Cisco 9800 Roam Type 802.11i Slow vs 802.11i Fast vs 802.11r

-

Hello, in this entry I initially though about explaining and comparing 802.11i roaming versus 802.1X with FT roaming, but then I though it may be more interesting to follow the process as seen from the Cisco 9800 WLC and DNAC, that is where I configured the packet captures, so I´ve been re-arranging the post several times. Also, we can check when the cisco 9800 WLC will show the roam type as 802.11i Slow, 802.11i Fast or 802.11r. 

Capturing Packets with Cisco DNA Center (Catalyst Center)


This are the steps followed to get the captures on this post:

1.- From any tab on DNA Center, click the search button and type the MAC address you want to capture
2, 3.- Click on it and go to Client 360
4.- Once in Client 360, click on "Intelligent Capture"

5.- In the Intelligent Capture page for the selected device, click on "Run Packet Capture" 
6.- A new tab will open, and there you can choose to do a Full Packet Capture or an Onboarding Packet Capture, program the capture or run now, and the duration of it

7.- If you have multiple Wireless Controller, you must verify if the correct one is choosen. In case it is not, select it, and scroll down to save your selection.

Enabling the Capture can take up to 9 minutes, so, bear this in mind if you are trying to coordinate the tests with a field engineer


After a while, the capture will be enabled for the duration selected in step 6. You can stop the capture earlier if you want by clicking "Stop Live Capture"

Once the capture is enabled, you will be able to see the onboarding events followed by a "PCAP", and those are the downloadable files




WPA2 PSK Roaming --> 802.11i Slow Roam

Lets start following a barcode scanner roaming through 3 APs:

   

I was not actively troubleshooting any device and I just randomly picked up a device to follow, so although in the previous image I´m writing association as the second step of the first roam, it actually was already roaming, and as can be seen in the following packet capture, it was coming from AP-22: 


That second step on the association to AP-039 would actually have been an association if the STA was not previously associated to the same ESSID.

On the capture we can see the process for a 802.11i association, where happens 3 steps:
1.- Open Authentication
2.- Association (or re-association)
3.- EAPoL or the 4 Way Handshake


On the 9800 we can wee the Mobility history as per below showing Roam Type "802.11i Slow":


Unfortunately, I didn´t made an screenshoot of the DNAC Client 360 Onboarding events for this capture, but it would show something very similar to this:

The STA needs to go through the full process of Authentication, Association (or re-association) and the 4-way Handshake every time.


WPA2 Enterprise Association

When using WPA2 Enterprise authentication, prior to the EAPoL 4 Way Handshake, we need to go through the 802.1X authentication as per below:

We can the see 802.1X process followed by the EAPoL in the packet capture below:


As you can see, for this client takes almost a whole second from the open authentication message 1 to the EAPoL M4

WPA2 Enterprise Roaming with FT

You have to be carefull with the configuration. In the 9800 WLC you have enable Fast Transition and FT+802.1X also. In case you don´t enable both like in the below:



The roam will not pass through the 802.1X authentication each time, but it will need to go through the EAPoL, and the results will be as follows, with the 9800 WLC showing the Roam Type as 802.11i Fast:





As soon as you enable both Fast Transition and FT+802.1X in your Cisco 9800 WLC, the roaming will work as intended in 802.11r. Here is what you would see in DNA Center:
As you can see, the roaming times are reduced below 10ms and in the packet capture would look like this:


In this scenario, the 9800 WLC will show the Roam Type as "802.11r"


When comparing both a 802.11i slow roam or a 802.11i fast roam, we can see around 30ms to 40ms, while a 802.1X + FT roam is normally below 9ms.


Wrapping up



So a initial authentication and roaming when using WPA2 Enterprise with FT enabled, should look like this:


And the mobility domain in the column MD Id (Mobility Domain ID) can be found in the 9800 WLC CLI:

And to finish up, lets see how the data correlates to the Cisco DNAC, the 9800 WLC and a packet capture:



I hope this helps ;)



Comentarios

Publicar un comentario

Entradas populares de este blog

Captura de paquetes desde el móvil con ANALITI

-
Imagen
  Hola, en el blog de hoy, tan solo una pequeña tontería que espero pueda servir de ayuda. Hace unos días, el compañero Luis Giménez del grupo de Tesos de Ferney Muñoz comentó las virtudes de una APP llamada ANALITI Tiene características muy interesantes, y entre ellas que puedes crear un flujo en "tiempo real" de capturas de paquetes a wireshark o cloudshark, la cual, además puede ser utilizada en programas como WiFiExplorer de Adrián Granados , o, si siguiera activo, en mi añorado WinFi . En cualquier caso, aquí tan solo nos centramos en la recepción remota de paquetes desde el dispositivo que tiene instalado Analiti, que en mi caso, es mi movil. Para ello, solo tienes que ir a la pantalla "Redes" y al seleccionar el simbolo de la aleta de tiburón nos lleva a ajustes y seleccionamos "Enable Real Time PCAPng Streaming" y ahí mismo nos indicará que debemos crear un pipe con el siguiente formato:  TCP@[IP del dispositivo donde tengas Analiti]:19000  Post
Leer más

Configurar Cisco WLC y Aruba Clearpass para Guest con Mac Caching

-
Imagen
Hola,  Este es mi primer blog, y mi primera entrada. No creo que me hubiera lanzado nunca si no fuera por mis amigos Ferney Muñoz y Ulises Cázares que me animaron.  En cualquier caso, comenzamos:   En este escenario, Clearpass tendrá dos puertos, uno de management, y el Data Port que será por el que exista un direccionamiento accesible para los Guests: En cuanto a la WLC, tendrá su management en la misma VLAN que Clearpass, y tendrá una interface para los guest en el mismo direccionamiento que el Data Port de Clearpass, y por último la IP virtual.  Para que funcione correctamente el portal cautivo necesitamos 3 cosas: Configuración en Clearpass Configuración en la WLC Cisco Correcta resolución de FQDN de los equipos anteriores. Comenzamos precisamente por verificar el último punto   En mi servidor de DNS he configurado una entrada para el Data Port de Clearpass, y otra entrada para la IP Virtual de mi WLC. Tanto en la WLC como en el Clearpass he cargado un certificado Wildcard válid
Leer más

Captura de paquetes con Switches y WLCs Cisco series 9000

-
Imagen
Hoy comparto una guía muy sencilla de como realizar capturas de paquetes en un switch o WLC Cisco de las series 9000. Realmente se trata del mismo proceso que en equipos algo más antiguos, pero con el nuevo UI de Cisco se simplifica mucho. Preparar una captura básica: Si queremos capturar todo el tráfico en uno o varios interfaces sin un filtrado complejo, directamente haremos: Ir a Troubleshoot → Packet Capture Definimos un nombre para la captura De la lista desplegable, seleccionamos no filtrar (any) o un filtro muy básico basado en IPv4 o IPv6 Definiremos un tamaño de buffer Y seleccionaremos las interfaces en las que queremos hacer capturas Preparar una captura definiendo origenes, destinos y puertos específicos: Accediendo mediante SSH al switch, definiremos una ACL con los parámetros necesarios (en el ejemplo, solo se han definido IP de origen y destino) Definimos un nombre para la captura De la lista desplegable, seleccionamos ACL, y nos aparecerá un desplegable con las ACL disp
Leer más