Ein Benutzer mit 802.1x-geschütztem WLAN meldet langsame oder blockierte SSH-Verbindungen

8

Wir haben kürzlich 802.1x Wireless an unserem Standort in London eingerichtet. Ein Benutzer meldet, dass eine SSH-Kopie zwischen dem drahtlosen Subnetz und unserem Server-Subnetz zu einer stetig verlangsamten und schließlich blockierten Übertragung führt. Die gleiche Übertragung über zwei verkabelte Segmente (unter Verwendung des gleichen Gateways - eines ASA) ist schnell.

Unten ist die Konfiguration vom Gerät. Ich habe dieses Problem bereits in Cisco-Umgebungen gesehen, war jedoch noch nie im Team, das für die Behebung des Problems verantwortlich war. Daher habe ich keine Ahnung, was es verursachen könnte.

Kann jemand einige Ideen teilen, wie dies behoben werden kann?

ROM-Version


LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team

ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)

LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:

Gerätemodell


LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED

Konfiguration ausführen 


LON-AP01#sh run
Building configuration...

Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
 server 10.99.2.11
 server 10.99.2.12
!
aaa group server radius dummy
 server 10.99.2.11
 server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
   vlan 50
   authentication open eap eap_methods
   authentication shared eap eap_methods
   authentication key-management wpa
   mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
 method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 encryption mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 no dfs band block
 stbc
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.99.0.6 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input ssh
!
end

LON-AP01#
wireless  cisco-ios-15 
Peter Grace
quelle
Gibt es in Ihrem Server-Subnetz einen anderen Dienst, auf den drahtlose Benutzer zugreifen können? Hat es eine gute Leistung für einen bestimmten drahtlosen Benutzer, während er eine schlechte Leistung für die SSH-Übertragung hat? Sollte dies der Fall sein, können wir Probleme im Radiosegment verwerfen.
Daniel Yuste Aroca
2
Derzeit ist dies zu weit gefasst, um an dieser Stelle zu antworten. Zwei Dinge zu Testzwecken, um das Problem einzugrenzen. Konfigurieren Sie zunächst eine eindeutige / offene SSID und testen Sie diese, um festzustellen, ob die Leistung besser ist. Zweitens bewegen Sie das Client-Gerät etwa 10 Minuten mit einer klaren Standortlinie zum Zugriffspunkt und prüfen Sie, ob sich die Leistung überhaupt verbessert.
YLearn
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

3

Es ist schon eine Weile her, dass ich Cisco APs in der Befehlszeile bearbeitet habe. Wenn ich jedoch die Konfiguration richtig lese, würde ich einige Änderungen vornehmen, die die Leistung verbessern könnten.

Wenn ein Client eine Verbindung über TKIP herstellt, deaktiviert der AP automatisch die MCS-Raten (dh 802.11n-Raten), sodass nur ältere Raten (bis zu 54 Mbit / s) verfügbar sind. Dies kann schwerwiegende Auswirkungen auf die Leistung haben, da alle Clients betroffen sind.

Zunächst würde ich in Ihrer Konfiguration das WLAN so einstellen, dass es speziell WPA2 verwendet. Obwohl dies nach dem Deaktivieren von TKIP für die Leistung nicht erforderlich ist (bei aktiviertem TKIP verwenden einige Clients, die WPA anstelle von WPA2 verwenden, standardmäßig auch TKIP), vereinfacht dies die Fehlerbehebung, da Sie nicht herausfinden müssen, in welcher Schlüsselverwaltungsmethode Verwendung durch Kunden. Sie können dies tun, indem Sie Folgendes ändern:

dot11 ssid InformationHighwayOnRamp
 authentication key-management wpa version 2

Zweitens haben Sie TKIP als Option in Ihrer Konfiguration aktiviert. Wenn ein Client über TKIP eine Verbindung zum WLAN herstellt, deaktiviert der AP alle 802.11n-MCS-Datenraten. Ich würde AES-CCMP nur zulassen, indem ich diese Zeilen ändere (erscheint mehrmals in der Konfiguration):

encryption vlan 50 mode ciphers aes-ccm tkip
encryption mode ciphers aes-ccm tkip

dazu:

encryption vlan 50 mode ciphers aes-ccm
encryption mode ciphers aes-ccm

Denken Sie daran, dass Ihre Frage immer noch sehr weit gefasst ist und dies nur ein Ausgangspunkt ist. Wenn wir weitere Informationen erhalten, kann ich meine Antwort später bearbeiten.

