Un utente su una rete wireless protetta 802.1x segnala connessioni ssh lente o in stallo


8

Recentemente abbiamo installato il wireless 802.1x nella nostra sede di Londra. Un utente sta segnalando che una copia ssh tra la sottorete wireless e la nostra sottorete del server provoca trasferimenti costantemente rallentati e infine bloccati. Lo stesso trasferimento su due segmenti cablati (utilizzando lo stesso gateway - un ASA) è rapido.

Di seguito è la configurazione dall'unità. Ho già visto questo problema in ambienti Cisco, ma non ho mai fatto parte del team incaricato di risolvere il problema prima, quindi non ho idea di cosa potrebbe causarlo.

Qualcuno può condividere alcune idee su come risolvere questo problema?

Versione ROM


LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team

ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)

LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:

Modello del dispositivo


LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED

Esecuzione della configurazione


LON-AP01#sh run
Building configuration...

Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
 server 10.99.2.11
 server 10.99.2.12
!
aaa group server radius dummy
 server 10.99.2.11
 server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
   vlan 50
   authentication open eap eap_methods
   authentication shared eap eap_methods
   authentication key-management wpa
   mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
 method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 encryption mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 no dfs band block
 stbc
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.99.0.6 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input ssh
!
end

LON-AP01#

Esiste un altro servizio nella sottorete del server a cui gli utenti wireless possono accedere? Sta avendo buone prestazioni per un determinato utente wireless mentre ha cattive prestazioni per il trasferimento SSH? In tal caso, possiamo eliminare i problemi relativi al segmento radio.
Daniel Yuste Aroca,

2
Allo stato attuale, questo è troppo ampio per rispondere a questo punto. Due cose a scopo di test per cercare di restringere il problema. Innanzitutto, configura un SSID chiaro / aperto e testalo usando quello per vedere se le prestazioni sono migliori. In secondo luogo, spostare il dispositivo client di circa 10 'con una linea libera del sito verso il punto di accesso e vedere se le prestazioni migliorano affatto.
YLearn

Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:


3

È passato un po 'di tempo da quando ho lavorato sugli AP Cisco dalla riga di comando, tuttavia se sto leggendo correttamente la configurazione, ci sono un paio di modifiche che potrei apportare che potrebbero aiutare le prestazioni.

Allo stato attuale, se un client si connette tramite TKIP, l'AP disabiliterà automaticamente le tariffe MCS (cioè le tariffe 802.11n), lasciandoti con solo le tariffe legacy (fino a 54 Mbps). Ciò può avere un grave impatto sulle prestazioni in quanto riguarda tutti i client.

Innanzitutto, nella tua configurazione, imposterei il wireless in modo specifico per utilizzare WPA2. Sebbene non sia necessario per le prestazioni una volta disabilitato TKIP (con TKIP abilitato, alcuni client che scelgono di utilizzare WPA anziché WPA2 useranno anche TKIP per impostazione predefinita), questo semplifica la risoluzione dei problemi in quanto non è necessario capire quale metodo di gestione delle chiavi è in uso da parte dei clienti. Puoi farlo cambiando in questo:

dot11 ssid InformationHighwayOnRamp
 authentication key-management wpa version 2

In secondo luogo, TKIP è abilitato come opzione nella configurazione e, di nuovo, se un client si connette alla rete wireless tramite TKIP, l'AP disabiliterà tutte le velocità dei dati MCS 802.11n. Consentirei solo AES-CCMP modificando queste righe (appare più volte nella configurazione):

encryption vlan 50 mode ciphers aes-ccm tkip
encryption mode ciphers aes-ccm tkip

a questo:

encryption vlan 50 mode ciphers aes-ccm
encryption mode ciphers aes-ccm

Tieni presente che la tua domanda è ancora molto ampia e questo è solo un punto di partenza. Se otteniamo ulteriori informazioni, posso modificare la mia risposta in un secondo momento.


Grazie @YLearn, lo proverò domani e vedrò se migliora qualcosa. Il punto interessante è che il trasferimento inizia in modo scattante, ma poi rallenta e si blocca. Sembra quasi un problema di controllo della congestione TCP.
Peter Grace,

1

In primo luogo, le prestazioni su una connessione cablata saranno solitamente SEMPRE migliori di una connessione wireless. Una rete wireless utilizza un supporto condiviso (aereo) per trasferire i dati. La comunicazione wireless è sempre stata ed è ancora half duplex. Per quanto MIMO consenta la formazione di più canali di dati, solo un dispositivo può ancora occupare lo spazio di canale dato alla volta.

Comunque, torniamo al tuo problema. Stai usando un 2602 che contiene un MIMO 3x4. È configurato in modalità autonoma. Presumo che tu abbia alcuni AP configurati con lo stesso SSID / password esatta per estendere l'area di copertura o la densità del dispositivo.

Dovresti controllare alcune cose ....

  • Esegui un ping simultaneo da o verso il computer mentre riproduci i problemi.
  • Scopri su quale frequenza sei connesso. (2.4 o 5 Ghz)
  • Scopri se il dispositivo sta eseguendo un roaming di livello 2 emettendo un term mon(per guardarlo in tempo reale) o show loggper controllare la cronologia.
  • Assicurati di avere la corretta configurazione IAPP sugli AP emettendo wlccp wds priority <value> interface BVI1Puoi vedere maggiori informazioni su WLCCP qui

Mi sembra che le credenziali 802.1x stiano impiegando troppo tempo per elaborare e riautenticare l'AP in roaming. Ciò arresterebbe il flusso di dati e avrebbe pacchetti destinati all'AP sbagliato fino a quando le credenziali non vengono elaborate. Una volta elaborate le credenziali, la nuova voce ARP viene inviata tramite AP e lo switch impara quindi dove inviare i dati per quel MAC / IP.

Se speri di ottenere risultati di roaming migliori. Consiglio vivamente di acquistare un controller. Forse hai deciso di rinunciare a quel costo poiché può essere costoso, soprattutto se hai solo 2 o 3 AP nell'area. Ma un WLC 2504 è abbastanza economico, offre funzionalità simili ai più grandi 5508 e così via. Alcune funzionalità includono la gestione centralizzata, RRM, Cisco Clean Air (che tu credi davvero aiuti o meno) e funzionalità di roaming Layer 2 o Layer 3. Il nuovo codice 7.4 include anche estensioni 802.11r e 802.11k per un roaming-AP dispositivo più veloce e controllato.


Come si ottiene da trasferimenti di file lenti a una risposta a un problema di autenticazione o roaming lento? Mi vengono in mente diverse cause FAR più probabili per il problema in questione.
YLearn
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.