs sont généralement comprises entre -90 dBm et -25 dBm. Des valeurs de -70 dBm à 0 dBm sont généralement considérées comme acceptables pour la transmission de données, bien que dans certains cas, les clients puissent considérer que c’est médiocre. Voir Les clients IOS peuvent considérer qu’un RSSI de -70 dBm est mauvais.

Le RSSI est important pour préserver une bonne connectivité réseau. Les clients abandonneront une connexion RSSI faible au profit d’une connexion plus forte provenant d’un autre AP. C’est ce qu’on appelle l’itinérance, et comme c’est le client (et non l’AP) qui mesure le RSSI, c’est le client qui contrôle la décision d’itinérance et le SSID auquel il se connectera. Ainsi, un RSSI médiocre peut causer beaucoup d’itinérance.

Un mauvais RSSI peut également être la cause d'un faible débit entre l'AP et le client, mais cela n'équivaut pas automatiquement à un faible débit. En fait, les taux de transfert de données pour un niveau RSSI donné, même un RSSI médiocre, peuvent varier de 5 Mbps à 45 Mbps ou plus. Un RSSI de -75 dBm est significatif en raison de l’effet sur l’itinérance plus que sur le débit.

Itinérance

En itinérance, pour les protocoles de sécurité tels que WPA-3 et WPA-2, et lorsque les points d’accès agissent indépendamment les uns des autres, le client doit répéter le processus d’authentification et d’autorisation chaque fois qu’il souhaite être itinérant (c’est-à-dire se reconnecter au réseau à l’aide d’un meilleur RSSI). L’utilisateur devra peut-être se reconnecter au réseau. Même si ce n'est pas le cas, la reconnexion peut perturber le service, par exemple en cas de perte de voix lors d'appels VoIP ou de saccadage vidéo dans les flux vidéo en temps réel.

Un client peut envisager une itinérance si le RSSI est inférieur à -70 dBm et qu’il a des données à envoyer. En règle générale, cela signifie exécuter un balayage de 20 millisecondes de chaque canal, ou il peut s’agir d’une interrogation de l’AP actuel pour obtenir ses voisins (802.11k) ou d’une suggestion (802.11v).

La plupart des problèmes d’itinérance impliquent des clients persistants. Les clients rémanents ne lancent pas d’itinérance vers un meilleur AP cible quand ils le devraient.

Itinérance rapide

L’itinérance rapide est une méthode de connexion qui a été développée pour optimiser la façon dont les clients effectuent leur authentification de sécurité WPA2/WPA3 initiale. Les clients conservent également leurs identifiants de connexion afin qu’ils puissent être transférés d’un AP à un autre en cas d’itinérance.

L’option d’itinérance rapide devient disponible lorsque vous sélectionnez WPA3 ou WPA2 comme type de sécurité. Avec WPA3 sélectionné, les méthodes disponibles pour l’itinérance rapide sont Default, Opportunistic Key Caching (OKC) et .11r. Lorsque WPA2 est sélectionné, seuls les fichiers Par défaut et .11r sont disponibles. Pour ces deux méthodes, il n’est pas nécessaire d’envoyer des paquets de demande d’accès au serveur RADIUS.

Par défaut

Les AP Mist mettent en cache localement l’ID PMK (Pairwise Master Key) du client obtenu lors de l’autorisation initiale et l’utilisent pour des réassociations ultérieures sur le même AP. Cette méthode est également connue sous le nom d'« itinérance rapide et sécurisée » et convient aux cas d'utilisation où l'évolutivité n'est pas un facteur important, car les clients doivent se réauthentifier à chaque nouvel AP du réseau jusqu'à ce que tous les points d'accès disposent de leur propre copie locale du PMKID du client.

Mise en cache opportuniste des clés

OKC permet aux clients d’être rapidement itinérants vers de nouveaux points d’accès sans avoir à effectuer un échange d’authentification complet. Cela fonctionne parce que les AP Mist envoient leur cache PMKID aux AP voisins via des mises à jour dans le cloud. Ainsi, les points d'accès d'un même réseau peuvent partager des PMK et les clients peuvent réutiliser les PMK apprises par un AP lors de l'itinérance vers un autre AP. Les points d'accès Juniper Mist utilisent les informations clés de la première association d'un client pour générer des clés pour les autres points d'accès du réseau.

OKC exige que le SSID utilise la sécurité WPA2/EAP (802.1x). Les attributs RADIUS sont également partagés avec le PMK, de sorte que le client n’a pas besoin de s’authentifier à nouveau sur le réseau RADIUS.
OKC est une technologie d’itinérance rapide non standard. Il est pris en charge par les clients Microsoft Windows et certains appareils Android. Certains clients sans fil (y compris les téléphones Apple iOS) ne prennent pas en charge OKC.
Une source courante de problèmes d’itinérance est un AP cible qui n’a pas le PMKID client dont il a besoin pour accuser réception de la demande de transition BSS rapide (FBT).

