Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

RSSI, itinérance et itinérance rapide

Comprendre l’importance du RSSI et l’impact d’un faible RSSI sur le débit. Activez l’itinérance rapide et consultez l’historique d’itinérance pour résoudre les problèmes des clients.

L’indicateur d’intensité du signal reçu (RSSI) mesure le signal radio du point d’accès, généralement mesuré par le client. L’échelle va de -100 dBm (le plus faible) à 0 dBm (le plus fort), mais les valeurs sont généralement comprises entre -90 dBm et -25 dBm. Des valeurs comprises entre -70 dBm et 0 dBm sont généralement considérées comme acceptables pour la transmission des données, bien que dans certains cas, les clients puissent considérer qu’elles sont mauvaises. Voir IOS Les clients peuvent considérer qu’un RSSI de -70 dBm est médiocre.

Le RSSI est important pour préserver une bonne connectivité réseau. Les clients abandonneront une connexion RSSI faible au profit d’une connexion plus forte provenant d’un autre point d’accès. C’est ce qu’on appelle l’itinérance. Comme c’est le client (et non l’AP) qui mesure le RSSI, c’est le client qui contrôle la décision du moment de l’itinérance et le SSID auquel il se connectera. Ainsi, un RSSI médiocre peut causer beaucoup d’itinérance.

Un RSSI faible peut également être à l'origine d'un faible débit entre le point d'accès et le client, mais il n'est pas automatiquement synonyme de faible débit. En fait, les taux de transfert de données pour un niveau RSSI donné, même un RSSI faible, peuvent varier de 5 Mbps à 45 Mbps ou plus. Un RSSI de -75 dBm est significatif en raison de l’effet sur l’itinérance plus que sur le débit.

Itinérance

En itinérance, pour les protocoles de sécurité tels que WPA-3 et WPA-2, et lorsque les points d’accès agissent indépendamment les uns des autres, le client doit répéter le processus d’authentification et d’autorisation chaque fois qu’il souhaite se déplacer (c’est-à-dire se reconnecter au réseau à l’aide d’un meilleur RSSI). L’utilisateur devra peut-être se reconnecter au réseau. Même si ce n'est pas le cas, la reconnexion peut perturber le service, comme des pertes de voix sur les appels VoIP ou des saccades vidéo dans les flux vidéo en temps réel.

Un client peut envisager une itinérance si le RSSI est inférieur à -70 dBm et qu’il a des données à envoyer. En règle générale, cela signifie exécuter un balayage de 20 millisecondes de chaque canal, ou il peut s’agir d’une interrogation sur le point d’accès actuel pour obtenir ses voisins (802.11k) ou d’une suggestion (802.11v).

La plupart des problèmes d’itinérance concernent des clients persistants. Les clients persistants ne déclenchent pas d’itinérance vers un meilleur point d’accès cible alors qu’ils le devraient.

Itinérance rapide

L’itinérance rapide est une méthode de connexion qui a été développée pour optimiser la façon dont les clients effectuent leur authentification de sécurité WPA2/WPA3 initiale. Les clients peuvent également conserver leurs identifiants de connexion afin qu’ils puissent être transférés d’un point d’accès à l’autre en itinérance.

Les méthodes d’itinérance rapide sont les suivantes : par défaut, mise en cache opportuniste des clés (OKC) et .11r. Pour ces deux méthodes, il n’est pas nécessaire d’envoyer des paquets de demande d’accès au serveur RADIUS.

L’option d’itinérance rapide devient disponible lorsque vous sélectionnez WPA3 ou WPA2 comme type de sécurité.

Faire défaut

  • Mist les points d’accès mettent en cache localement l’ID de clé principale par paire (PMK) client obtenu lors de l’autorisation initiale et l’utilisent pour les réassociations ultérieures sur le même point d’accès. Cette fonction, également connue sous le nom d'itinérance rapide et sécurisée, convient aux cas d'usage où l'échelle n'entre pas en jeu, car les clients doivent se réauthentifier complètement à chaque nouveau point d'accès du réseau jusqu'à ce que tous les points d'accès disposent de leur propre copie locale du PMKID du client.

Mise en cache opportuniste des clés

  • OKC permet aux clients de se déplacer rapidement vers de nouveaux points d’accès sans avoir à effectuer un échange d’authentification complet. Cela fonctionne car les points d’accès Mist envoient leur cache PMKID aux points d’accès voisins par le biais de mises à jour cloud. Ainsi, les points d’accès d’un même réseau peuvent partager des PMK et les clients peuvent réutiliser les PMK appris par un point d’accès lorsqu’ils sont en itinérance vers un autre point d’accès.

  • Juniper Mist points d'accès utilisent les informations clés de la première association d'un client pour générer des clés pour les autres points d'accès du réseau.

  • OKC exige que le SSID utilise la sécurité WPA2/EAP (802.1x). Les attributs RADIUS sont également partagés avec le PMK, de sorte que le client n’a pas besoin de s’authentifier à nouveau sur le RADIUS.

