Um usuário sem fio protegido por 802.1x relata conexões ssh lentas ou paralisadas

8

Recentemente, configuramos o 802.1x sem fio em nossa localização em Londres. Um usuário está relatando que uma cópia ssh entre a sub-rede sem fio e a sub-rede do servidor resulta em transferências constantemente lentas e eventualmente paralisadas. A mesma transferência através de dois segmentos com fio (utilizando o mesmo gateway - um ASA) é rápida.

Abaixo está a configuração da unidade. Já vi esse problema nos ambientes da Cisco, mas nunca estive na equipe encarregada de corrigir o problema antes, então não tenho idéia do que pode estar causando isso.

Alguém pode compartilhar algumas idéias sobre como corrigir isso?

Versão ROM


LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team

ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)

LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:

Modelo do dispositivo


LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED

Executando o Config


LON-AP01#sh run
Building configuration...

Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
 server 10.99.2.11
 server 10.99.2.12
!
aaa group server radius dummy
 server 10.99.2.11
 server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
   vlan 50
   authentication open eap eap_methods
   authentication shared eap eap_methods
   authentication key-management wpa
   mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
 method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 encryption mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 no dfs band block
 stbc
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.99.0.6 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input ssh
!
end

LON-AP01#
Peter Grace
fonte
Existe algum outro serviço na sub-rede do servidor que possa ser acessado por usuários sem fio? Está tendo um bom desempenho para um determinado usuário sem fio enquanto ele está tendo um desempenho ruim para a transferência SSH? Nesse caso, podemos descartar problemas no segmento de rádio.
Daniel Yuste Aroca
2
Tal como está, isso é amplo demais para responder neste momento. Duas coisas para fins de teste para tentar diminuir o problema. Primeiro, configure um SSID claro / aberto e teste usando-o para verificar se o desempenho é melhor. Segundo, mova o dispositivo cliente cerca de 10 'com uma linha clara do site para o ponto de acesso e verifique se o desempenho melhora.
YLearn
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

3

Já faz algum tempo desde que trabalhei com os Cisco APs na linha de comando; no entanto, se estou lendo a configuração corretamente, há algumas mudanças que eu faria para ajudar no desempenho.

Tal como está, se algum cliente se conectar usando TKIP, o AP desativará automaticamente as taxas MCS (ou seja, taxas 802.11n), deixando apenas taxas herdadas (até 54Mbps). Isso pode ter um sério impacto no desempenho, pois afeta todos os clientes.

Primeiro, na sua configuração, eu definiria o wireless para usar especificamente o WPA2. Embora não seja necessário para o desempenho depois que você desabilita o TKIP (com o TKIP ativado, alguns clientes que optarem por usar o WPA em vez do WPA2 também usarão o TKIP por padrão), isso simplifica a solução de problemas, pois você não precisa descobrir em qual método de gerenciamento de chaves está. uso pelos clientes. Você pode fazer isso alterando para isso:

dot11 ssid InformationHighwayOnRamp
 authentication key-management wpa version 2

Segundo, você tem o TKIP ativado como uma opção na sua configuração e, novamente, se algum cliente se conectar à rede sem fio usando o TKIP, o AP desativará todas as taxas de dados 802.11n MCS. Eu só permitiria o AES-CCMP alterando essas linhas (aparece várias vezes na configuração):

encryption vlan 50 mode ciphers aes-ccm tkip
encryption mode ciphers aes-ccm tkip

para isso:

encryption vlan 50 mode ciphers aes-ccm
encryption mode ciphers aes-ccm

Lembre-se de que sua pergunta ainda é muito ampla e esse é apenas um ponto de partida. Se tivermos mais informações, posso editar minha resposta mais tarde.

YLearn
fonte
Obrigado @YLearn, vou tentar isso amanhã e ver se melhora alguma coisa. O ponto interessante é que a transferência começa rápida, mas depois diminui a velocidade e pára. Parece quase um problema de controle de congestionamento TCP.
Peter Graça
1

Em primeiro lugar, o desempenho em uma conexão com fio sempre será sempre melhor que uma conexão sem fio. Uma rede sem fio está usando um meio compartilhado (aéreo) para transferir dados. A comunicação sem fio sempre foi e ainda é half-duplex. Por mais que o MIMO permita a formação de vários canais de dados, apenas um dispositivo ainda pode ocupar o espaço de canal de cada vez.

De qualquer forma, volte ao seu problema. Você está usando um 2602 que contém um MIMO 3x4. Está configurado no modo autônomo. Suponho que você tenha alguns APs configurados com exatamente o mesmo SSID / senha para estender a área de cobertura ou a densidade do dispositivo.

Você deve verificar algumas coisas ....

  • Faça um ping simultâneo de ou para o computador enquanto reproduz os problemas.
  • Descubra em que frequência você está conectado. (2,4 ou 5 Ghz)
  • Descubra se o dispositivo está percorrendo a camada 2 emitindo um term mon(para assistir em tempo real) ou show loggpara verificar o histórico.
  • Assegure-se de que você tenha a configuração IAPP apropriada nos APs emitindo wlccp wds priority <value> interface BVI1Você pode ver mais informações sobre o WLCCP aqui

Parece-me que as credenciais 802.1x estão demorando muito para processar e se autenticar novamente no AP em roaming. Isso interromperia o fluxo de dados e teria pacotes destinados ao AP errado até que as credenciais fossem processadas. Depois que as credenciais são processadas, a nova entrada ARP é enviada via AP e o switch aprende para onde enviar os dados para esse MAC / IP.

Se você deseja obter melhores resultados de roaming. Eu recomendo fortemente comprar um controlador. Talvez você tenha decidido renunciar a esse custo, pois ele pode ser caro, especialmente se você tiver apenas 2 ou 3 PAs na área. Mas um WLC 2504 é bastante barato, oferece recursos semelhantes aos 5508s maiores e etc. Alguns recursos incluem gerenciamento centralizado, RRM, Cisco Clean Air (se você acredita que isso realmente ajuda ou não) e recursos de roaming de Camada 2 ou Camada 3. O código mais recente também inclui 7,4 802.11r e 802.11k extensões de forma mais rápida e controlada de roaming dispositivo-AP.

knotseh
fonte
Como você passa de transferências lentas de arquivos para uma resposta a um problema lento de autenticação ou roaming? Posso pensar em várias causas muito mais prováveis ​​para o problema em questão.
YLearn