YLearn
quelle
Danke @YLearn, ich werde es morgen versuchen und sehen, ob es etwas verbessert. Der interessante Punkt ist, dass die Übertragung schnell beginnt, dann aber langsamer wird und zum Stillstand kommt. Es fühlt sich fast wie ein Problem mit der TCP-Überlastungskontrolle an.
Peter Grace
1

Erstens ist die Leistung einer Kabelverbindung normalerweise IMMER besser als eine drahtlose Verbindung. Ein drahtloses Netzwerk verwendet ein gemeinsam genutztes Medium (Luft), um Daten zu übertragen. Drahtlose Kommunikation war und ist Halbduplex. So sehr MIMO die Bildung mehrerer Datenkanäle zulässt, kann immer noch nur ein Gerät den angegebenen Kanalraum gleichzeitig belegen.

Wie auch immer, zurück zu Ihrem Problem. Sie verwenden einen 2602, der ein 3x4-MIMO enthält. Es ist im autonomen Modus konfiguriert. Ich gehe davon aus, dass Sie einige APs mit genau derselben SSID / demselben Kennwort konfiguriert haben, um den Abdeckungsbereich oder die Gerätedichte zu erweitern.

Sie sollten ein paar Dinge überprüfen ...

  • Führen Sie einen gleichzeitigen Ping zum oder vom Computer durch, während Sie die Probleme reproduzieren.
  • Finden Sie heraus, auf welcher Frequenz Sie angeschlossen sind. (2,4 oder 5 GHz)
  • Finden Sie heraus, ob das Gerät ein Layer-2-Roaming ausführt, indem Sie ein term mon(um es in Echtzeit zu sehen) ausgeben oder show loggden Verlauf überprüfen.
  • Stellen Sie sicher, dass Sie die richtige IAPP- Konfiguration auf den APs haben, indem wlccp wds priority <value> interface BVI1Sie Folgendes ausgeben. Weitere Informationen zu WLCCP finden Sie hier

Es scheint mir, dass die Verarbeitung und erneute Authentifizierung der 802.1x-Anmeldeinformationen zu lange dauert. Dies würde den Datenfluss stoppen und Pakete an den falschen AP senden, bis die Anmeldeinformationen verarbeitet sind. Sobald die Anmeldeinformationen verarbeitet sind, wird der neue ARP-Eintrag über den AP gesendet, und der Switch erfährt, wohin die Daten für diesen MAC / IP gesendet werden sollen.

Wenn Sie auf bessere Roaming-Ergebnisse hoffen. Ich empfehle dringend, einen Controller zu kaufen. Vielleicht haben Sie beschlossen, auf diese Kosten zu verzichten, da dies teuer sein kann, insbesondere wenn Sie nur 2 oder 3 APs in der Nähe haben. Ein WLC 2504 ist jedoch recht günstig und bietet ähnliche Funktionen wie der größere 5508 usw. Einige Funktionen umfassen zentrales Management, RRM, Cisco Clean Air (unabhängig davon, ob dies wirklich hilfreich ist oder nicht) sowie Roaming-Funktionen für Schicht 2 oder Schicht 3. Der neuere 7.4-Code enthält auch 802.11r- und 802.11k- Erweiterungen für schnelleres und kontrollierteres Geräte-AP-Roaming.

knotseh
quelle
Wie gelangen Sie von langsamen Dateiübertragungen zu einer Antwort auf ein Problem mit langsamer Authentifizierung oder Roaming? Ich kann mir mehrere weitaus wahrscheinlichere Ursachen für das fragliche Problem vorstellen.
YLearn
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.