Sem fio : Cisco Aironet 1130 AG Series

WGB que vagueia: Detalhes e configuração internos

15 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

A ponte do grupo de trabalho Cisco (WGB) é muito uma ferramenta útil para o projeto e o desenvolvimento de uma rede Wireless porque permite que os dispositivos do NON-Sem fio ganhem a mobilidade. O WGB fornece muitos detalhes em vaguear, em acesso de segurança, etc., cenários de distribuição desse impacto segundo suas necessidades.

Nas versões de código 12.4(25d)JA e mais tarde, Cisco introduziu um conjunto de comandos e mudanças a fim aperfeiçoar o uso do WGB em ambientes vagueando de alta velocidade.

Este aspectos diferentes das capas de documento de como um WGB trabalha, incluindo pontos de decisão vagueando do algoritmo, e de como configurar-lo para o modelo do uso pretendido.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Solução de LAN do Cisco Wireless

  • Ponte do grupo de trabalho Cisco

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Que é um bridge de grupo de trabalho?

Um WGB é basicamente um Access Point (AP) configurado para atuar como um cliente Wireless para uma infraestrutura, e para fornecer a Conectividade da camada 2 para os dispositivos conectados a sua interface Ethernet.

Um desenvolvimento típico WGB tem estes componentes:

  • Dispositivo WGB, normalmente com pelo menos o um rádio e a uma interface Ethernet

  • Um infraestrutura Wireless, chamado normalmente raiz AP, que podem ser autônoma ou unificada.

  • Uns ou vários dispositivos do cliente prendidos conectados ao WGB. Este documento não cobre as encenações misturadas do papel (um rádio como o WGB, um rádio como a raiz no mesmo AP).

Há três tipos principais de WGB:

  • Cisco WGB: Cisco WGB é todo o ½ do ¿  de Cisco IOSï - AP baseado configurado como WGB (1130, 1240, 1250, etc.). Este modo usa o protocolo IAPP para informar a infraestrutura de rede dos dispositivos que o WGB aprendeu em sua interface Ethernet. Neste caso, o controlador do Wireless LAN (WLC) ou a raiz AP têm a visibilidade da camada 2 dos dispositivos “que penduram” do WGB.

  • Não Cisco WGB: Este é um dispositivo de terceira parte que atua como um WGB, conectando uns ou vários dispositivos prendidos ao infraestrutura Wireless. Estes não apoiam o IAPP, e permita somente um único dispositivo prendido, ou forneça um mecanismo da tradução do MAC address, escondendo todos seus clientes prendidos atrás de um único MAC address do 802.11. Estes tipos de dispositivos precisam a manipulação especial no Address Resolution Protocol (ARP) e nos quadros DHCP se a infraestrutura é um WLC devido às verificações de segurança e à manipulação do quadro feitas em controladores.

  • Cisco AP configurado como “o WGB universal”: Este é um modo que suprima o mecanismo IAPP, assim que o WGB pode ser usado para uma raiz AP da infraestrutura ou da terceira parte de Cisco. Neste caso, o WGB toma o endereço de seu cliente de Ethernet, limitando o número de dispositivos atrás dele a um.

Os focos da próxima seção na encenação de Cisco WGB usaram-se para a infraestrutura autônoma ou WLC.

Encenações do uso

Os exemplos típicos do uso WGB incluem:

  • Conectando uma impressora prendida à rede

  • Disposições diferentes da fabricação, onde não é praticável ou prática executar um cabo ao dispositivo prendido

  • disposições do Em-veículo, onde o WGB fornece a Conectividade de um carro, de um trem do metro, etc., a uma rede de Outdoor Wireless

  • Câmeras prendidas

Cada exemplo tem suas próprias exigências em termos de:

  • A largura de banda precisou de apoiar o aplicativo que será executado sobre o infraestrutura Wireless

  • Tolerância de retardo vagueando - Quanto tempo toma para que o WGB se mova do AP atual para o seguinte quando o dispositivo se mover?

  • Tolerância do tempo de encaminhamento - Quantos quadros são perdidos em cada um que vagueia?

Uma impressora não se move muito, assim que as exigências vagueando são mais baixas. Um WGB montado trem por outro lado, necessidades que ajustam-se no componente vagueando a fim segurar o comportamento correto quando se mover ao redor.

Um fluxo de vídeo pode ter um grande requisito de largura de banda, assim que precisa taxas de dados wireless altas. Contudo, um aplicativo da telemetria pôde somente precisar alguns quadros de vez em quando.

É importante que as exigências estão definidas corretamente desde o início, porque afetam não somente a configuração do WGB, mas também como o infraestrutura Wireless tem que ser projetado. Por exemplo, a colocação AP, distância, níveis da potência, permitiu taxas, etc., toda afeta características vagueando. Consequentemente, todos são um ponto crucial se vaguear de alta velocidade é precisado.

