Roaming e Handoff de WiFi: 802.11r e 802.11k Explicados
This guide provides a senior-level technical deep-dive into WiFi roaming protocols — specifically 802.11r (Fast BSS Transition), 802.11k (Neighbor Reports), and 802.11v (BSS Transition Management) — and their combined role in delivering seamless connectivity across enterprise venues. It equips IT managers, network architects, and venue operations directors with the architectural understanding, implementation steps, and business-impact metrics needed to deploy and validate fast roaming in hospitality, retail, events, and public-sector environments. The guide also addresses the critical interaction between roaming and captive portals, a common deployment failure point in guest WiFi networks.
🎧 Listen to this Guide
View Transcript
Resumo Executivo
Para espaços empresariais — hotéis, cadeias de retalho, estádios, centros de conferências — um WiFi contínuo é um requisito operacional fundamental. À medida que os utilizadores se movem num espaço físico, os seus dispositivos devem alternar entre pontos de acesso (APs) sem perder a ligação. Um fraco desempenho de roaming resulta em chamadas VoIP interrompidas, transmissões de vídeo bloqueadas e utilizadores frustrados, impactando diretamente os índices de satisfação dos hóspedes e as métricas de produtividade dos funcionários. A solução reside em três emendas complementares do IEEE 802.11: 802.11k, 802.11v e 802.11r. Em conjunto, formam uma estrutura de assistência ao roaming que confere aos dispositivos clientes a inteligência para tomar decisões de handoff mais rápidas e inteligentes, e fornece à rede as ferramentas para orientar ativamente essas decisões. O 802.11k fornece uma lista selecionada de APs candidatos, eliminando as demoradas pesquisas de canais. O 802.11r (Fast BSS Transition) comprime o handshake de reautenticação de 200–300 ms para menos de 50 ms. O 802.11v permite que a rede encaminhe proativamente os clientes para fins de balanceamento de carga. A implementação correta destas normas — em conjunto com uma plataforma de WiFi para convidados devidamente arquitetada — é o caminho definitivo para a experiência sem fios móvel e de alto desempenho que os ambientes empresariais modernos exigem.
Análise Técnica Detalhada
O Desafio: Roaming Lento e o Problema do Cliente Fixo (Sticky Client)
Numa implementação WiFi padrão sem assistência de roaming, o dispositivo cliente é o único responsável por decidir quando fazer o roaming. O resultado típico é que os dispositivos se mantêm ligados ao seu AP atual durante muito mais tempo do que o ideal, mesmo quando um sinal significativamente mais forte está disponível num AP próximo. Este é o problema do cliente fixo (sticky client), e é endémico em ambientes empresariais onde uma mistura de tipos de dispositivos — smartphones, portáteis, sensores IoT, leitores portáteis — implementam, cada um, os seus próprios algoritmos de roaming com diferentes graus de sofisticação.
Quando o cliente finalmente decide fazer o roaming, tem de concluir um ciclo completo de reautenticação com o novo AP. Numa rede WPA2-Enterprise ou WPA3-Enterprise, isto envolve múltiplas trocas de EAP (Extensible Authentication Protocol) entre o cliente, o AP e um servidor RADIUS de back-end. Este processo pode consumir 200–400 milissegundos. Para aplicações em tempo real — VoIP, videoconferência, pontos de venda móveis — esta latência é inaceitável. O resultado são chamadas interrompidas, imagens de vídeo bloqueadas e transações falhadas.
802.11k: Gestão de Recursos de Rádio e Relatórios de Vizinhos
A emenda 802.11k introduz a Gestão de Recursos de Rádio (RRM), uma estrutura que permite aos APs e aos clientes trocar informações sobre o ambiente de RF. A funcionalidade mais significativa em termos operacionais é o Relatório de Vizinhos (Neighbor Report). Um AP compatível com 802.11k pode responder ao pedido de um cliente com uma lista estruturada de APs vizinhos, incluindo os seus BSSIDs, canais de operação e características de sinal. Isto elimina a necessidade de o cliente realizar uma pesquisa passiva ou ativa em todos os canais disponíveis — um processo que, por si só, pode demorar 100 ms ou mais numa rede multibanda.
O efeito prático é que um cliente que se aproxima do limite da zona de cobertura de um AP já possui uma lista classificada de candidatos a handoff antes de precisar de fazer o roaming. A decisão é tomada com informação completa, e não através de uma pesquisa lenta e cega.
