Một người dùng trên các báo cáo không dây được bảo vệ theo chuẩn 802.1x bị chậm hoặc bị đình trệ


8

Gần đây chúng tôi đã thiết lập không dây 802.1x tại địa điểm Luân Đôn của chúng tôi. Một người dùng đang báo cáo rằng một bản sao ssh giữa mạng con không dây và mạng con máy chủ của chúng tôi dẫn đến việc chuyển chậm liên tục và cuối cùng bị đình trệ. Việc chuyển giống nhau trên hai phân đoạn có dây (sử dụng cùng một cổng - ASA) rất nhanh.

Dưới đây là cấu hình từ các đơn vị. Tôi đã thấy vấn đề này trước đây trong môi trường của Cisco nhưng tôi chưa bao giờ thuộc nhóm chịu trách nhiệm khắc phục sự cố trước đây, vì vậy tôi không biết điều gì có thể gây ra sự cố.

Bất cứ ai có thể chia sẻ một số ý tưởng về cách khắc phục điều này?

Phiên bản ROM


LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team

ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)

LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:

Mô hình thiết bị


LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED

Chạy cấu hình


LON-AP01#sh run
Building configuration...

Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
 server 10.99.2.11
 server 10.99.2.12
!
aaa group server radius dummy
 server 10.99.2.11
 server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
   vlan 50
   authentication open eap eap_methods
   authentication shared eap eap_methods
   authentication key-management wpa
   mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
 method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 encryption mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 no dfs band block
 stbc
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.99.0.6 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input ssh
!
end

LON-AP01#

Có dịch vụ nào khác trong mạng con máy chủ của bạn mà người dùng không dây có thể truy cập không? Nó có hiệu suất tốt cho một người dùng không dây nhất định trong khi anh ta có hiệu suất kém khi chuyển SSH? Nếu đây là trường hợp, thì chúng ta có thể loại bỏ các vấn đề trên phân khúc radio.
Daniel Yuste Aroca

2
Khi nó đứng, điều này là quá rộng để trả lời tại thời điểm này. Hai điều cho mục đích thử nghiệm để cố gắng thu hẹp vấn đề. Đầu tiên, định cấu hình SSID rõ ràng / mở và kiểm tra bằng cách sử dụng để xem hiệu suất có tốt hơn không. Thứ hai, di chuyển thiết bị khách khoảng 10 'với dòng trang web rõ ràng đến điểm truy cập và xem hiệu suất có cải thiện chút nào không.
YLearn

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


3

Đã được một thời gian kể từ khi tôi làm việc với các AP của Cisco trên dòng lệnh, tuy nhiên nếu tôi đọc đúng cấu hình, có một vài thay đổi tôi sẽ thực hiện có thể giúp thực hiện.

Vì thế, nếu bất kỳ máy khách nào kết nối bằng TKIP, thì AP sẽ tự động vô hiệu hóa tốc độ MCS (tức là tốc độ 802.11n), khiến bạn chỉ có tốc độ kế thừa (tối đa 54Mb / giây). Điều này có thể có một tác động hiệu suất nghiêm trọng vì nó ảnh hưởng đến tất cả các khách hàng.

Đầu tiên, trong cấu hình của bạn, tôi sẽ đặt không dây sử dụng WPA2. Mặc dù không cần thiết cho hiệu suất khi bạn tắt TKIP (bật TKIP, một số khách hàng chọn sử dụng WPA thay vì WPA2 cũng sẽ sử dụng TKIP theo mặc định), điều này giúp đơn giản hóa việc khắc phục sự cố vì bạn không phải tìm ra phương pháp quản lý khóa nào trong sử dụng bởi khách hàng. Bạn có thể làm điều này bằng cách thay đổi điều này:

dot11 ssid InformationHighwayOnRamp
 authentication key-management wpa version 2

Thứ hai, bạn đã bật TKIP như một tùy chọn trong cấu hình của mình và một lần nữa, nếu bất kỳ một máy khách nào kết nối với mạng không dây bằng TKIP, thì AP sẽ vô hiệu hóa tất cả tốc độ dữ liệu MCS 802.11n. Tôi chỉ cho phép AES-CCMP bằng cách thay đổi các dòng này (xuất hiện nhiều lần trong cấu hình):

encryption vlan 50 mode ciphers aes-ccm tkip
encryption mode ciphers aes-ccm tkip

đến đây:

encryption vlan 50 mode ciphers aes-ccm
encryption mode ciphers aes-ccm

Hãy nhớ rằng câu hỏi của bạn vẫn rất rộng và đây chỉ là điểm khởi đầu. Nếu chúng tôi có thêm thông tin, tôi có thể chỉnh sửa câu trả lời của mình sau.


Cảm ơn @YLearn, tôi sẽ thử điều này vào ngày mai và xem nó có cải thiện được gì không. Điểm thú vị là việc chuyển tiền bắt đầu linh hoạt, nhưng sau đó chậm lại và quầy hàng. Nó gần như cảm thấy như một vấn đề kiểm soát tắc nghẽn TCP.
Peter Grace

1

Thứ nhất, hiệu suất trên kết nối có dây thường sẽ LUÔN tốt hơn kết nối không dây. Một mạng không dây đang sử dụng phương tiện dùng chung (không khí) để truyền dữ liệu. Giao tiếp không dây đã luôn luôn và vẫn là một nửa song công. Nhiều như MIMO cho phép nhiều kênh dữ liệu được hình thành, chỉ một thiết bị vẫn có thể chiếm không gian kênh nhất định tại một thời điểm.

Dù sao, trở lại vấn đề của bạn. Bạn đang sử dụng 2602 chứa MIMO 3x4. Nó được cấu hình trong chế độ tự trị. Tôi sẽ giả định rằng bạn có một vài AP được cấu hình với cùng SSID / mật khẩu chính xác để mở rộng vùng phủ sóng hoặc mật độ thiết bị.

Bạn nên kiểm tra một vài thứ ....

  • Thực hiện ping đồng thời đến hoặc từ máy tính trong khi bạn tái tạo các vấn đề.
  • Tìm hiểu tần số bạn kết nối trên. (2,4 hoặc 5 Ghz)
  • Tìm hiểu xem thiết bị có thực hiện chuyển vùng 2 lớp hay không bằng cách phát hành term mon(để xem thiết bị trong thời gian thực) hoặc show loggkiểm tra lịch sử.
  • Đảm bảo bạn có cấu hình IAPP phù hợp trên các AP bằng cách phát hành wlccp wds priority <value> interface BVI1Bạn có thể xem thêm thông tin về WLCCP tại đây

Tôi nghe có vẻ như thông tin đăng nhập theo chuẩn 802.1x đang mất quá nhiều thời gian để xử lý và xác thực lại với AP được chuyển vùng. Điều này sẽ dừng luồng dữ liệu và có các gói được gửi đến AP sai cho đến khi thông tin đăng nhập được xử lý. Khi thông tin đăng nhập được xử lý, mục ARP mới được gửi qua AP và chuyển đổi sau đó tìm hiểu nơi gửi dữ liệu cho MAC / IP đó.

Nếu bạn đang hy vọng có được kết quả chuyển vùng tốt hơn. Tôi thực sự khuyên bạn nên mua một bộ điều khiển. Có lẽ bạn đã quyết định từ bỏ chi phí đó vì nó có thể tốn kém, đặc biệt nếu bạn chỉ có 2 hoặc 3 AP trong khu vực. Nhưng WLC 2504 khá rẻ, nó cung cấp các tính năng tương tự như 5508 lớn hơn và v.v. Một số tính năng bao gồm quản lý tập trung, RRM, Cisco Clean Air (cho dù bạn có tin điều này thực sự có ích hay không) và khả năng chuyển vùng của Lớp 2 hoặc Lớp 3. Mã 7.4 mới hơn cũng bao gồm các phần mở rộng 802.11r802.11k để chuyển vùng AP-thiết bị nhanh hơn và được kiểm soát nhiều hơn.


Làm thế nào để bạn nhận được từ việc chuyển tập tin chậm đến một câu trả lời cho một vấn đề xác thực hoặc chuyển vùng chậm? Tôi có thể nghĩ về một số FAR nhiều khả năng gây ra vấn đề trong câu hỏi.
YLearn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.