💭 Jeremys Brain

Wifi-Access-Roaming

4 min read

Wi-Fi-Anmeldung und Roaming: Ein technischer Leitfaden

1. Wi-Fi-Anmeldung

Der Prozess der Wi-Fi-Anmeldung beginnt, wenn ein Gerät (Client) eine Verbindung zu einem drahtlosen Netzwerk herstellen möchte. Dieser Vorgang umfasst mehrere Schritte, um eine sichere und zuverlässige Verbindung zu gewährleisten.

Scannen nach Netzwerken

Passives Scannen

Der Client lauscht auf Beacon-Frames, die von Access Points (APs) regelmäßig ausgesendet werden. Diese Frames enthalten wichtige Informationen über das Netzwerk, wie die Service Set Identifier (SSID), unterstützte Datenraten und Sicherheitsmechanismen.

Aktives Scannen

Der Client sendet Probe Requests an alle verfügbaren Kanäle. APs antworten mit Probe Responses, die spezifische Netzwerkdetails enthalten. Dies ermöglicht dem Client, eine Liste potenzieller Netzwerke zu erstellen.

Auswahl eines Netzwerks

Der Client bewertet die gefundenen Netzwerke basierend auf:

  • Signalstärke (RSSI): Bevorzugt werden Netze mit höherer Signalstärke.
  • Kanalbelegung: Auswahl von APs auf weniger frequentierten Kanälen zur Reduzierung von Interferenzen.
  • Sicherheitsprotokollen: Präferenz für Netzwerke mit unterstützten und vertrauten Sicherheitsstandards.
  • Unterstützte Features: Berücksichtigung von QoS, VoIP-Unterstützung usw.

Authentifizierung

Der Authentifizierungsschritt stellt sicher, dass nur autorisierte Clients Zugriff auf das Netzwerk erhalten.

  • Offene Netzwerke: Es erfolgt keine Authentifizierung; der Client sendet eine einfache Anfrage.
  • Gesicherte Netzwerke:
    • WPA2/WPA3-Personal: Verwendung eines Pre-Shared Key (PSK) für die Authentifizierung.
    • WPA2/WPA3-Enterprise: Einsatz von 802.1X Protokollen wie EAP-TLS, EAP-TTLS unter Nutzung von RADIUS-Servern.

Assoziierung

Nach erfolgreicher Authentifizierung sendet der Client einen Association Request an den AP, um die Verbindung zu etablieren. Der AP bestätigt mit einem Association Response, und der Client erhält eine Association ID (AID).

4-Wege-Handschlag (bei gesicherten Netzwerken)

Dieser Prozess generiert die Schlüssel für die Verschlüsselung des Datenverkehrs.

  1. ANonce: Der AP sendet eine zufällige Nummer an den Client.
  2. SNonce und PTK-Berechnung: Der Client generiert eine eigene Nonce (SNonce) und berechnet den Pairwise Transient Key (PTK).
  3. Installation des PTK: Beide Parteien installieren den PTK und bestätigen dies gegenseitig.
  4. Gruppenschlüsselverteilung: Der AP sendet den Group Temporal Key (GTK) an den Client für Broadcast- und Multicast-Kommunikation.

IP-Adresszuweisung

Der Client initiiert einen DHCP-Anfrageprozess, um eine IP-Adresse und Netzwerkparameter wie Subnetzmaske, Gateway und DNS-Server zu erhalten.

Datenaustausch beginnt

Mit einer zugewiesenen IP-Adresse und etablierten Verschlüsselung kann der Client nun sicher Daten über das Netzwerk senden und empfangen.

2. Wi-Fi-Roaming

Wi-Fi-Roaming ermöglicht es dem Client, sich innerhalb eines Netzwerks von einem AP zu einem anderen zu bewegen, ohne die Verbindung zu verlieren.

Signalüberwachung

Der Client überwacht kontinuierlich die Signalstärke (RSSI) des aktuellen APs. Fällt die Signalqualität unter einen definierten Schwellenwert, initiiert der Client den Roaming-Prozess.

Scannen nach neuen APs

Der Client führt ein Hintergrundscannen durch, um alternative APs im gleichen Netzwerk (SSID) zu identifizieren. Dies erfolgt häufig auf anderen Kanälen, ohne die aktuelle Verbindung zu unterbrechen.

Auswahl eines neuen APs

Der Client wählt einen AP basierend auf:

  • Höherer Signalstärke
  • Geringerer Auslastung
  • Unterstützten Technologien (z. B. 802.11ac/ax)

Authentifizierung und Assoziierung mit dem neuen AP

Fast Transition (FT) mit 802.11r

Mit 802.11r wird der Roaming-Prozess optimiert:

  • Vorkonfigurierte Schlüssel: Der Client und der neue AP verwenden bereits bekannte Schlüssel, was die Notwendigkeit eines vollständigen 4-Wege-Handschlags eliminiert.
  • Reduzierte Latenz: Der Übergang erfolgt in Millisekunden, ideal für latenzsensitive Anwendungen.

Ohne 802.11r

  • Reauthentifizierung: Der Client durchläuft den vollständigen Authentifizierungsprozess inkl. 4-Wege-Handschlag, was zu Verzögerungen führen kann.

Deassoziation vom alten AP

Der Client sendet eine Deauthentication- oder Disassociation-Nachricht an den alten AP, um die Verbindung ordnungsgemäß zu beenden.

Kontextübertragung (optional)

In Netzwerken mit zentralen WLAN-Controllern werden Sitzungsschlüssel und Authentifizierungsinformationen zwischen den APs ausgetauscht, um nahtloses Roaming zu unterstützen.

Fortsetzung des Datenverkehrs

Nach erfolgreicher Assoziierung setzt der Client die Datenübertragung über den neuen AP fort, ohne dass Anwendungen eine Unterbrechung bemerken.

Optimierungen für Roaming

Band Steering

APs und Controller lenken Dual-Band-fähige Clients aktiv auf das 5-GHz-Band, um die Überlastung des 2,4-GHz-Bands zu reduzieren und eine höhere Gesamtleistung zu erzielen.

Load Balancing

Durch Lastverteilung werden Clients gleichmäßig auf verfügbare APs verteilt, um Engpässe zu vermeiden und die Netzwerkleistung zu optimieren.

RSSI-Schwellenwert

Die Konfiguration von RSSI-Schwellenwerten stellt sicher, dass Clients frühzeitig zum nächstgelegenen AP wechseln, bevor die Signalqualität kritisch wird.

802.11k und 802.11v Unterstützung

  • 802.11k: Ermöglicht dem Client, eine Nachbarschaftsliste von APs zu erhalten, um den Scanaufwand zu reduzieren.
  • 802.11v: Bietet dem Client Netzwerkassistenz, wie z. B. Empfehlungen für den optimalen AP basierend auf Netzwerklast und Signalqualität.

Tags:Wi-FiWLANNetzwerktechnik #80211AuthentifizierungRoaming80211rNetzwerkoptimierungWirelessIT-Infrastruktur

Networking-Overview

Graph View