Заметка сотрудника консорциума GÉANT об использовании SSID “eduroam” при работе с точками доступа, поддерживающими стандарт беспроводных сетей Wi-Fi 6E
На официальном сайте проекта eduroam опубликована заметка Karl Meyer, сотрудника общеевропейского научно-образовательного сетевого консорциума GÉANT, посвященная вопросам работы сервиса в диапазоне 6 ГГц новейшего стандарта Wi-Fi Certified 6E.
Wi-Fi Certified 6E вносит значительные изменения, в частности, в отношении вопросов безопасности и отсутствия обратной совместимости. Ряд экспертов предлагают использовать другой SSID в диапазоне 6 ГГц в сравнении с существующими диапазонами 2,4 и 5 ГГц.
После тщательного анализа ситуации eduroam рекомендует сервис-провайдерам продолжать использовать SSID “eduroam” и в диапазоне 6 ГГц. Несмотря на то, что введение режима WPA3 Transition Mode / опциональных защищенных фреймов управления (Protected Management Frames, PMF), в принципе, является хорошим шагом в направлении повышения безопасности, развертывание не должно совпадать с введением нового диапазона с изменениями в существующих диапазонах, касающимися режима перехода WPA3-Enterprise или изменений в PMF.
Рекомендации против 192-разрядной защиты WPA3-Enterprise (см. https://eduroam.org/eduroam-and-wpa3/) остаются неизменными также и в диапазоне 6 ГГц.
Ожидается, что точки доступа, поддерживающие Wi-Fi 6E, будут также предоставлять услуги в диапазонах 2,4 и/или 5 ГГц, так что существующие клиентские устройства без поддержки 6E продолжают получать покрытие Wi-Fi. НЕ РЕКОМЕНДУЕТСЯ развертывать eduroam исключительно в диапазоне 6 ГГц.
Обоснования:
В отношении “no distinct SSID”: большинство наиболее разрушительных изменений в новой полосе частот 6 ГГц, которые делают отдельный SSID полезным вариантом, относятся к режимам более низкой безопасности (а именно сети “без аутентификации”, которые переходят от передачи открытого текста к передаче данных; и “личная” безопасность, которая переходит от PSK к SAE). Изменения на высочайшем уровне (а именно WPA-Enterprise, в котором работает eduroam) гораздо менее разрушительны – с той лишь разницей, что PMF теперь обязательны. Ранние эксперименты с Wi-Fi 6E на том же SSID, что и 2,4/5 ГГц, показали, что единственным существенным недостатком, которого следует ожидать, является то, что бесшовный роуминг между диапазонами может оказаться невозможным (т.е. клиенты могут испытывать несколько секунд сбоя сетевого подключения при переключении между радиодиапазонами). Сервис-провайдеры должны иметь в виду, что зона покрытия точки доступа на частоте 6 ГГц может быть немного меньше, чем на частоте 5 ГГц.
Что касается PMF / WPA3 Transition Mode в диапазонах 2,4 и 5 ГГц: специалисты eduroam ранее исследовали PMF и их возможную несовместимость со старыми клиентскими устройствами, когда WPA3-Enterprise впервые стал опцией на Wi-Fi 5, и пришли к выводу, что крайне редко PMF-неосведомленный клиент не может взаимодействовать с точками доступа, которые объявляют PMF поддерживаемыми, но необязательными. Подавляющее большинство клиентских устройств без поддержки PMF будут подключаться к таким точкам доступа без проблем. Вне зависимости от Wi-Fi 6E, сервис-провайдеры могут рассмотреть возможность поддержки дополнительного режима перехода PMF или WPA3-Enterprise в своем собственном темпе.
В отношении несовпадения изменения Wi-Fi 6E с опциональным режимом PMFs/WPA3-Enterprise Transition: оба этих изменения в структуре сети у сервис-провайдера вносят свои собственные наборы возможных несовместимостей в редких случаях. Чтобы помочь в поиске неисправностей и отладке пользовательских проблем, считается наиболее разумным вносить по одному изменению за раз и оставлять достаточно времени между ними, чтобы можно было соотнести проблемы с причинами.
Операционная команда eduroam продолжит отслеживать отчеты о развертывании на предмет возможных непредвиденных несовместимостей в будущем. Это консультативное заключение будет при необходимости пересмотрено.