[MUSIC] Hola, ¿qué tal? Bienvenida o bienvenido a este entrenamiento de Aruba Mobility Essentials. Mi nombre es Ricardo Cobos y estoy por comenzar la parte dos tres que es roaming. Cuando un cliente se asocia por primera vez a una red inalámbrica, este lo hace a través de un intercambio de frames de management. En pocas palabras, tramas de gestión. Y la primera trama que él normalmente recibe es una serie de beacons. Los beacons son frames que son comunicados o enviados por el access point, el cual dicen cuál es el nombre de la red. Y cuál es el BSSID del radio a través del cual se está propagando el beacon. En otras palabras, si aquí nosotros tenemos a nuestra computadora, vamos a decir una laptop o, mejor aún, nuestro iPhone, ¿sí? Vamos a incrementar el tamaño, hacerlo 80. Perfecto, entonces aquí tenemos nuestro teléfono y él inicialmente va a escuchar estos beacons, ¿sí? Los beacons realmente van a incluir la información que está contenida aquí, que es el nombre de la red y el BSSID de esa red en el radio del access point. ¿Vale? Ahora, con esta información, el cliente es capaz de empezar a intercambiar tramas y decir, me quiero asociar contigo. Él realmente va a enviar una serie de mensajes que nosotros llamamos authentication request. De hecho, le voy a cambiar el color. Authentication request y después, él va a recibir un authentication reply. Por esa razón, voy a poner una flecha bidireccional, authentication request/reply. Y después, él va enviar una serie de tramas que son el association request. Y association reply, es lo que él va a recibir del access point. Es importante entender que el intercambio de mensajes de autenticación no realmente incluyen autenticación como tal. Es simplemente un intercambio de mensajes que no tiene mucho contenido, pero es parte del protocolo. Entonces, si nosotros resumimos este proceso el cliente descubre la red inalámbrica a través de los beacons. Y después decide asociarse a ella a través del intercambio authentication request/reply y association request/reply. Ahora, importante entender que una vez que él hace eso, dependiendo si tenemos autentificación de capa dos o no, por ejemplo, 802.1x. Él tendría ahora que sí realmente autenticarse con credenciales. Y posterior a eso si la autentificación es satisfactoria y es lo mas importante que viene a continuación, de todas maneras pondré aquí 802.1x. Lo que es más relevante para nosotros en este momento es el intercambio de mensajes de DHCP. Porque obviamente el cliente, una vez que se haya asociado y se haya autenticado, él va a querer intercambiar mensajes de DHCP para obtener una dirección IP. Finalmente, el cliente va a completar esta conexión a la red. Y entonces podrá tener acceso a los recursos internos. Sin embargo, los clientes no son fijos, ellos se van a mover, ellos se van a estar moviendo. El usuario va a estar caminando al rededor del piso, probable suba al piso superior o al piso inferior. El punto es que él va a hacer esta acción de roaming, ¿vale? Y si nosotros tenemos una red inalámbrica implementada de manera correcta, el cliente va, en un momento dado, salirse del basic service set o del BSA, del basic service area, del primer access point. Y entrar al basic service area del segundo. Una buena implementación de red va a tener estos basic service areas o estas células de cobertura sobrepuestas. De tal manera que uno pueda entrar a la siguiente sin dejar de estar en la anterior. Y esto va a permitir un proceso de roaming suave o ligero. Esto quiere decir que él podría moverse de un access point para otro sin que realmente lo percibiera el cliente. Al final del día, es importante entender lo siguiente. No hay ningún estándar que le diga al cliente cómo él tiene que hacer o cuándo tiene que hacer este suicheo entre un access point y otro. Esa va a ser al final del día responsabilidad del cliente y decisión del cliente de cuándo lo haga. Normalmente lo hace basado en factores como la intensidad de la señal, el signal-to-noise ratio o un incremento en los errores. Y esto es una consecuencia obvia de alejarse del primer access point en el cual estamos asociados. En otras palabras, cuando este cliente se conecta por primera vez y después se aleja. Va a llegar un momento donde