Geralmente, você deve conhecer estes detalhes:

  • Que é a largura de banda necessário para o aplicativo?

  • Que é a tolerância de retardo vagueando?

  • Podem as desconexões da rede do punho do aplicativo corretamente? Há um mecanismo de backup adicional?

  • Pode o aplicativo segurar a perda de pacotes corretamente? (Mesmo no melhor projeto wireless, você deve esperar uma porcentagem da perda de pacotes.)

Este documento não endereça os detalhes em como projetar um ambiente RF para a alta velocidade que vagueiam/exteriores. Refira o guia de distribuição exterior da malha.

Vaguear

Para um dispositivo Wireless, vaguear é muito uma parte crítica de sua funcionalidade.

Basicamente, vaguear significa a capacidade de ir de um AP a outro, ambos que pertencem ao mesmo infraestrutura Wireless.

Porque vaguear precisa uma mudança do AP atual ao seguinte, há uma desconexão ou uma estadia resultante sem serviço. Esta desconexão pode ser pequena. Por exemplo, menos do que 200ms em disposições da Voz ou muito mais longo, mesmo segundos, se a Segurança necessária reforça uma autenticação completa em cada um vagueiam o evento.

Vaguear é precisado assim que o dispositivo pode encontrar um pai novo com sinal esperançosamente melhor, e pode continuar a alcançar corretamente a infraestrutura de rede. Ao mesmo tempo, demasiado vagueia pode causar desconexões ou o tempo múltiplo sem serviço, que afeta o acesso. É importante para um dispositivo móvel, tal como um WGB, ter um bom algoritmo vagueando com bastante capacidades da configuração de adaptar-se aos ambientes RF e às necessidades diferentes dos dados.

Elementos de vaguear

  • Disparadores: Cada implementação de cliente tem uns ou vários disparadores ou os eventos, isso quando encontrados, fazem com que o dispositivo mova-se para um outro pai AP. Exemplos: não ilumine a perda (o dispositivo não ouve anymore as balizas regulares do AP), as novas tentativas do pacote, o nível de sinal, o nenhum dados recebido, a taxa de dados recebida, baixa do quadro do deauthentication no uso, etc. Os disparadores possíveis podem ser diferentes da implementação de cliente a outros porque não são estandardizados inteiramente. Uns dispositivos mais simples puderam ter um disparador deficiente ajustado, que causasse ruim (clientes pegajosos) ou desnecessário vagueia. O WGB apoia todos os elementos prévios descritos antes.

  • Tempo da varredura: O dispositivo Wireless (WGB) passa alguma hora que procura por pais potenciais. Isto implica normalmente ir nos canais diferentes, fazendo a sondagem ou passivamente a escuta ativa AP. Como o rádio tem que fazer a varredura, este tempo de meios que o WGB gasta fazer algo mais diferente dos dados de encaminhamento. Deste tempo da varredura, o WGB pode construir um grupo válido de pais a que pode ser vagueado.

  • Seleção do pai: Após o tempo da varredura, o WGB pode verificar os pais potenciais, selecionar melhor e provocar a associação/processo de autenticação. Às vezes, o ponto de decisão pode ser permanecer no pai atual se não há um benefício significativo de um evento vagueando (recorde que vaguear demasiado pode ser ruim).

  • Associação/autenticação: O WGB continua ao associado ao AP novo, que cobre normalmente fases da autenticação e da associação do 802.11, mais a terminação da política de segurança configurada no SSID (WPA 2-PSK, CCKM, nenhum, etc.).

  • Restauração do encaminhamento de tráfego: O WGB atualiza a infraestrutura de rede de seus clientes prendidos conhecidos através das atualizações IAPP após vaguear. Após este ponto, o tráfego para/desde os clientes prendidos à rede recomeça.

Manual de configuração - Políticas de segurança

Um aspecto importante para vaguear em dispositivos móvéis é o que é a política de segurança que será executada na infraestrutura. Há diversas opções, cada um com bons/pontos ruins. Estes são as mais importantes:

  • Abra — Basicamente nenhuma Segurança. Isto é o mais rápido, e mais simples de todas as políticas. Isto tem o problema principal de não restringir o acesso não autorizado à infraestrutura e a nenhuma proteção contra ataques, que limita seu uso às encenações muito específicas. Por exemplo, minas onde nenhum ataque externo é possível devido à natureza completa do desenvolvimento.

  • Autenticação do MAC address — Basicamente mesmo nível de segurança que aberto, como a falsificação do MAC address é um ataque trivial. Não recomendado devido ao momento adicionado de terminar a validação MAC, que retarda vaguear.

