Recentemente, configuramos o 802.1x sem fio em nossa localização em Londres. Um usuário está relatando que uma cópia ssh entre a sub-rede sem fio e a sub-rede do servidor resulta em transferências constantemente lentas e eventualmente paralisadas. A mesma transferência através de dois segmentos com fio (utilizando o mesmo gateway - um ASA) é rápida.
Abaixo está a configuração da unidade. Já vi esse problema nos ambientes da Cisco, mas nunca estive na equipe encarregada de corrigir o problema antes, então não tenho idéia do que pode estar causando isso.
Alguém pode compartilhar algumas idéias sobre como corrigir isso?
Versão ROM
LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team
ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)
LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:
Modelo do dispositivo
LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED
Executando o Config
LON-AP01#sh run
Building configuration...
Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
server 10.99.2.11
server 10.99.2.12
!
aaa group server radius dummy
server 10.99.2.11
server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
vlan 50
authentication open eap eap_methods
authentication shared eap eap_methods
authentication key-management wpa
mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
!
encryption vlan 50 mode ciphers aes-ccm tkip
!
ssid InformationHighwayOnRamp
!
antenna gain 0
stbc
mbssid
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 subscriber-loop-control
bridge-group 50 spanning-disabled
bridge-group 50 block-unknown-source
no bridge-group 50 source-learning
no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 50 mode ciphers aes-ccm tkip
!
encryption mode ciphers aes-ccm tkip
!
ssid InformationHighwayOnRamp
!
antenna gain 0
no dfs band block
stbc
mbssid
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 subscriber-loop-control
bridge-group 50 spanning-disabled
bridge-group 50 block-unknown-source
no bridge-group 50 source-learning
no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 spanning-disabled
no bridge-group 50 source-learning
!
interface BVI1
ip address 10.99.0.6 255.255.255.0
no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
transport input ssh
!
end
LON-AP01#
wireless
cisco-ios-15
Peter Grace
fonte
fonte
Respostas:
Já faz algum tempo desde que trabalhei com os Cisco APs na linha de comando; no entanto, se estou lendo a configuração corretamente, há algumas mudanças que eu faria para ajudar no desempenho.
Tal como está, se algum cliente se conectar usando TKIP, o AP desativará automaticamente as taxas MCS (ou seja, taxas 802.11n), deixando apenas taxas herdadas (até 54Mbps). Isso pode ter um sério impacto no desempenho, pois afeta todos os clientes.
Primeiro, na sua configuração, eu definiria o wireless para usar especificamente o WPA2. Embora não seja necessário para o desempenho depois que você desabilita o TKIP (com o TKIP ativado, alguns clientes que optarem por usar o WPA em vez do WPA2 também usarão o TKIP por padrão), isso simplifica a solução de problemas, pois você não precisa descobrir em qual método de gerenciamento de chaves está. uso pelos clientes. Você pode fazer isso alterando para isso:
Segundo, você tem o TKIP ativado como uma opção na sua configuração e, novamente, se algum cliente se conectar à rede sem fio usando o TKIP, o AP desativará todas as taxas de dados 802.11n MCS. Eu só permitiria o AES-CCMP alterando essas linhas (aparece várias vezes na configuração):
para isso:
Lembre-se de que sua pergunta ainda é muito ampla e esse é apenas um ponto de partida. Se tivermos mais informações, posso editar minha resposta mais tarde.
fonte
Em primeiro lugar, o desempenho em uma conexão com fio sempre será sempre melhor que uma conexão sem fio. Uma rede sem fio está usando um meio compartilhado (aéreo) para transferir dados. A comunicação sem fio sempre foi e ainda é half-duplex. Por mais que o MIMO permita a formação de vários canais de dados, apenas um dispositivo ainda pode ocupar o espaço de canal de cada vez.
De qualquer forma, volte ao seu problema. Você está usando um 2602 que contém um MIMO 3x4. Está configurado no modo autônomo. Suponho que você tenha alguns APs configurados com exatamente o mesmo SSID / senha para estender a área de cobertura ou a densidade do dispositivo.
Você deve verificar algumas coisas ....
term mon
(para assistir em tempo real) oushow logg
para verificar o histórico.wlccp wds priority <value> interface BVI1
Você pode ver mais informações sobre o WLCCP aquiParece-me que as credenciais 802.1x estão demorando muito para processar e se autenticar novamente no AP em roaming. Isso interromperia o fluxo de dados e teria pacotes destinados ao AP errado até que as credenciais fossem processadas. Depois que as credenciais são processadas, a nova entrada ARP é enviada via AP e o switch aprende para onde enviar os dados para esse MAC / IP.
Se você deseja obter melhores resultados de roaming. Eu recomendo fortemente comprar um controlador. Talvez você tenha decidido renunciar a esse custo, pois ele pode ser caro, especialmente se você tiver apenas 2 ou 3 PAs na área. Mas um WLC 2504 é bastante barato, oferece recursos semelhantes aos 5508s maiores e etc. Alguns recursos incluem gerenciamento centralizado, RRM, Cisco Clean Air (se você acredita que isso realmente ajuda ou não) e recursos de roaming de Camada 2 ou Camada 3. O código mais recente também inclui 7,4 802.11r e 802.11k extensões de forma mais rápida e controlada de roaming dispositivo-AP.
fonte