Wireless Roaming
Il wireless offre alle aziende numerose opportunità che portano una maggiore flessibilità e produttività. La controparte è la sicurezza e la complessità tecnica.
La sicurezza può essere trattata con adeguate procedure di autenticazione, di accesso e di isolamento del traffico, e tracciamento degli eventi..
La complessità è dovuta alla implementazione dei meccanismi di autenticazione, di definizione del traffico e la necessità di fornire servizio continuo anche nei casi in cui l’accesso è da parte di dispositivi mobili (telefoni, iPad, notebook, sistemi di trasporto di fabbrica, come carrelli equipaggiati di terminali).
Garantire la connettività a mezzi mobili all’interno o all’esterno dei fabbricati, per quanto utile, non è sempre semplice. Quando l’area da coprire è ampia occorrono più celle, diversi access point (AP).
Le celle devono essere dislocate opportunamente e operare su frequenze differenti per evitare interferenze sul canale radio. La tecnologia più diffusa, funzionante in banda 2,4 GHz, presenta la minore disponibilità di canali non sovrapposti. Il movimento da una zona all'altra deve garantire continuità della connessione al passaggio da una cella all’altra o, perlomeno, consentire la commutazione di cella in tempi predefiniti e sufficientemente brevi.
Il client che decide di migrare da una cella ad una adiacente deve negoziare alcuni parametri e riautenticarsi. La decisione di migrare è responsabilità del client, che in base a vari parametri come l’intensità del segnale radio, può decidere di scollegarsi da un AP per utilizzarne uno ritenuto migliore.
La mobilità, associata al cambio di cella e relativi meccanismi è nota con il termine di roaming (termine usato anche nella telefonia cellulare), che può essere suddiviso in roaming, di livello 2 o di livello 3. I livelli citati sono in relazione allo stack di comunicazione.
Nel primo caso, layer 2, i vari nodi (celle o access point) fanno parte di una unica sottorete IP e il passaggio fra celle non prevede il rinegoziare l’indirizzo IP del client. Si dice anche che i nodi fanno parte dello stesso dominio di broadcasting (ovviamente di livello 2).
Nel caso del roaming a livello 3 si considera anche la possibilità che le varie celle non siano parte di una unica sottorete. Le problematiche si complicano, perché un cambio di IP non è compatibile con la continuità del servizio. Una disconnessione del client, dai servizi in uso, è inevitabile al cambio di IP. Occorrono meccanismi che evitino il rinegoziare dell’IP anche muovendosi su connessioni in sottoreti differenti, in genere con meccanismi di tunneling.
Per entrambi i modi esistono standard, ma non ben consolidati e condivisi fra i vari player, procedure e protocolli spesso rivisti in modo proprietario riducendo o impedendo l’interoperabilità fra marchi differenti. Del resto agire in ambito proprietario è ed è sempre stato un modo generare guadagni e utili evitando la concorrenza.
Il roaming a livello 2 è certamente il più frequente e il più semplice da implementare.
Come accennato, il client è responsabile dell’accesso al nodo wireless e del cambio di cella che può essere deciso in base a parametri di intensità del segnale, di bilanciamento di carico, presenza di errori o rapporto segnale rumore (S/N).
Il client è in grado di ‘cercare’ Access Point con vari meccanismi di scansione. La scansione può avvenire in diverse modalità e ricevere informazioni dai nodi. In base alle informazioni ricevute viene presa la decisione di cambio nodo.
Il processo richiede tempo. Con il protocollo TCP, che è connesso, il ritardo e la perdita di pacchetti può essere gestito attraverso le consolidate tecniche di ritrasmissione del protocollo TCP. In applicazioni stateless tipiche del web e protocolli HTTP, i problemi sono minimi perché ad ogni click su un link si crea una nuova connessione.
Maggiori problemi si hanno con il protocollo UDP che non è connesso e non prevede meccanismi di ripristino di eventuali pacchetti persi. UDP è utilizzato da molte applicazioni dove i tempi di risposta sono critici, si tratta delle applicazioni di comunicazione unificata, la telefonia IP, la videosorveglianza e le applicazioni in streaming. Nella telefonia IP, è noto che ritardi superiori ai 100 – 150 mS sono fonti di problemi.
Il cambio di cella di un client wireless, coinvolge l’access point, lo switch al quale l’AP è collegato, e i meccanismi di autenticazione. Il MAC address del client serve per instradare correttamente i pacchetti, dal server, attraverso i vari switch, all’AP al client. Questo instradamento deve essere cambiato al cambio di cella. Il processo più critico resta comunque la autenticazione al nuovo nodo.
L’autenticazione, necessaria per una rete sicura, fa uso del protocollo 802.1x attraverso un servizio RADIUS (o TACACS). Il protocollo WAP/EAP scambia informazioni fra i vari dispositivi e servizi, far cui il RADIUS, richiede un tempo che facilmente supera il secondo, tempo inaccettabile per diverse applicazioni UDP (VoIP e affini).
Per superare il problema si fa ricorso a tecniche di fast switching, fast roaming, fast and secure roaming. Comunque le si chiami devono garantire tempi dell’ordine delle decine di millisecondi.
Come accennato esistono standard come l’IEEE 802.11r dedicati al fast roaming, ma di fatto i vari marchi tendono ad utilizzare propri meccanismi o meccanismi derivati dagli standard e modificati ad hoc. Questo comporta grosso problema di interoperabilità, specie per i dispositivi di networking.
Di fatto tutti i player utilizzano dei controller che possono essere integrati, sotto forma di software, negli switch o dei controller dedicati in grado di gestire le varie operazioni che, in questo modo, non sono più delegati all'Access Point.
Questi controller sono in grado di gestire informazioni utili ai client e necessarie per mascherare la complessità e i tempi di autenticazione.
Il controller, mantiene informazioni relative ai vari AP vicini che aiutano a selezionare il nodo verso il quale migrare. Forniscono meccanismi per ridefinire il precorso del pacchetto, a livello 2, che utilizza il MAC address del client. Allo stesso modo attraverso i controller, possono essere trasferiti eventuali cache di dati presenti nell’AP abbandonato, verso il nuovo nodo.
Banalizzando, i meccanismi di fast authentication fanno ricorso alla gestione delle chiavi per l’autenticazione e la codifica del traffico, nonché a cache delle stesse, il tutto per ridurre il traffico da e per il server RADIUS.
Il roaming a layer 3 si fa più complesso. Ovviamente ai problemi già citati si aggiunge la necessità non cambiare l’indirizzo IP.
Senza entrare in dettaglio i wireless controller fanno ricorso a tecniche di tunneling. Qualcosa di simile ad una VPN. Il client mantiene, nella sua migrazione, l’IP e quindi la connessione con i vari servizi rimane attiva.
Il controller si fa carico di gestire in modo trasparente il tunnel, il traffico con il client e se necessario gestire i contesti di sicurezza e di qualità.