el cliente va a determinar o hay muchos errores en las tramas que yo estoy intercambiando con ese access point, con el access point de la izquierda. Y también veo que la intensidad de la señal de los mensajes que él me envía es muy débil. Realmente, no es muy conveniente. Pero resulta que hay otro access point con otro basic service area o otra célula de cobertura a la cual yo me podría asociar, porque resulta que es de otro access point. Tiene el mismo nombre de red pero un BSSID diferente. Entonces, el cliente va a determinar que es mejor unirser al access point de la derecha que seguir conectado al de la izquierda, ¿vale? Entonces, el proceso de roaming no es otra cosa más que moverse de un basic service set a otro. O del access point que está ofreciendo cobertura en un basic service area a otro, siempre y cuando los dos estén dentro del mismo extended service set. O en otras palabras, que estén propagando la misma red inalámbrica con el mismo nombre. Y con las mismas características de seguridad, que son autenticación y cifrado. Entonces, cuando el cliente vea, me doy cuenta de que hay un access point que está propagando la misma red, con las mismas características. Y con una intensidad de señal mejor, parece ser un mejor candidato para que yo siga conectado a la red. En ese momento es cuando el cliente hace el cambio de un AP a otro. Primero, se va a desasociar del anterior y reasociar al otro. Y esta transición es verdaderamente rápida. De hecho, dura no más de 30 milisegundos, eso quiere decir que es imperceptible para el usuario. De hecho, si está perfectamente bien implementada, el usuario no se daría cuenta. Él realmente simplemente se movería de un access point a otro. Obviamente, hay una serie de características que deben ser consideradas, en nuestra red cableada sobre todo, para que el cliente no note esta transición. Por ejemplo, que cuando él se esté moviendo al access point de la derecha, siga estando en la misma VLAN y, obviamente, en el mismo segmento IP. De tal manera que, aunque él esté enviando nuevas tramas de autenticación y de asociación, ¿sí? Esto es lo que él tendría que enviar para moverse a la derecha, una serie de tramas de authentication request/replay, association request/replay. Sería muy importante que él no tuvier aque reautenticarse. Esto es algo que no siempre es verdad. Nosotros tendríamos que estar seguros de que la implementación fue hecha de una manera adecuada para evitar que el cliente tenga que volver a ejecutar la autenticación. Y después también tendríamos que estar seguros que el cliente no esté siendo colocado en una VLAN diferente. Y, por consecuencia, su dirección IP anterior you no sea válida, lo cual lo forzaría a negociar DHCP nuevamente. Si ese es el caso, obviamente el cliente va a notar la transición, porque va a haber un momento donde su tráfico va a empezar a fallar. Los mensajes que le envíe a la red van a empezar a fallar. Y esta reautenticación y renegociación de dirección IP le va a hacer a la conexión que está entablando su aplicación caerse y tenerse que reestablecer. Es ahí cuando el cliente lo notaría, cuando el usuario final lo notaría. Sin embargo, si nosotros tenemos certeza de que la implementación de red fue adecuada. Y que los dos access points están, de alguna manera, coordinando las llaves de cifrado que fueron utilizadas durante la primera autenticación, la autenticación de la izquierda. Es decir, si estos access points de alguna manera están compartiendo lo que nosotros llamamos PMK, o pairwise master key, que es la llave resultado de la autenticación de 802.1x, ¿sí? Como resultado de esta autenticación se generó esta llave. Y si esta llave viene compartida del access point uno al access point dos. Y aparte, nosotros sabemos que la VLAN en la cual será colocado el usuario en el access point de la derecha es la misma que la que estaba en la izquierda. Entonces, él no necesitaría ni renegociar autenticación, ni renegociar asignación de dirección de IP. Y este roaming sería de manera transparente. Espero que te haya gustado el video, que te haya gustado la explicación. Te voy a ver en la siguiente parte, parte uno cuatro, donde hablaré de arquitectura de red inalámbrica. Muchas gracias por tu tiempo. [MUSIC]