.11r (Transition rapide BSS 802.11r)

L’itinérance standard prend huit messages, dans les deux sens, entre le client et l’AP (deux authentifications, deux associations et quatre échanges de clés). Tous ces messages utilisent du temps d’antenne qui s’additionne lorsque l’on considère des environnements à haute densité et à haute mobilité. 802.11r, également appelé .11r, réduit l’échange de messages à quatre messages. Pour ce faire, il superpose les quatre messages d’échange de clés sur les deux messages d’authentification et les deux messages d’association. Sélectionnez cette option pour activer la prise en charge du protocole 802.11r Fast BSS Transition.

Compatibilité Zebra : cette option modifie la façon dont les points d’accès Mist annoncent l’itinérance rapide, ce qui était nécessaire pour l’interopérabilité avec certains appareils mobiles Zebra existants. Il n’est pas nécessaire d’activer cette option si vos points d’accès Mist et vos appareils mobiles Zebra exécutent un firmware à jour et qu’une mauvaise configuration peut entraîner des problèmes. Cette option active la FT-over-the-DS (Fast Transition over the Distribution System), une méthode de la norme IEEE 802.11r d’itinérance rapide, dans laquelle des handshakes à transition rapide sont effectués via le réseau câblé (le système de distribution) sans qu’il soit nécessaire de procéder à une réauthentification complète.
Pour plus d’informations sur la solution combinée combinant les réseaux IA natifs de Juniper avec l’informatique mobile avancée de Zebra, consultez :

Le tableau ci-dessous résume les options d’itinérance et les interactions RADIUS pour différents types de sécurité.

Tableau 1 : Sécurité des différentes options d’itinérance
Sécurité	Itinérance	Demande d’accès RADIUS ?	Vous recherchez MAC sur RADIUS ?
WPA-2/EAP (802.1X)	Par défaut	Oui	Désactivé
WPA-2/EAP (802.1X)	.11r	Non	Désactivé
WPA-2/EAP (802.1X)	OKC	Non	Désactivé
WPA-2/PSK avec phrase de passe	Par défaut	Oui	Soit
WPA-2/PSK avec phrase de passe	.11r	Non	Soit
Libre accès	Désactivé	Oui	Soit

Activer l’itinérance rapide

Les points d’accès Juniper prennent en charge l’itinérance rapide (IEEE 802.11r, Fast BSS Transition), ce qui permet aux clients utilisant la sécurité WPA2/WPA3 de conserver leur authentification pendant l’itinérance. Cela leur évite d’avoir à réautoriser et à se reconnecter au réseau chaque fois qu’ils changent de point d’accès.

En outre, vous pouvez utiliser Marvis pour suivre l'historique d'itinérance des clients et aider au dépannage.

Lorsque vous modifiez les paramètres d’itinérance rapide, la ou les radios de l’AP se réinitialisent pour obtenir la nouvelle configuration. Les clients sont temporairement supprimés de l’AP lors de son redémarrage.

Pour activer l’itinérance rapide sur un WLAN :

Dans le portail Mist, sélectionnez Site > sans fil | WLAN, puis cliquez sur le bouton Ajouter un WLAN. Vous pouvez également sélectionner un WLAN existant dans la liste qui s’affiche.
Allez dans la section Sécurité.
Sélectionnez WPA3 ou WPA2, Entreprise ou Personnel.
Dans la section Itinérance rapide, sélectionnez le type d’itinérance que vous souhaitez utiliser :
- Par défaut : mise en cache PMKID locale uniquement ; il n’y a pas de partage du PMKID entre les points d’accès Mist sur le réseau. Cette fonctionnalité peut convenir à certains cas d’usage, mais n’est pas évolutive.
- Mise en cache opportuniste des clés : méthode d’itinérance rapide non standard, mais largement prise en charge.
- .11r — Méthode normalisée d’itinérance rapide, décrite dans 802.11r.
Faites défiler la page jusqu’en haut et cliquez sur Save.

Afficher l’historique d’itinérance

Dans le tableau de bord Mist, vous pouvez voir comment les clients se déplacent entre les points d’accès, connectés à l’AP (force RSSI) et détecter des éléments tels que les mauvaises itinérances. Les données utilisées pour la visualisation proviennent des événements clients que les points d’accès Juniper envoient au portail Mist. Marvis utilise ces informations pour fournir une représentation visuelle de l’historique d’itinérance de votre appareil. Voir Visualisation de l’itinérance des clients pour plus d’informations.

Pour afficher l’historique d’itinérance d’un client donné :

Cliquez sur Marvis sur le portail Mist.
Cliquez sur le bouton Poser une question.
Dans la page qui s’affiche, cliquez sur le champ de requête, puis sélectionnez ROAMINGOF dans la liste déroulante.
Choisissez un client dans la liste.
Vous pouvez qualifier davantage la requête en ajoutant une période. Cliquez à nouveau sur le champ de requête et tapez During, puis sélectionnez une période dans la liste déroulante qui apparaît (par exemple, 24 heures ou 7 derniers jours).
Pour afficher un autre client, cliquez sur le nom actuel du client pour rouvrir la liste déroulante et sélectionnez-en un autre dans la liste.
Voici un exemple qui montre comment Marvis décrit les informations d’itinérance d’un client.
Figure 1 : Suivi et dépannage de l’itinérance des clients