802.11r: Transição Rápida de BSS (FT)
O 802.11r é a pedra angular do roaming rápido. A sua principal inovação é a pré-distribuição de material de chaves pelos APs dentro de um Domínio de Mobilidade definido. Quando um cliente se autentica pela primeira vez numa rede com 802.11r ativado, estabelece uma Pairwise Master Key (PMK) através do processo EAP padrão. Com o FT ativado, um derivado desta chave — a PMK-R1 — é pré-distribuído a todos os APs no Domínio de Mobilidade através do controlador ou sistema de distribuição.
Quando o cliente faz o roaming para um novo AP, em vez de iniciar uma troca EAP completa, realiza um handshake de 4 vias comprimido utilizando a PMK-R1 pré-partilhada. Isto reduz o tempo de autenticação do handoff para menos de 50 milissegundos — o limiar crítico abaixo do qual um roaming é impercetível para o utilizador final durante uma sessão de voz ou vídeo.
O 802.11r suporta dois modos operacionais. O FT over-the-Air faz com que o cliente comunique diretamente com o AP de destino durante o handoff, o que é mais simples e a abordagem recomendada para a maioria das implementações. O FT over-the-DS (Sistema de Distribuição) encaminha as tramas FT através da rede com fios via o AP atual, o que pode ser útil em arquiteturas de controladores específicas, mas acrescenta complexidade.
802.11v: Gestão de Transição de BSS
Enquanto o 802.11k é reativo (fornecendo informações quando o cliente as solicita) e o 802.11r é transacional (acelerando o handoff), o 802.11v é proativo. Permite que a rede envie Pedidos de Gestão de Transição de BSS aos dispositivos clientes, sugerindo ou direcionando-os para fazerem o roaming para um AP específico. Esta é a principal ferramenta da rede para o balanceamento de carga. Se um AP se estiver a aproximar da sua capacidade, o controlador pode identificar clientes ligados com um sinal forte para um AP próximo e menos sobrecarregado, e enviar-lhes um pedido de transição. O cliente não é obrigado a cumprir, mas clientes bem implementados (dispositivos iOS, Android e Windows modernos) geralmente respeitam o pedido.
Esta capacidade de encaminhamento proativo transforma a rede de uma infraestrutura passiva num participante ativo na otimização da experiência do utilizador em todo o espaço.
Como os Captive Portals Interagem com o Roaming
Um ponto de falha crítico e frequentemente negligenciado nas implementações de WiFi para convidados é a interação entre o roaming e a autenticação do Captive Portal. Se um convidado se autenticar através de um Captive Portal no AP1 e depois fizer o roaming para o AP2, uma implementação ingénua apresentará novamente o Captive Portal, forçando a reautenticação. Isto é uma falha fundamental de UX.
A abordagem arquitetónica correta é centralizar a gestão do estado da sessão na plataforma de WiFi para convidados (como a Purple). Assim que um utilizador se autentica, o seu endereço MAC e o token de sessão são armazenados centralmente. Quando fazem o roaming, o novo AP consulta a plataforma central, que confirma a sessão ativa e ignora automaticamente o Captive Portal. Isto exige que a plataforma de WiFi para convidados esteja perfeitamente integrada com a infraestrutura sem fios — uma consideração fundamental ao avaliar soluções de fornecedores.
Guia de Implementação
Os passos seguintes representam uma estrutura de implementação independente do fornecedor, aplicável a qualquer infraestrutura sem fios de nível empresarial.
Passo 1 — Auditoria de Hardware e Software. Verifique se os seus APs, o controlador de LAN sem fios (WLC) ou a plataforma de gestão na cloud e os dispositivos clientes alvo suportam 802.11k, 802.11v e 802.11r. O suporte por parte de APs e controladores é quase universal no hardware empresarial moderno (Cisco Catalyst, Aruba, Juniper Mist, Ruckus). O suporte por parte dos clientes varia — verifique as fichas de especificações dos dispositivos, especialmente para hardware especializado como leitores de códigos de barras, dispositivos médicos ou sensores IoT.
