前回の記事ではMeraki MRがサポートする高速セキュアローミングの技術であるPMKキャッシング(SKC)とOKCについて簡単にまとめました。
今回は標準規格であるIEEE802.11rについて簡単に解説します。
IEEE802.11rについて
IEEE802.11rはFT(Fast Transition)とも呼ばれています。
SKCやOKCはPMKをキャッシュ(もしくは共有)する仕組みとなってましたが、802.11rはクライアントがローミング前にローミング先のAPと予め初期ハンドシェークが行われPMKが計算できるようになるためローミングにおける手順を簡略化することが可能になります。
クライアントがローミングするためのメッセージ交換は、クライアントが直接ローミング先のAPと通信を行うOver-the-Air方式と、ローミング元のAPを介して通信を行うOver-the-DS方式があります。
IEEE802.11rの動作モードについて
PMKキャッシュの課題点を克服しIEEEとして標準化した802.11rですが、これはこれで問題を抱えています。
802.11rをSSIDで有効にすると、802.11r未サポート端末がそのSSIDにアソシエートできなくなるという問題を抱えています。
Meraki MRで設定される各モードについてまとめておきます。
802.11r : Disable
このモードは802.11rをOFFにします(デフォルト設定)。
Beacon等における情報に鍵管理としてPSKやWPA2等の情報が入れられるため802.11r機能は利用できなくなります。
802.11r : Enable
802.11rを有効にします。
Beacon等の情報に鍵管理としてFTが通知されます。
802.11r未対応の端末はこのSSIDではアソシエーションができなくなってしまいます。
802.11r : Mixed(Cisco WLCのみ)
上記のEnableモードにおける制限を改善するために鍵管理としてFTとPSK(WPA2)の両方が通知されるようになります。
これにより802.11r対応、未対応端末共にアソシエーション可能となる(はず)です。
クライアントの実装によっては上記の2つの情報が入っている事をエラーと認識してしまう場合もあります。Mixedモードを検討している場合はクライアントの無線ドライバを最新に更新しておく等事前準備が必要になるかもしれません。また、最新のドライバにおいても改善しないこともありますので注意が必要です。
正しくアソシエーションできれば、802.11r対応デバイスは高速セキュアローミングが有効となり、未対応デバイスは通常のローミングでの動作となります。
802.11r : Adaptive
Mixedモードにおいても問題を抱えており手放しに802.11rの有効化することは出来ないのが実情です。
Cisco社とApple社とのアライアンスにより11rの機能拡張を行い独自のネゴシエーションを行うことが可能となりました。
Beacon等における情報においてはFTの情報は通知しないものの、Apple端末はCisco(Merakiを含む)のWLAN Infraを認識すると11rを有効にする事を実現しています。
まとめ
多くの企業においては必ずしも新しい無線端末のみが接続されるわけでは無く、古い端末も接続を行う事を要求されます。
無線ドライバの更新を行うことによってMixedモードでの対応が可能になる場合もありますがドライバの提供が終了している物もあると思いますので簡単に解決しないことも多いです。
そのような場合においては11rを有効・無効にしたSSIDをそれぞれ作成しクライアント側で使い分ける運用をされている企業も多くあるようです。
