Un usuario con conexión inalámbrica protegida con 802.1x informa conexiones ssh lentas o estancadas

8

Recientemente hemos configurado la conexión inalámbrica 802.1x en nuestra ubicación de Londres. Un usuario informa que una copia ssh entre la subred inalámbrica y la subred de nuestro servidor da como resultado transferencias más lentas y eventualmente estancadas. La misma transferencia a través de dos segmentos cableados (utilizando la misma puerta de enlace, un ASA) es rápida.

A continuación se muestra la configuración de la unidad. He visto este problema antes en los entornos de Cisco, pero nunca antes había estado en el equipo a cargo de solucionarlo, así que no tengo idea de qué podría estar causándolo.

¿Alguien puede compartir algunas ideas sobre cómo solucionar esto?

Versión ROM


LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team

ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)

LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:

Modelo de dispositivo


LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED

Ejecutando Config 


LON-AP01#sh run
Building configuration...

Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
 server 10.99.2.11
 server 10.99.2.12
!
aaa group server radius dummy
 server 10.99.2.11
 server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
   vlan 50
   authentication open eap eap_methods
   authentication shared eap eap_methods
   authentication key-management wpa
   mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
 method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 encryption mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 no dfs band block
 stbc
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.99.0.6 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input ssh
!
end

LON-AP01#
wireless cisco-ios-15 Peter Grace
fuente
¿Hay algún otro servicio en la subred de su servidor al que puedan acceder los usuarios inalámbricos? ¿Tiene un buen rendimiento para un usuario inalámbrico dado mientras tiene un mal rendimiento para la transferencia SSH? Si este fuera el caso, podemos descartar problemas en el segmento de radio.
Daniel Yuste Aroca
2
Tal como está, esto es demasiado amplio para responder en este punto. Dos cosas con fines de prueba para tratar de reducir el problema. Primero, configure un SSID claro / abierto y pruebe usando eso para ver si el rendimiento es mejor. En segundo lugar, mueva el dispositivo cliente aproximadamente 10 'con una línea clara del sitio al punto de acceso y vea si el rendimiento mejora en absoluto.
YLearn
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

3

Ha pasado un tiempo desde que trabajé los AP de Cisco en la línea de comandos, sin embargo, si estoy leyendo la configuración correctamente, hay un par de cambios que haré que pueden ayudar al rendimiento.

Tal como están las cosas, si algún cliente se conecta mediante TKIP, entonces el AP desactivará automáticamente las tarifas MCS (es decir, las tarifas 802.11n), dejándole solo las tarifas heredadas (hasta 54 Mbps). Esto puede tener un grave impacto en el rendimiento, ya que afecta a todos los clientes.

Primero, en su configuración, configuraría la conexión inalámbrica para usar específicamente WPA2. Si bien no es necesario para el rendimiento una vez que deshabilita TKIP (con TKIP habilitado, algunos clientes que eligen usar WPA en lugar de WPA2 también usarán TKIP de forma predeterminada), esto simplifica la solución de problemas ya que no tiene que averiguar qué método de administración de claves está en uso por clientes. Puede hacer esto cambiando a esto:

dot11 ssid InformationHighwayOnRamp
 authentication key-management wpa version 2

En segundo lugar, tiene TKIP habilitado como una opción en su configuración y nuevamente, si algún cliente se conecta a la red inalámbrica usando TKIP, entonces el AP deshabilitará todas las velocidades de datos MCS 802.11n. Solo permitiría AES-CCMP cambiando estas líneas (aparece varias veces en la configuración):

encryption vlan 50 mode ciphers aes-ccm tkip
encryption mode ciphers aes-ccm tkip

a esto:

encryption vlan 50 mode ciphers aes-ccm
encryption mode ciphers aes-ccm

Tenga en cuenta que su pregunta aún es muy amplia y esto es solo un punto de partida. Si obtenemos más información, puedo editar mi respuesta más tarde.

YLearn
fuente
Gracias @YLearn, intentaré esto mañana y veré si mejora algo. El punto interesante es que la transferencia comienza rápidamente, pero luego se ralentiza y se detiene. Casi se siente como un problema de control de congestión TCP.
Peter Grace
1

En primer lugar, el rendimiento en una conexión por cable generalmente SIEMPRE será mejor que una conexión inalámbrica. Una red inalámbrica está utilizando un medio compartido (aire) para transferir datos. La comunicación inalámbrica siempre ha sido y sigue siendo half duplex. Por mucho que MIMO permita que se formen múltiples canales de datos, solo un dispositivo puede ocupar el espacio de canal dado a la vez.

De todos modos, volvamos a su problema. Estás utilizando un 2602 que contiene un MIMO 3x4. Está configurado en modo autónomo. Asumiré que tiene algunos AP configurados con el mismo SSID / contraseña para extender el área de cobertura o la densidad del dispositivo.

Deberías revisar algunas cosas ...

  • Haga un ping concurrente hacia o desde la computadora mientras reproduce los problemas.
  • Descubre en qué frecuencia estás conectado. (2.4 o 5 Ghz)
  • Averigüe si el dispositivo está haciendo un recorrido de capa 2 emitiendo un term mon(para verlo en tiempo real) o show loggpara verificar el historial.
  • Asegúrese de tener la configuración IAPP adecuada en los AP emitiendo wlccp wds priority <value> interface BVI1Puede ver más información sobre WLCCP aquí

Me parece que las credenciales 802.1x tardan demasiado en procesarse y volver a autenticarse en el AP itinerante. Esto detendría el flujo de datos y tendría paquetes destinados al AP incorrecto hasta que se procesen las credenciales. Una vez que se procesan las credenciales, la nueva entrada ARP se envía a través de AP y el conmutador aprende a dónde enviar los datos para ese MAC / IP.

Si espera obtener mejores resultados de roaming. Recomiendo comprar un controlador. Tal vez decidió renunciar a ese costo, ya que puede ser costoso, especialmente si solo tiene 2 o 3 AP en el área. Pero un WLC 2504 es bastante barato, ofrece características similares a las 5508 más grandes, etc. Algunas características incluyen administración centralizada, RRM, Cisco Clean Air (si crees que esto realmente ayuda o no) y capacidades de roaming de Capa 2 o Capa 3. El nuevo código también incluye 7,4 802.11r y 802.11k extensiones de forma más rápida y controlada de itinerancia dispositivo AP.

knotseh
fuente
¿Cómo se pasa de transferencias de archivos lentas a una respuesta a un problema de autenticación lenta o roaming? Puedo pensar en varias causas MUCHO más probables para el problema en cuestión.
YLearn