Passo 2 — Ativar as Normas no SSID Alvo. No seu WLC ou painel de controlo na cloud, navegue até à configuração do SSID e ative o 802.11k (Relatórios de Vizinhos), o 802.11v (Gestão de Transição de BSS) e o 802.11r (Transição Rápida de BSS). Para o 802.11r, selecione FT over-the-Air como o modo predefinido, a menos que a sua arquitetura exija especificamente o over-the-DS.
Passo 3 — Configurar o Domínio de Mobilidade. Certifique-se de que todos os APs dentro da mesma área física de roaming estão atribuídos ao mesmo Domínio de Mobilidade. Este é o pré-requisito para a partilha de chaves FT. Verifique se a rede de gestão tem conectividade total entre todos os APs no domínio.
Passo 4 — Configuração de Segurança. O 802.11r oferece o maior benefício com a autenticação WPA2/WPA3-Enterprise, uma vez que é o complexo processo EAP que o FT foi concebido para acelerar. Para redes de funcionários e corporativas, isto é inegociável, tanto do ponto de vista do desempenho como da conformidade com o PCI DSS. Para redes de convidados que utilizam um Captive Portal com uma Chave Pré-Partilhada (PSK), o 802.11r continua a proporcionar benefícios, mas os ganhos são menos drásticos.
Passo 5 — Validar com Captura de Pacotes. Utilize uma ferramenta de análise de WiFi (Wireshark com um adaptador 802.11 compatível, ou uma ferramenta comercial como o Ekahau ou o AirMagnet) para capturar eventos de roaming. Confirme a presença de trocas de Relatórios de Vizinhos 802.11k, tramas de Gestão de Transição de BSS 802.11v e a sequência de autenticação FT 802.11r abreviada. Meça o tempo desde a última trama de dados no AP antigo até à primeira trama de dados no novo AP. O seu objetivo é consistentemente inferior a 50 ms.
Passo 6 — Lançamento Faseado em Produção. Após a validação num SSID de teste, implemente a configuração nos SSIDs de produção em fases, começando por um único piso ou zona. Monitorize problemas de compatibilidade dos clientes e escale quaisquer anomalias antes de expandir para todo o espaço.
Melhores Práticas
As recomendações seguintes refletem as orientações padrão da indústria e são aplicáveis em plataformas de vários fornecedores.
Conceber para o Domínio de Mobilidade, não para a VLAN. Uma configuração incorreta comum é definir o Domínio de Mobilidade ao longo dos limites da VLAN em vez dos limites físicos de roaming. Um utilizador que caminha entre dois pisos deve estar no mesmo Domínio de Mobilidade, mesmo que atravesse um limite de VLAN. Certifique-se de que a arquitetura do seu controlador suporta isto.
Manter um SSID Legado para Dispositivos Não Compatíveis. Alguns dispositivos têm implementações de 802.11r com falhas ou inexistentes. Em vez de desativar o FT em toda a rede para os acomodar, mantenha um SSID secundário sem FT para dispositivos legados. Isto evita uma 'corrida para o fundo', onde as capacidades de toda a rede são limitadas pelo dispositivo mais antigo.
Alinhar com as Normas de Segurança. Para ambientes de retalho, certifique-se de que a sua configuração de segurança sem fios está alinhada com os requisitos do PCI DSS 4.0, particularmente no que diz respeito à segmentação de rede e encriptação. Para implementações no setor público e na hotelaria que lidam com dados pessoais, certifique-se de que as suas práticas de dados de WiFi para convidados estão em conformidade com o GDPR e a legislação nacional relevante de proteção de dados. O WPA3-Enterprise, onde suportado, proporciona a postura de segurança mais robusta.
Documentar a Topologia do seu Domínio de Mobilidade. Mantenha um registo atualizado de quais APs pertencem a qual Domínio de Mobilidade. Isto é essencial para a resolução de problemas e para a integração de novos APs durante a expansão da infraestrutura.