  • OKC est une technologie d’itinérance rapide non standard. Il est pris en charge par les clients Microsoft Windows et certains appareils Android. Certains clients sans fil (y compris les téléphones Apple iOS) ne prennent pas en charge OKC.

  • Une source courante de problèmes d’itinérance est un point d’accès cible qui ne dispose pas du PMKID client dont il a besoin pour accuser réception de la demande de transition rapide BSS (FBT).

Transition BSS rapide (802.11r)

  • L’itinérance standard nécessite huit messages, dans les deux sens, entre le client et le point d’accès (deux authentifications, deux associations et quatre échanges de clés). Tous ces messages utilisent du temps d’antenne, ce qui s’additionne lorsque l’on considère les environnements à haute densité et à haute mobilité.

  • La norme 802.11r, également appelée .11r, réduit l’échange de messages à quatre messages. Pour ce faire, il superpose les quatre messages d’échange clés sur les deux messages d’authentification et les deux messages d’association.

Le tableau ci-dessous récapitule les options d’itinérance et les interactions RADIUS pour différents types de sécurité.

Tableau 1 : Sécurité des différentes options d’itinérance
Sécurité Itinérance Demande d’accès RADIUS ? Recherche MAC sur RADIUS ?
WPA-2/EAP (802.1X) Faire défaut Oui Handicapé
WPA-2/EAP (802.1X) .11r Non Handicapé
WPA-2/EAP (802.1X) OKC (en anglais seulement) Non Handicapé
WPA-2/PSK avec phrase de passe Faire défaut Oui Ou
WPA-2/PSK avec phrase de passe .11r Non Ou
Libre accès Handicapé Oui Ou

Activer l’itinérance rapide

Les points d’accès Juniper prennent en charge l’itinérance rapide (IEEE 802.11r, transition BSS rapide), ce qui permet aux clients utilisant la sécurité WPA2/WPA3 de conserver leur authentification en itinérance. Ils n’ont ainsi plus besoin de renouveler leur autorisation et de se reconnecter au réseau à chaque fois qu’ils changent de point d’accès.

De plus, vous pouvez utiliser Marvis pour suivre l'historique d'itinérance des clients et faciliter les dépannages.

Lorsque vous modifiez les paramètres d’itinérance rapide, la ou les radios du point d’accès se réinitialisent pour obtenir la nouvelle configuration. Cela supprimera temporairement les clients de l’AP au redémarrage.

Pour activer l’itinérance rapide sur un WLAN :

  1. Dans le portail Mist, sélectionnez Site > sans fil | WLAN, puis cliquez sur le bouton Ajouter un WLAN. Vous pouvez également sélectionner un WLAN existant dans la liste qui s’affiche.
  2. Accédez à la section Sécurité.
  3. Sélectionnez WPA3 ou WPA2, Entreprise ou Personnel.
  4. Dans la section Itinérance rapide, sélectionnez le type d’itinérance que vous souhaitez utiliser :
    • Par défaut : mise en cache PMKID locale uniquement ; il n’y a pas de partage du PMKID entre Mist points d’accès sur le réseau. Cela peut convenir à certains cas d’utilisation, mais n’est pas évolutif.
    • Mise en cache opportuniste des clés : méthode d’itinérance rapide non standard, mais largement prise en charge.
    • .11r : méthode d’itinérance rapide basée sur des normes, décrite dans la norme 802.11r.
  5. Faites défiler vers le haut de la page et cliquez sur Enregistrer.

Afficher l’historique d’itinérance

Dans le tableau de bord Mist, vous pouvez voir comment les clients se déplacent d’un point d’accès à l’autre, se connectent au point d’accès (force RSSI), mais aussi détecter des éléments tels que les mauvaises itinérances. Les données utilisées pour la visualisation proviennent des événements clients que les points d’accès Juniper envoient au portail Mist. Marvis utilise ces informations pour fournir une représentation visuelle de l’historique d’itinérance de votre appareil. Pour plus d’informations, reportez-vous à la section Visualisation de l’itinérance client .

Pour consulter l’historique d’itinérance d’un client donné :

  1. Cliquez sur Marvis dans le portail Mist.
  2. Cliquez sur le bouton Poser une question.
  3. Dans la page qui s’affiche, cliquez sur le champ de requête, puis sélectionnez ROAMINGOF dans la liste déroulante.
  4. Choisissez un client dans la liste.
  5. Vous pouvez qualifier davantage la requête en ajoutant une période. Cliquez à nouveau sur le champ de requête et saisissez Pendant, puis sélectionnez une période dans la liste déroulante qui s’affiche (par exemple, 24 heures ou 7 derniers jours).
  6. Pour afficher un autre client, cliquez sur le nom du client actuel pour rouvrir la liste déroulante et sélectionnez-en un autre dans la liste.
    Voici un exemple qui montre comment Marvis décrit les informations d’itinérance d’un client.
    Figure 1 : suivi et dépannage de l’itinérance des Track and Troubleshoot Client Roaming clients