Inter Access Point Protocol (IAPP)

Da das Public Spot-Modul als eine "schaltbare" transparente Brigde implementiert ist, benötigen Clients keine neue IP-Adresse, wenn sie zu einem neuem Access Point roamen; offene Verbindungen werden daher auch nicht getrennt. Daraus ergibt sich allerdings die Anforderung, dass sich ein einmal authentifizierter Client nach dem Roamen zu einem anderen Access Point nicht erneut authentifizieren braucht. Die Authentifizierungsinformationen sollten also vom alten zum neuen Access Point mitgenommen werden.

Um Informationen über die roamenden Clients auszutauschen, verwenden Access Points deshalb das sogenannte Inter Access Point Protocol (IAPP): Wann immer ein WLAN-Client zu einem anderen Access Point wechselt, hat er die Möglichkeit, dem neuen Access Point mitzuteilen, mit welchem Access Point er vorher verbunden war. Diese Information erlauben – zusammen mit den regulären Hello-Paketen aus dem Ethernet-Backbone – dem neuen Access Point, den alten Access Point über den Wechsel zu informieren. Der alte Access Point kann daraufhin den Client aus seiner Stationstabelle austragen und die Übergabe bestätigen.

Sollte ein Client für die Verbindung zum neuen Access Point das entsprechende Reassociate-Paket nicht verwenden, sendet der neue Access Point eine Multicast-Übergabeanfrage über den Backbone, statt die Anfrage direkt an den alten Access Point zu richten. Daher funktioniert eine Übergabe auch für Clients, die das IAPP nicht unterstützen.

Die Hauptaufgabe des IAPPs in einem WLAN ist, den alten Access Point anzuweisen, keine Pakete mehr an den entsprechenden Client in seinem Funkbereich zu senden, weil dieser sie nicht mehr empfängt. Ein solches Verhalten könnte andernfalls (aufgrund der Beschaffenheit des 802.11-Frame-Austausch-Protokolls) zu Beeinträchtigungen der anderen mit ihm verbundenen Clients führen.

Wenn das Public Spot-Modul verwendet wird, dient der Kommunikationskanal, den das IAPP liefert, als Übertragungsmedium für Sitzungsinformationen über die WLAN-Clients. Immer dann, wenn ein Access Point eine Übergabeanfrage für einen seiner Clients erhält und für diesen Client über Sitzungsinformationen in seiner Stationstabelle verfügt, leitet er diese Informationen an den anfragenden Access Point weiter. Diese Information beinhalten:

Nach erfolgreicher Übergabe beendet der alte Access Point die Sitzung; d. h. er sendet im Falle von RADIUS-Accounting eine Accounting-Stop-Anfrage an den RADIUS-Accounting-Server. Diese ist erforderlich, da ein RADIUS-Server die NAS-Identifizierung nutzen kann, um Anfragen bestimmten Sitzungen zuzuordnen, und er diese Anfragen nicht mehr der richtigen Sitzung zuordnen kann, sobald er die Datenpakete zu einer Sitzung von mehreren Geräten bekommt. Wenn ein Access Point diese Informationen in einer Übergabeantwort erhält, markiert er den Client sofort als authentifiziert und startet nach Möglichkeit eine neue RADIUS-Accounting-Session.

Anmerkung: Beachten Sie, dass der neue Access Point einen entsprechenden Eintrag in seiner Anmelde-Server-Liste benötigt, um die hierfür benötigten Informationen zu erhalten. Der für das Public Spot-Modul spezifische Teil einer Übergabeantwort ist durch ein "shared secret" geschützt, welches im Setup-Menü unter Public-Spot-Modul > Roaming-Schluessel. Diese Sicherheitsmaßnahme soll das Fälschen von Übergabeantworten verhindern. Ohne ein konfiguriertes Passwort hängt ein Access Point die oben angeführten Informationen nicht an eine Übergabeantwort an, was den Client zwingt, sich erneut zu authentifizieren.

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo