Seorang pengguna pada nirkabel yang dilindungi 802.1x melaporkan koneksi ssh lambat atau macet

8

Kami baru-baru ini memasang 802.1x nirkabel di lokasi London kami. Seorang pengguna melaporkan bahwa salinan ssh antara subnet nirkabel dan subnet server kami menghasilkan transfer yang melambat secara konsisten dan akhirnya terhenti. Transfer yang sama di dua segmen kabel (menggunakan gateway yang sama - ASA) cepat.

Di bawah ini adalah konfigurasi dari unit. Saya telah melihat masalah ini sebelumnya di lingkungan Cisco, tetapi saya belum pernah berada di tim yang bertugas memperbaiki masalah ini sebelumnya, jadi saya tidak tahu apa yang menyebabkannya.

Adakah yang bisa berbagi ide tentang cara memperbaikinya?

Versi ROM


LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team

ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)

LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:

Model Perangkat


LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED

Menjalankan Config


LON-AP01#sh run
Building configuration...

Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
 server 10.99.2.11
 server 10.99.2.12
!
aaa group server radius dummy
 server 10.99.2.11
 server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
   vlan 50
   authentication open eap eap_methods
   authentication shared eap eap_methods
   authentication key-management wpa
   mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
 method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 encryption mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 no dfs band block
 stbc
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.99.0.6 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input ssh
!
end

LON-AP01#
Peter Grace
sumber
Apakah ada layanan lain di subnet server Anda yang dapat diakses oleh pengguna nirkabel? Apakah kinerjanya baik untuk pengguna nirkabel tertentu sementara dia memiliki kinerja buruk untuk transfer SSH? Jika ini masalahnya, maka kita dapat membuang masalah di segmen radio.
Daniel Yuste Aroca
2
Seperti berdiri, ini terlalu luas untuk dijawab pada saat ini. Dua hal untuk tujuan pengujian mencoba mempersempit masalah. Pertama, konfigurasikan SSID yang jelas / terbuka dan uji menggunakannya untuk melihat apakah kinerjanya lebih baik. Kedua, pindahkan perangkat klien sekitar 10 'dengan garis situs yang jelas ke titik akses dan lihat apakah kinerjanya membaik sama sekali.
YPelajari
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

3

Sudah beberapa saat sejak saya bekerja Cisco APs pada baris perintah namun jika saya membaca konfigurasi dengan benar, ada beberapa perubahan yang saya akan lakukan yang dapat membantu kinerja.

Seperti adanya, jika ada klien yang terhubung menggunakan TKIP, maka AP akan secara otomatis menonaktifkan tarif MCS (yaitu tarif 802.11n), sehingga Anda hanya memiliki tarif lama (hingga 54Mbps). Ini dapat memiliki dampak kinerja yang serius karena mempengaruhi semua klien.

Pertama, dalam konfigurasi Anda, saya akan mengatur nirkabel untuk secara khusus menggunakan WPA2. Meskipun tidak diperlukan untuk kinerja setelah Anda menonaktifkan TKIP (dengan mengaktifkan TKIP, beberapa klien yang memilih untuk menggunakan WPA daripada WPA2 juga akan menggunakan TKIP secara default) ini memang menyederhanakan pemecahan masalah karena Anda tidak perlu mencari tahu di mana metode manajemen kunci berada di digunakan oleh klien. Anda dapat melakukan ini dengan mengubah ini:

dot11 ssid InformationHighwayOnRamp
 authentication key-management wpa version 2

Kedua, Anda mengaktifkan TKIP sebagai opsi dalam konfigurasi Anda dan sekali lagi, jika ada satu klien yang terhubung ke nirkabel menggunakan TKIP, maka AP akan menonaktifkan semua kecepatan data MCM 802.11n. Saya hanya akan mengizinkan AES-CCMP dengan mengubah baris-baris ini (muncul beberapa kali dalam konfigurasi):

encryption vlan 50 mode ciphers aes-ccm tkip
encryption mode ciphers aes-ccm tkip

untuk ini:

encryption vlan 50 mode ciphers aes-ccm
encryption mode ciphers aes-ccm

Ingatlah pertanyaan Anda masih sangat luas dan ini hanya titik awal. Jika kami mendapatkan informasi lebih lanjut, saya dapat mengedit jawaban saya nanti.

YPelajari
sumber
Terima kasih @YLearn, saya akan mencoba ini besok dan melihat apakah itu meningkatkan apa pun. Hal yang menarik adalah transfer dimulai dengan cepat, tetapi kemudian melambat dan berhenti. Hampir terasa seperti masalah kontrol kemacetan TCP.
Peter Grace
1

Pertama, kinerja pada koneksi kabel biasanya SELALU lebih baik daripada koneksi nirkabel. Jaringan nirkabel menggunakan media bersama (udara) untuk mentransfer data. Komunikasi nirkabel selalu dan masih setengah dupleks. Sebanyak MIMO memungkinkan beberapa saluran data dibentuk, hanya satu perangkat yang masih dapat menempati ruang-saluran yang diberikan pada suatu waktu.

Bagaimanapun, kembali ke masalah Anda. Anda menggunakan 2602 yang berisi MIMO 3x4. Dikonfigurasi dalam mode otonom. Saya akan menganggap Anda memiliki beberapa AP yang dikonfigurasi dengan SSID / kata sandi yang sama persis untuk memperluas area jangkauan atau kepadatan perangkat.

Anda harus memeriksa beberapa hal ....

  • Lakukan ping bersamaan ke atau dari komputer saat Anda mereproduksi masalah.
  • Cari tahu frekuensi Anda terhubung. (2,4 atau 5 Ghz)
  • Cari tahu apakah perangkat melakukan roaming layer-2 dengan mengeluarkan term mon(untuk menontonnya secara langsung) atau show logguntuk memeriksa riwayatnya.
  • Pastikan Anda memiliki konfigurasi IAPP yang tepat pada AP dengan mengeluarkan wlccp wds priority <value> interface BVI1Anda dapat melihat informasi lebih lanjut tentang WLCCP di sini

Kedengarannya bagi saya bahwa kredensial 802.1x membutuhkan waktu terlalu lama untuk diproses dan diautentikasi ulang ke AP roaming. Ini akan menghentikan aliran data dan memiliki paket yang ditujukan ke AP yang salah sampai kredensial diproses. Setelah kredensial diproses, entri ARP baru dikirim melalui AP dan switch kemudian mempelajari ke mana harus mengirim data untuk MAC / IP tersebut.

Jika Anda berharap mendapatkan hasil roaming yang lebih baik. Saya sangat merekomendasikan membeli controller. Mungkin Anda memutuskan untuk melupakan biaya itu karena bisa mahal, terutama jika Anda hanya memiliki 2 atau 3 AP di daerah tersebut. Tetapi WLC 2504 cukup murah ia menawarkan fitur yang mirip dengan 5508 yang lebih besar dan lain-lain. Beberapa fitur termasuk manajemen terpusat, RRM, Cisco Clean Air (apakah Anda yakin ini sangat membantu atau tidak), dan kemampuan roaming Layer 2 atau Layer 3. Kode 7.4 yang lebih baru juga mencakup ekstensi 802.11r dan 802.11k untuk roaming perangkat-AP yang lebih cepat dan lebih terkontrol.

knotseh
sumber
Bagaimana Anda mendapatkan dari transfer file lambat ke jawaban untuk masalah otentikasi lambat atau roaming? Saya bisa memikirkan beberapa JAUH lebih mungkin menyebabkan masalah yang dimaksud.
YPelajari