Resolução de Problemas e Mitigação de Riscos
| Sintoma | Causa Provável | Ação Recomendada |
|---|---|---|
| O dispositivo não consegue ligar-se após ativar o 802.11r | O cliente tem uma implementação FT com falhas | Desative o FT no SSID ou crie um SSID legado sem FT para o dispositivo afetado |
| Os tempos de roaming continuam >100 ms apesar do 802.11r | Os APs não estão no mesmo Domínio de Mobilidade | Verifique a configuração do Domínio de Mobilidade no controlador; verifique a conectividade da rede de gestão entre os APs |
| O convidado depara-se com o Captive Portal após cada roaming | O estado da sessão não está centralizado | Certifique-se de que a plataforma de WiFi para convidados está a rastrear os endereços MAC e os tokens de sessão centralmente em todos os APs |
| Clientes fixos (sticky clients) não respondem ao encaminhamento 802.11v | O cliente não suporta ou ignora o 802.11v | Ajuste a potência de transmissão do AP para reduzir a sobreposição de cobertura, forçando o cliente a fazer o roaming num limiar de RSSI mais forte |
| Desligamentos intermitentes em áreas de alta densidade | Loop de roaming entre dois APs | Ajuste os limiares de transição do 802.11v; certifique-se de que a colocação dos APs minimiza a sobreposição excessiva de cobertura |
ROI e Impacto no Negócio
O business case para investir numa rede de roaming devidamente configurada é simples. Na hotelaria, um WiFi contínuo correlacionaciona-se diretamente com os índices de satisfação dos hóspedes. Um hóspede cuja chamada no Teams cai no corredor avaliará mal o WiFi do hotel, independentemente das velocidades de destaque na ligação do quarto. Para o retalho, a conectividade fiável dos leitores portáteis traduz-se diretamente na precisão do inventário e na eficiência dos funcionários — uma cadeia de 200 lojas que elimine as desconexões dos leitores pode recuperar horas de trabalho significativas anualmente. Para conferências e eventos, o custo reputacional de uma má experiência de conectividade durante um evento de destaque pode superar largamente o custo do investimento na infraestrutura.
Os KPIs mensuráveis para uma implementação de roaming bem-sucedida são: duração média do evento de roaming (objetivo: <50 ms), número de quedas de chamadas VoIP por hora (objetivo: zero) e índices de satisfação do WiFi para convidados (rastreados através de inquéritos pós-visita). Uma rede bem configurada com 802.11k, 802.11v e 802.11r deverá proporcionar melhorias mensuráveis nestas três métricas logo no primeiro mês de implementação.
Key Terms & Definitions
BSS (Basic Service Set)
A fundamental building block of a WiFi network, consisting of one Access Point and all the client devices associated with it. Each BSS is identified by a unique BSSID (the AP's MAC address).
When discussing roaming, a client transitions from the BSS of its current AP to the BSS of a new AP. 'Fast BSS Transition' (802.11r) is literally a faster mechanism for executing this switch.
SSID (Service Set Identifier)
The human-readable name of a WiFi network — the name users see and select on their devices. An SSID can be broadcast by multiple APs simultaneously to create a single logical network across a large area.
For roaming to function, all APs in the roaming area must broadcast the same SSID. Users should experience a single, continuous network, not a series of separate networks named 'Hotel_WiFi_Floor1', 'Hotel_WiFi_Floor2', etc.
WPA2/WPA3-Enterprise
A WiFi security standard that authenticates each user or device individually using a RADIUS server and the EAP protocol, rather than a shared password. It is the required security method for corporate and PCI DSS-compliant networks.
802.11r provides the greatest performance benefit in Enterprise networks, as it is the complex, multi-step EAP authentication process that FT is specifically designed to accelerate.
RADIUS (Remote Authentication Dial-In User Service)
A networking protocol that provides centralised Authentication, Authorisation, and Accounting (AAA) for network access. In a WiFi context, the AP acts as a RADIUS client, forwarding user credentials to the RADIUS server for validation.
In a standard WPA2-Enterprise roam, the client must complete a full EAP exchange with the RADIUS server for every new AP. 802.11r eliminates this requirement by pre-distributing key material, so the RADIUS server is only consulted during the initial authentication.
Pairwise Master Key (PMK)
The top-level cryptographic key in the WPA2/WPA3 security hierarchy, derived during the initial EAP authentication process between the client and the RADIUS server.
802.11r works by deriving a hierarchy of keys from the PMK. A derivative key (PMK-R1) is pre-distributed to APs in the Mobility Domain, allowing a roaming client to perform a fast handshake without re-deriving the PMK from scratch.
Mobility Domain
A set of APs, managed by the same controller or cloud platform, that are configured to share Fast Transition key material and allow seamless 802.11r roaming between them.
This is the foundational configuration element for 802.11r. If two APs are not in the same Mobility Domain, a client roaming between them will fall back to a full, slow re-authentication. Correctly defining Mobility Domain boundaries is the most critical implementation step.
Sticky Client
A wireless client device that fails to roam to a nearby AP with a significantly stronger signal, instead maintaining its association with a distant AP with a weak signal, resulting in degraded throughput and increased latency.
This is the primary user-experience problem that 802.11k and 802.11v are designed to address. 802.11k gives the client better information; 802.11v gives the network the ability to actively encourage the client to move.
Captive Portal
A web page that intercepts a user's initial HTTP request and redirects them to an authentication or registration page before granting full network access. Widely used in hospitality, retail, and public WiFi deployments.
A poorly architected captive portal will re-present itself every time a user roams to a new AP, breaking the seamless experience. The solution is centralised session management on the guest WiFi platform, which recognises authenticated users by their MAC address across all APs.
EAP (Extensible Authentication Protocol)
An authentication framework used in WPA2/WPA3-Enterprise networks. It supports multiple authentication methods (EAP-TLS, PEAP, EAP-TTLS) and involves a multi-step exchange between the client, the AP, and a RADIUS server.
The EAP exchange is the primary source of latency in a standard WiFi roam. 802.11r is specifically designed to bypass the need to repeat this exchange on every roam, replacing it with a much faster 4-way handshake.
Case Studies
A 500-room luxury hotel is experiencing guest complaints of dropped WiFi calls and poor connectivity in hallways and common areas. Their infrastructure consists of enterprise-grade APs from a major vendor, but roaming assistance is not configured. How would you design and implement a solution?
Phase 1 — Baseline Assessment. Conduct a site survey to confirm RF coverage and identify roaming boundaries. Use a WiFi analyser to benchmark current roaming performance. Capture packet traces in the problem corridors to measure actual handoff times. Expect to find values of 200–400 ms, confirming the slow re-authentication hypothesis.
Phase 2 — Pilot Configuration. On the hotel's Wireless LAN Controller, create a test SSID (e.g., 'HotelGuest_FT_Test'). Enable 802.11k (Neighbor Reports), 802.11v (BSS Transition Management), and 802.11r (Fast BSS Transition, over-the-Air mode) on this SSID. Set security to WPA2-Enterprise, integrating with the hotel's existing RADIUS infrastructure. Assign all APs in the pilot zone to the same Mobility Domain.
Phase 3 — Validation. Using a modern smartphone (iOS 14+ or Android 10+), connect to the test SSID and initiate a VoIP call. Walk through the previously identified problem areas. The call should remain clear and uninterrupted. Capture packets to confirm handoff times are now consistently below 50 ms.
Phase 4 — Production Rollout. Apply the configuration to the primary guest and staff SSIDs in a phased rollout, floor by floor. Monitor for client compatibility issues. Communicate the changes to the IT team and set up alerting on the management platform for any roaming anomalies.
A large retail chain wants to deploy handheld inventory scanners across its 200 stores. The scanners must maintain a persistent, low-latency connection to the central inventory management system as employees move throughout stockrooms and sales floors. What are the critical WiFi configuration requirements, and what are the key risks?
Step 1 — Device Procurement Requirement. The absolute first step is to mandate 802.11r, 802.11k, and 802.11v support as a non-negotiable requirement in the scanner procurement specification. This must be confirmed against the manufacturer's data sheet, not assumed. Failure to do this at the procurement stage is the single most common cause of project failure in IoT and specialist device deployments.
Step 2 — Dedicated SSID Architecture. Create a dedicated, hidden SSID for the scanners. This network should be configured for WPA2/WPA3-Enterprise with certificate-based authentication (EAP-TLS) using device certificates provisioned during the scanner build process. This eliminates password management overhead and provides a strong, auditable security posture aligned with PCI DSS requirements for retail networks.
Step 3 — Enable Fast Roaming. On the dedicated SSID, enable 802.11k, 802.11v, and 802.11r. Define a Mobility Domain that encompasses all APs in each store.
Step 4 — QoS Configuration. Implement Quality of Service (QoS) policies to prioritise scanner traffic (DSCP marking) over less critical traffic such as the guest WiFi network. This ensures inventory data is always given network precedence during periods of congestion.
Step 5 — Centralised Management and Monitoring. Deploy a cloud management platform that provides a single-pane-of-glass view across all 200 stores. Configure alerting for roaming failures and AP health events. This allows the central IT team to identify and remediate issues without dispatching on-site engineers.
