Inhaltsverzeichnis
Werbung
Referenzhandbuch
12 Wireless LAN – WLAN
Erwartung, dass der OKC aktiviert hat (deshalb "opportunistisch"). Kann der AP mit der PMKID nichts anfangen, handelt
er mit dem Client eine normale 802.1x-Authentifizierung aus.
Ein LANCOM-AP kann auch OKC durchführen, falls der WLC vorübergehend nicht erreichbar ist. In diesem Fall speichert
er den PMK und sendet ihn an den WLC, sobald er wieder verfügbar ist. Der schickt den PMK anschließend an alle APs
im Netzwerk, so dass der Client sich beim Wechsel der Funkzelle dort über OKC anmelden kann.
12.21 Fast Roaming
Zusammen mit der Authentifizierung nach dem Standard IEEE 802.1X und dem Schlüsselmanagement nach dem Standard
IEEE 802.11i bieten moderne WLAN-Installationen ein hohes Maß an Sicherheit und Vertraulichkeit der übertragenen
Daten. Allerdings erfordern diese Standards die Übertragung zusätzlicher Datenpakete während der
Verbindungsverhandlung sowie zusätzliche Rechenleistung auf Client- und Serverseite.
Aktuelle WLAN-Geräte besitzen Hardware-Beschleuniger, mit denen die Ver- und Entschlüsselung der Nutzerdaten
während einer Verbindung in Echtzeit ohne spürbare Verzögerung oder auffällige Netzlast erfolgt. Auch die clientseitige
Erstellung von Schlüsseln stellt mittlerweile durch die ausreichende Rechenleistung keine bemerkenswerte Beeinträchtigung
dar.
Die Verzögerungen bei Verbindungen über EAP/802.1X oder WPA beruhen deshalb hauptsächlich auf der Zeit, die Client
und Server zum Aushandeln der Sicherheitsprotokolle bei der Anmeldung benötigen.
Der ursprüngliche IEEE 802.11 benötigte zum Aufbau einer Datenverbindung zwischen WLAN-Client und AP lediglich
bis zu sechs Datenpakete. Die Standard-Erweiterung IEEE 802.11i besserte Schwachstellen bei der WEP-Verschlüsselungs
aus, verlängerte dabei jedoch den Anmeldeprozess je nach Authentifizierungsmethode um ein Vielfaches.
Diese verlängerte Anmeldezeit des WLAN-Clients am AP ist für nicht zeitkritische Anwendung ausreichend. Für ein
reibungsloses, verlustfreies Roaming eines WLAN-Clients von einem AP zum nächsten (wie es z. B. bei
Voice-over-IP-Anwendungen oder in industriellen Echtzeit-Umgebungen notwendig ist), ist eine Verzögerung von mehr
als 50 ms jedoch nicht akzeptabel.
Methoden wie Pairwise Master Key Caching (PMK Caching), Pre-Authentication, Opportunistic Key Caching (OKC) sowie
der Einsatz von zentralen WLCs zur Schlüsselverwaltung verbessern die Zeit für die Schlüsselaushandlung zwischen
WLAN-Client und AP bei der Anmeldung. Allerdings reicht das immer noch nicht aus, die vergleichsweise lange Zeit für
die Schlüsselverhandlung zwischen WLAN-Client und AP auf ein brauchbares Maß zu begrenzen.
Neben den verbesserten Verschlüsselungs-Protokollen ermöglicht es IEEE 802.11e dem WLAN-Client, eine zusätzliche
Bandbreite beim AP zu reservieren. Auf diese Weise vermeidet der WLAN-Client Unterbrechungen z. B. bei
VoIP-Verbindungen aufgrund von zu hoher Netzlast beim AP. Beim Roaming von einem AP zum nächsten muss der
WLAN-Client diese zusätzliche Bandbreite erneut beim neuen AP reservieren. Die dafür notwendigen zusätzlichen
Management-Frames erhöhen die Anmeldezeit jedoch wieder deutlich.
IEEE 802.11r sorgt dafür, dass sich bewegende WLAN-Clients beim Roaming ohne aufwändige Neuanmeldung und
damit weitgehend störungsfrei von einem AP zum nächsten wechseln können. Das Ziel ist, die Anzahl der Datenpakete
für die Anmeldung am AP wieder auf die vom IEEE 802.11 bekannten vier bis sechs Pakete zu verringern.
Wie beim Opportunistic Key Caching (OKC) existiert eine zentrale Schlüssel-Verwaltung, sinnvollerweise in Form eines
WLCs, der die angeschlossenen APs mit den entsprechenden Anmeldedaten der WLAN-Clients versorgt. Im Gegensatz
zum OKC kann der WLAN-Client beim Fast Roaming jedoch erkennen, ob der AP 802.11r beherrscht.
Die vom WLC verwalteten APs senden als Kennung das sogenannte "Mobility Domain Information Element (MDIE)" aus,
das den WLAN-Clients im Empfangsbereich u. a. mitteilt, welcher "Mobility Group" der AP angehört. Anhand dieser
Gruppenkennung erkennt der WLAN-Client, ob er derselben Domain angehört und sich somit ohne Verzögerung anmelden
kann. Diese Mobility Domain hat der WLAN-Client während der ersten Anmeldung an einem AP mitgeteilt bekommen.
Die Domain-Kennung sowie spezielle, bei der Erstanmeldung generierte und an alle verwalteten APs übertragenen
Schlüssel verringern die Verhandlungsschritte bei der Neuanmeldung bei einem AP auf die angestrebten vier bis sechs
Schritte.
817
Werbung
Inhaltsverzeichnis
