802.1xで保護されたワイヤレスのユーザーが遅いまたは停止したSSH接続を報告する


8

最近、ロンドンの拠点で802.1xワイヤレスをセットアップしました。ユーザーから、ワイヤレスサブネットとサーバーサブネット間のsshコピーにより、転送が常に遅くなり、転送が停止することが報告されています。2つの有線セグメント間での同じ転送(同じゲートウェイ(ASA)を利用)は高速です。

以下はユニットからの設定です。以前にシスコ環境でこの問題を見たことがありますが、これまでに問題の修正を担当するチームに参加したことがないため、何が原因であるかはわかりません。

これを修正する方法について誰かがいくつかのアイデアを共有できますか?

ROMバージョン


LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team

ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)

LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:

デバイスモデル


LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED

実行中の構成


LON-AP01#sh run
Building configuration...

Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
 server 10.99.2.11
 server 10.99.2.12
!
aaa group server radius dummy
 server 10.99.2.11
 server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
   vlan 50
   authentication open eap eap_methods
   authentication shared eap eap_methods
   authentication key-management wpa
   mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
 method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 encryption mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 no dfs band block
 stbc
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.99.0.6 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input ssh
!
end

LON-AP01#

ワイヤレスユーザーがアクセスできる他のサービスがサーバーサブネットにありますか?SSH転送のパフォーマンスが低下しているときに、特定のワイヤレスユーザーのパフォーマンスは良好ですか?この場合は、無線セグメントの問題を破棄できます。
Daniel Yuste Aroca 2013年

2
現状では、これは広すぎて現時点では答えることができません。問題を絞り込むためにテストするための2つのこと。まず、クリア/オープンSSIDを構成し、それを使用してテストして、パフォーマンスが向上するかどうかを確認します。次に、クライアントデバイスをサイトの明確なラインで10フィートほど移動してアクセスポイントに移動し、パフォーマンスがまったく向上するかどうかを確認します。
YLearn

何か回答がありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。
Ron Maupin

回答:


3

コマンドラインでCisco APを操作してからしばらく時間が経過しましたが、設定を正しく読んでいると、パフォーマンスを向上させるためにいくつかの変更を加えることができます。

現状では、TKIPを使用して接続しているクライアントがある場合、APは自動的にMCSレート(つまり802.11nレート)を無効にし、レガシーレート(最大54Mbps)のみを残します。これはすべてのクライアントに影響を与えるため、パフォーマンスに深刻な影響を与える可能性があります。

最初に、あなたの構成で、ワイヤレスを特にWPA2を使用するように設定します。TKIPを無効にすると(TKIPを有効にすると、WPA2ではなくWPAを使用することを選択する一部のクライアントもデフォルトでTKIPを使用するため)、パフォーマンスには必要ありませんが、これにより、どのキー管理方法が含まれているかを理解する必要がないため、トラブルシューティングが簡単になります。クライアントによる使用。これを次のように変更することで実行できます。

dot11 ssid InformationHighwayOnRamp
 authentication key-management wpa version 2

次に、構成のオプションとしてTKIPを有効にしており、TKIPを使用していずれかのクライアントがワイヤレスに接続している場合、APはすべての802.11n MCSデータレートを無効にします。これらの行を変更することによってのみAES-CCMPを許可します(構成に複数回表示されます)。

encryption vlan 50 mode ciphers aes-ccm tkip
encryption mode ciphers aes-ccm tkip

これに:

encryption vlan 50 mode ciphers aes-ccm
encryption mode ciphers aes-ccm

あなたの質問はまだ非常に広範であり、これは出発点にすぎないことに注意してください。さらに情報が得られた場合は、後で回答を編集できます。


@YLearnに感謝します。私はこれを明日試し、それが何か改善するかどうか確認します。興味深い点は、転送はスムーズに開始されますが、その後遅くなり、停止することです。TCPの輻輳制御の問題のように感じられます。
Peter Grace

1

まず、通常、有線接続のパフォーマンスは常に無線接続よりも優れています。ワイヤレスネットワークは、共有メディア(空気)を使用してデータを転送しています。無線通信は常に半二重です。MIMOで複数のデータチャネルを形成できる限り、一度に1つのデバイスのみが特定のチャネルスペースを占有できます。

とにかく、あなたの問題に戻りましょう。3x4 MIMOを含む2602を使用しています。自律モードで構成されています。カバレッジエリアまたはデバイス密度を拡張するために、まったく同じSSID /パスワードで設定されたいくつかのAPがあると仮定します。

いくつか確認する必要があります...

  • 問題を再現している間、コンピュータとの間で同時pingを実行します。
  • 接続している周波数を確認します。(2.4または5 GHz)
  • term mon(リアルタイムで監視するために)を発行するshow loggか、履歴を確認して、デバイスがレイヤー2ローミングを行っているかどうかを確認します。
  • 次のコマンドを発行して、APに適切なIAPP構成があることを確認します。ここでWLCCPのwlccp wds priority <value> interface BVI1詳細を確認できます。

802.1xクレデンシャルがローミングAPの処理と再認証に時間がかかりすぎるように思えます。これにより、データフローが停止し、資格情報が処理されるまで、パケットが間違ったAPに送信されます。クレデンシャルが処理されると、新しいARPエントリがAP経由で送信され、スイッチはそのMAC / IPのデータの送信先を学習します。

より良いローミング結果を得たい場合。コントローラを購入することを強くお勧めします。特に、エリア内にAPが2つまたは3つしかない場合は、コストが高くなる可能性があるため、そのコストを放棄することを決定した可能性があります。ただし、WLC 2504はかなり安価で、より大きな5508などと同様の機能を提供します。一部の機能には、集中管理、RRM、Cisco Clean Air(これが本当に役立つかどうかにかかわらず)、およびレイヤー2またはレイヤー3のローミング機能が含まれます。新しい7.4コードには、802.11rおよび802.11kの拡張機能も含まれており、より速くより制御されたデバイスAPローミングを実現します。


遅いファイル転送から、遅い認証やローミングの問題への答えを得るにはどうすればよいですか?問題となっている問題の原因として、FARがいくつか考えられます。
YLearn
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.