Scenario Analysis
Q1. You are designing the WiFi for a new conference centre. The main auditorium will host 2,000 concurrent users during keynote sessions, while 20 breakout rooms need reliable connectivity for video conferencing. The AV team will be using wireless microphone systems and tablet-based presentation controllers. Which roaming standard is the single most critical to enable on the AV and staff SSID, and why?
💡 Hint:Consider the latency tolerance of the applications being used by the AV team and presenters.
Show Recommended Approach
802.11r (Fast BSS Transition) is the most critical standard for the AV and staff SSID. The AV team and presenters are running latency-sensitive, real-time applications — wireless microphone control, tablet presentation software, and video feeds — where any interruption is immediately visible to the audience. 802.11k and 802.11v are important supporting standards that help the client make better roaming decisions, but the raw speed of the handoff (the domain of 802.11r) is the primary determinant of whether a roam is noticeable. The target is consistently under 50 ms. For the general attendee SSID, all three standards should be enabled, but 802.11v's load-balancing capability becomes particularly valuable for managing 2,000 concurrent users across the auditorium's AP array.
Q2. A hotel guest complains that their WiFi is slow in their room, despite showing full signal bars on their device. A quick check on the controller shows the guest is connected to an AP two floors below them at a high RSSI, rather than the AP directly above their room. What is the technical term for this condition, and which standard is designed to address it?
💡 Hint:The problem is not signal strength — the device has a strong signal. The problem is which AP it has chosen to associate with.
Show Recommended Approach
This is the classic sticky client problem. The guest's device has associated with a distant AP that happens to have a strong signal (perhaps due to building geometry or AP placement) and is refusing to roam to the closer, more appropriate AP. The standard designed to address this is 802.11v (BSS Transition Management). With 802.11v enabled, the network controller can detect this suboptimal association — the guest is connected to an AP two floors away when a perfectly capable AP is directly above them — and send a BSS Transition Management Request to the client, suggesting it roam to the more appropriate AP. A well-implemented client (modern iOS, Android, Windows) will honour this request.
Q3. An IT administrator enables 802.11r on a hospital's staff WiFi network. Within hours, the helpdesk receives calls from nurses whose older mobile clinical workstations can no longer connect to the network at all. The workstations are running a legacy operating system and were purchased five years ago. What is the most likely cause, and what is the safest remediation strategy that does not require disabling 802.11r for all users?
💡 Hint:The problem is specific to the older devices. The solution should be targeted at those devices, not the entire network.
Show Recommended Approach
The most likely cause is that the legacy clinical workstations have a buggy or absent implementation of 802.11r. Some older devices fail to correctly negotiate the FT capability during the association process, resulting in a connection failure rather than a graceful fallback to standard authentication. The safest remediation strategy is SSID segmentation. Create a secondary staff SSID (e.g., 'ClinicalStaff_Legacy') with 802.11r disabled but 802.11k and 802.11v still enabled. Configure the legacy workstations to connect to this SSID. The primary staff SSID retains 802.11r for all modern devices. This approach avoids a 'race to the bottom' where the entire network's capabilities are constrained by the oldest device, while ensuring the legacy workstations remain operational. The long-term recommendation is to include 802.11r support as a mandatory requirement in the next device refresh cycle.
Key Takeaways
- ✓Seamless WiFi roaming is a critical operational requirement for enterprise venues — poor handoff performance directly impacts guest satisfaction and staff productivity.
- ✓802.11k eliminates slow channel scanning by providing client devices with a curated Neighbor Report of candidate APs before they need to roam.
- ✓802.11r (Fast BSS Transition) is the most impactful standard, reducing AP handoff authentication time from 200–400 ms to under 50 ms by pre-distributing cryptographic key material across the Mobility Domain.
- ✓802.11v enables the network to proactively steer sticky clients to better APs for load balancing, transforming the network from a passive infrastructure into an active participant in optimising user experience.
- ✓Client device compatibility is the most common deployment risk — always verify 802.11r/k/v support against device specification sheets at the procurement stage, not after purchase.
- ✓Captive portals must be backed by centralised session management to prevent re-authentication on every roam — this is a platform architecture requirement, not just a configuration setting.
- ✓Validate every deployment with packet captures measuring actual handoff duration; the target benchmark is consistently under 50 milliseconds.
