Un utilisateur sur un réseau sans fil protégé par 802.1x signale des connexions ssh lentes ou bloquées

8

Nous avons récemment configuré le sans fil 802.1x sur notre site de Londres. Un utilisateur signale qu'une copie ssh entre le sous-réseau sans fil et notre sous-réseau de serveur entraîne un ralentissement constant et finalement un blocage. Le même transfert sur deux segments câblés (en utilisant la même passerelle - un ASA) est rapide.

Ci-dessous, la configuration de l'unité. J'ai déjà vu ce problème dans les environnements Cisco, mais je n'ai jamais fait partie de l'équipe chargée de résoudre le problème auparavant, donc je n'ai aucune idée de ce qui pourrait en être la cause.

Quelqu'un peut-il partager quelques idées sur la façon de résoudre ce problème?

Version ROM


LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team

ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)

LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:

Modèle d'appareil


LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED

Exécution de la configuration


LON-AP01#sh run
Building configuration...

Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
 server 10.99.2.11
 server 10.99.2.12
!
aaa group server radius dummy
 server 10.99.2.11
 server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
   vlan 50
   authentication open eap eap_methods
   authentication shared eap eap_methods
   authentication key-management wpa
   mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
 method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 encryption mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 no dfs band block
 stbc
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.99.0.6 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input ssh
!
end

LON-AP01#
Peter Grace
la source
Existe-t-il un autre service dans votre sous-réseau de serveur accessible aux utilisateurs sans fil? At-il de bonnes performances pour un utilisateur sans fil donné alors qu'il a de mauvaises performances pour le transfert SSH? Si tel est le cas, nous pouvons alors éliminer les problèmes sur le segment radio.
Daniel Yuste Aroca
2
En l'état, c'est trop large pour répondre à ce stade. Deux choses à des fins de test pour essayer de réduire le problème. Tout d'abord, configurez un SSID clair / ouvert et testez-le pour voir si les performances sont meilleures. Deuxièmement, déplacez le périphérique client d'environ 10 pieds avec une ligne de site claire vers le point d'accès et voyez si les performances s'améliorent.
Apprendre
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

3

Cela fait un moment que j'ai travaillé sur les points d'accès Cisco sur la ligne de commande, mais si je lis correctement la configuration, il y a quelques changements que j'apporterais qui pourraient améliorer les performances.

Dans l'état actuel des choses, si un client se connecte à l'aide de TKIP, l'AP désactivera automatiquement les taux MCS (c'est-à-dire les taux 802.11n), vous laissant uniquement des taux hérités (jusqu'à 54 Mbps). Cela peut avoir un impact sérieux sur les performances car il affecte tous les clients.

Tout d'abord, dans votre configuration, je définirais le sans fil pour utiliser spécifiquement WPA2. Bien que cela ne soit pas nécessaire pour les performances une fois que vous désactivez TKIP (avec TKIP activé, certains clients qui choisissent d'utiliser WPA plutôt que WPA2 utiliseront également TKIP par défaut), cela simplifie le dépannage car vous n'avez pas à déterminer la méthode de gestion des clés. utilisation par les clients. Vous pouvez le faire en modifiant ceci:

dot11 ssid InformationHighwayOnRamp
 authentication key-management wpa version 2

Deuxièmement, TKIP est activé en option dans votre configuration et, si un client se connecte au réseau sans fil à l'aide de TKIP, l'AP désactivera tous les débits de données 802.11n MCS. Je n'autoriserais AES-CCMP qu'en modifiant ces lignes (apparaît plusieurs fois dans la configuration):

encryption vlan 50 mode ciphers aes-ccm tkip
encryption mode ciphers aes-ccm tkip

pour ça:

encryption vlan 50 mode ciphers aes-ccm
encryption mode ciphers aes-ccm

Gardez à l'esprit que votre question est encore très large et ce n'est qu'un point de départ. Si nous obtenons plus d'informations, je pourrai modifier ma réponse plus tard.

YApprendre
la source
Merci @YLearn, je vais essayer cela demain et voir si cela améliore quelque chose. Le point intéressant est que le transfert commence rapidement, puis ralentit et s'arrête. Cela ressemble presque à un problème de contrôle de congestion TCP.
Peter Grace
1

Tout d'abord, les performances sur une connexion filaire seront généralement TOUJOURS meilleures qu'une connexion sans fil. Un réseau sans fil utilise un support partagé (air) pour transférer des données. La communication sans fil a toujours été et est encore semi-duplex. Dans la mesure où MIMO permet la formation de plusieurs canaux de données, un seul appareil peut encore occuper l'espace de canal donné à la fois.

Quoi qu'il en soit, revenons à votre problème. Vous utilisez un 2602 qui contient un MIMO 3x4. Il est configuré en mode autonome. Je vais supposer que vous avez quelques points d'accès configurés avec exactement le même SSID / mot de passe afin d'étendre la zone de couverture ou la densité de l'appareil.

Vous devriez vérifier quelques choses ....

  • Effectuez un ping simultané vers ou depuis l'ordinateur pendant que vous reproduisez les problèmes.
  • Découvrez sur quelle fréquence vous êtes connecté. (2,4 ou 5 Ghz)
  • Découvrez si l'appareil effectue une itinérance de couche 2 en émettant un term mon(pour le regarder en temps réel) ou show loggpour vérifier l'historique.
  • Assurez-vous que vous avez la configuration IAPP appropriée sur les pointswlccp wds priority <value> interface BVI1 d' accès en émettant Vous pouvez voir plus d'informations sur WLCCP ici

Il me semble que les informations d'identification 802.1x prennent trop de temps pour être traitées et réauthentifiées auprès de l'AP itinérant. Cela arrêterait le flux de données et aurait des paquets destinés au mauvais point d'accès jusqu'à ce que les informations d'identification soient traitées. Une fois les informations d'identification traitées, la nouvelle entrée ARP est envoyée via AP et le commutateur apprend ensuite où envoyer les données pour ce MAC / IP.

Si vous espérez obtenir de meilleurs résultats d'itinérance. Je recommande fortement d'acheter un contrôleur. Peut-être avez-vous décidé de renoncer à ce coût car il peut être coûteux, surtout si vous n'avez que 2 ou 3 points d'accès dans la région. Mais un WLC 2504 est assez bon marché, il offre des fonctionnalités similaires aux 5508 plus grands, etc. Le nouveau code 7.4 comprend également des extensions 802.11r et 802.11k pour une itinérance AP plus rapide et plus contrôlée.

knotseh
la source
Comment passez-vous des transferts de fichiers lents à une réponse à un problème lent d'authentification ou d'itinérance? Je peux penser à plusieurs FAR causes plus probables du problème en question.
Apprendre