网络工程 - 使用 802.1x 保护的无线网络的用户报告 ssh 连接缓慢或停滞 - 吾爱随笔录

使用 802.1x 保护的无线网络的用户报告 ssh 连接缓慢或停滞

网络工程无线的 cisco-ios-15

2021-07-21 23:15:48

我们最近在伦敦办事处设置了 802.1x 无线网络。一位用户报告说，无线子网和我们的服务器子网之间的 ssh 副本会导致传输持续变慢并最终停滞。跨两个有线网段（使用同一个网关——ASA）的相同传输速度很快。

下面是单元的配置。我以前在 Cisco 环境中遇到过这个问题，但我以前从未在负责解决该问题的团队中工作过，所以我不知道是什么原因造成的。

任何人都可以分享一些关于如何解决这个问题的想法吗？

ROM版本


LON-AP01# sh ver
Cisco IOS Software, C3600 Software (AP3G2-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 11-Dec-12 00:15 by prod_rel_team

ROM: Bootstrap program is C3600 boot loader
BOOTLDR: C3600 Boot Loader (AP3G2-BOOT-M) LoaderVersion 12.4(25e)JA1, RELEASE SOFTWARE (fc1)

LON-AP01 uptime is 1 day, 22 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:/ap3g2-k9w7-mx.152-2.JB/ap3g2-k9w7-xx.152-2.JB"
Last reload reason:

设备型号


LON-AP01#sh inv
NAME: "AP2600", DESCR: "Cisco Aironet 2600 Series (IEEE 802.11n) Access Point"
PID: AIR-SAP2602E-E-K9 , VID: V01, SN: REDACTED

运行配置


LON-AP01#sh run
Building configuration...

Current configuration : 4168 bytes
!
! Last configuration change at 00:01:07 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LON-AP01
!
!
logging rate-limit console 9
enable secret 5 redacted
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius rad_eap
 server 10.99.2.11
 server 10.99.2.12
!
aaa group server radius dummy
 server 10.99.2.11
 server 10.99.2.12
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication dot1x default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
no ip cef
ip domain name ds.stackexchange.com
ip name-server 10.99.2.11
ip name-server 10.99.2.12
!
!
!
dot11 syslog
dot11 vlan-name LON-CLIENTS vlan 20
dot11 vlan-name LON-MGMT vlan 10
dot11 vlan-name LON-WIRELESS vlan 50
!
dot11 ssid InformationHighwayOnRamp
   vlan 50
   authentication open eap eap_methods
   authentication shared eap eap_methods
   authentication key-management wpa
   mbssid guest-mode
!
!
dot11 network-map
eap profile stack-eap
 method fast
!
crypto pki token default removal timeout 0
!
!
dot1x system-auth-control
username admin privilege 15 secret 5 redacted
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 encryption mode ciphers aes-ccm tkip
 !
 ssid InformationHighwayOnRamp
 !
 antenna gain 0
 no dfs band block
 stbc
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.99.0.6 255.255.255.0
 no ip route-cache
!
ip default-gateway 10.99.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.99.2.11 key 7 redacted
radius-server host 10.99.2.12 key 7 redacted
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input ssh
!
end

LON-AP01#

2个回答

自从我在命令行上使用 Cisco AP 以来已经有一段时间了，但是如果我正确阅读了配置，我会做出一些可能有助于提高性能的更改。

就目前而言，如果任何客户端确实使用 TKIP 进行连接，那么 AP 将自动禁用 MCS 速率（即 802.11n 速率），只剩下传统速率（高达 54Mbps）。这可能会严重影响性能，因为它会影响所有客户端。

首先，在您的配置中，我会将无线设置为专门使用 WPA2。虽然禁用 TKIP 后性能不是必需的（启用 TKIP，一些选择使用 WPA 而不是 WPA2 的客户端默认情况下也会使用 TKIP）这确实简化了故障排除，因为您不必弄清楚使用哪种密钥管理方法客户使用。您可以通过更改为：

dot11 ssid InformationHighwayOnRamp
 authentication key-management wpa version 2

其次，您在配置中启用了 TKIP 作为一个选项，再次，如果任何一个客户端使用 TKIP 连接到无线，则 AP 将禁用所有 802.11n MCS 数据速率。我只会通过更改这些行（在配置中多次出现）来允许 AES-CCMP：

encryption vlan 50 mode ciphers aes-ccm tkip
encryption mode ciphers aes-ccm tkip

对此：

encryption vlan 50 mode ciphers aes-ccm
encryption mode ciphers aes-ccm

请记住，您的问题仍然非常广泛，这只是一个起点。如果我们获得更多信息，我可以稍后编辑我的答案。

首先，有线连接的性能通常总是比无线连接好。无线网络使用共享介质（空气）来传输数据。无线通信一直是并且仍然是半双工的。尽管 MIMO 允许形成多个数据信道，但一次只能有一个设备占用给定的信道空间。

无论如何，回到你的问题。您使用的是包含 3x4 MIMO 的 2602。它在自治模式下配置。我将假设您有几个 AP 配置了完全相同的 SSID/密码，以扩展覆盖区域或设备密度。

你应该检查一些事情......

在重现问题的同时对计算机执行并发 ping 操作。
找出您连接的频率。（2.4 或 5 GHz）
通过发出term mon（以实时观看）或show logg检查历史记录来确定设备是否正在执行第 2 层漫游。
通过发出您可以在此处查看有关WLCCP 的更多信息，确保您在 AP 上具有正确的IAPP配置wlccp wds priority <value> interface BVI1

在我看来，802.1x 凭据处理和重新验证漫游 AP 的时间太长。这将停止数据流并使数据包发往错误的 AP，直到凭据得到处理。处理完凭据后，新的 ARP 条目将通过 AP 发送出去，然后交换机会获知将该 MAC/IP 的数据发送到何处。

如果您希望获得更好的漫游效果。我强烈建议购买控制器。也许您决定放弃该成本，因为它可能很昂贵，尤其是当您在该区域只有 2 或 3 个 AP 时。但是 WLC 2504 相当便宜，它提供与较大的 5508 等类似的功能。一些功能包括集中管理、RRM、Cisco Clean Air（无论您是否认为这真的有帮助）以及第 2 层或第 3 层漫游功能。较新的 7.4 代码还包括802.11r和802.11k扩展，以实现更快、更可控的设备 AP 漫游。

其它你可能感兴趣的问题

上一篇路径中有 10G-SFP 的 Cisco Nexus 交换矩阵扩展器？下一篇Cisco GET VPN 配置 - 最佳实践/是否可以使用环回？