企業の無線ネットワークは多くのAPを配置し、無線端末はAP間をローミングしながら通信を行っています。
無線ネットワークにおいても音声や動画が流れることが一般となっており、ユーザにとってはローミング中に会話が途切れるとかVideoが中断するとなったとすると使い勝手が悪く感じてしまうかもしれません。
これから2回に渡ってMeraki MRでサポートされている高速セキュアローミングの技術に関して簡単にまとめたいと思います。
PMKキャッシング
PMKキャッシングはIEEE802.11iで定義されいます。SKC(Sticky Key Caching)とも呼ばれています。
クライアントが別のAPにローミングする際、ローミング元で使用していたPMK(Pairwise Master Key)の情報を破棄して新しいAPへとローミングしますが、PMKキャッシングはその名前の通りPMKをキャッシュしたままにします。
クライアントが過去にアソシエーションしていたAPに戻ってきた場合にはPMKはキャッシュされているのでその情報を使って再アソシエーションすることによって手順を簡略化することができます。
実際にはローミング時ReassociationにてPMKから生成したPMKIDをクライアントから送信し、AP内の情報とマッチするかで判断されます。
この方式はIEEE802.11iで標準化されているものの多くのデバイスが対応しているわけではありません。それは同じ高速セキュアローミングを目的としているIEEE802.11rが定義されているためです。
また、キャッシュされていないAPへの初回ローミングにおいては高速ローミングは実現できません。
PMKの情報をキャッシュするという仕組みであることから大規模なWLAN環境における導入は現実的では無く、Cisco WLANコントローラーにおける環境では1クライアントにつき8台のAPの情報までがキャッシュ対象となっています。9台目のAPにローミングした際には一番古いキャッシュが削除されていきます。
初回アソシエーション時には意味が無いこと、8台のAPへのローミングにしか対応しないことにより企業WLANにおいては有効な手法では無くなってきました。
こう言った事情もあり、大規模WLAN環境を想定しているCatalyst9800(IOS XE)においてはSKCは未サポートな機能となりました。
OKC(Opportunistic Key Caching)
上記のPMKキャッシングを拡張したものです。PMKキャッシングにおいて課題であったAPへの初回アソシエート時には有効では無かった仕組みを改善しています。
クライアントがAPにアソシエートした際に同一Network上に存在するAPに予め共有します。
これによりクライアントが初めてアソシエートするAPに移動する場合においても、高速にローミングを行うことが可能になります。
この方式の欠点はIEEE等で標準化されていないということです。標準化されていないので実装されている端末は多くは無いようです。
まとめ
Meraki MRにおいては上記のPMKキャッシング(SKC)とOKCが標準で有効になっています。
しかしながら上記の通りそれぞれの方式には課題もありメジャーな高速セキュアローミングの技術とはなっていません。
次回は高速セキュアローミングの大本命であるIEEE802.11rについてまとめたいと思います。