  • WPA2-PSK — Oferece o bom nível de encripção (AES-CCMP), mas a Segurança da autenticação depende da qualidade da chave preshared. Para medidas de segurança, uma senha de caráteres do mínimo 12 e um aleatório são recomendados. Similar ao método da chave pré-compartilhada, como a chave está usado em dispositivos múltiplos, se a chave é comprometida a senha precisa de ser alterada através de todos os equipamentos. A velocidade vagueando é aceitável, como é feita em trocas do quadro 6, e você pode calcular o que será os limites superiores e inferiores do tempo para que termine porque não envolve nenhum equipamento externo (nenhuns servidor Radius, etc.). Geralmente, este método é preferido após ter equilibrado problemas e benefícios.

  • WPA2 com 802.1x — Isto melhora no método anterior usando a pelas credenciais do dispositivo/usuário, que podem individualmente ser mudadas. O problema principal é aquele vagueando, este método não trabalha corretamente quando o dispositivo se está movendo rapidamente, ou os tempos vagueando curtos são precisados. Geralmente, isto usa os mesmos quadros 6 mais a troca EAP que pode ser entre 4 e acima. Isto depende de que tipo EAP é selecionado e os tamanhos do certificado. Normalmente, isto toma entre o 10 a 20 quadros, mais o atraso adicionado do processamento do servidor Radius.

  • WPA2+CCKM — Este mecanismo oferece a boa proteção, usa o 802.1x para construir a autenticação inicial, a seguir faz uma troca rápida de apenas 2 quadros em cada um vagueia o evento. Isto oferece uma estadia vagueando muito rápida. O problema principal é aquele em caso do falhado vagueia, ele reverte para trás no 802.1x. Então, começos usando o CCKM outra vez depois que autentica. Se o aplicativo sobre o WGB pode tolerar uma estadia vagueando longa ocasional em caso dos problemas, pode ser usado como a melhor opção contra o PSK.

Este documento não cobre as Tecnologias não-recomendadas que têm questões de segurança tais como o PULO, o WPA-TKIP, o WEP, etc.

Configurando WPA2-PSK

No WGB, isto é razoavelmente simples configurar. Você precisa a definição SSID e a criptografia apropriada no rádio.

dot11 ssid wgbpsk
vlan 32
authentication open 
authentication key-management wpa version 2
wpa-psk ascii YourReallySecurePSK!
no ids mfp client
 
interface Dot11Radio0
ssid wgbpsk
encryption mode ciphers aes-ccm
station-role workgroup-bridge

Seu nome e a chave pré-compartilhada SSID têm que combinar sua infraestrutura de rede.

Configurando o WPA2 com 802.1x

Constrói basicamente sobre a configuração precedente, com a adição de perfis e de método de autenticação EAP:

dot11 ssid wlan1
authentication open eap eap 
authentication network-eap eap 
authentication key-management wpa version 2
dot1x credentials wgb
dot1x eap profile eapfast
no ids mfp client
eap profile eapfast 

!--- This covers the EAP method type used on your network.

method fast
!
!     
dot1x credentials wgb 

!--- This is your WGB username/password.

username cisco
password 7 1511021F0725  
 
interface Dot11Radio0
encryption mode ciphers aes-ccm 
ssid wlan1

Configurando o WPA2 com CCKM

Somente uma etapa sobre o WPA2 com apenas uma alteração secundária: usando a bandeira CCKM na configuração SSID. Isto supõe que o WLAN está configurado para o CCKM somente no lado WLC:

dot11 ssid wlan1
authentication open eap eap 
authentication network-eap eap 
authentication key-management cckm
dot1x credentials wgb
dot1x eap profile eapfast
no ids mfp client

Validação do método usado

Uma verificação rápida no WGB pode relatar a criptografia e o gerenciamento chave no uso, por exemplo, no CCKM:

wgb-1260#sh dot11 associations al
Address           : 0024.97f2.75a0     Name             : lap1140-etsi-1
IP Address        : 192.168.40.10      Interface        : Dot11Radio 0
Device            : LWAPP-Parent      Software Version : NONE 
CCX Version       : 5                  Client MFP       : Off

State             : EAP-Assoc          Parent           : -                  
SSID              : wlan1                           
VLAN              : 0
Hops to Infra     : 0                  Association Id   : 1
Tunnel Address    : 0.0.0.0
Key Mgmt type     : CCKM               Encryption       : AES-CCMP
 
Current Rate      : m7.-               Capability       : WMM ShortHdr ShortSlot
Supported Rates   : 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7.
Voice Rates       : disabled           Bandwidth        : 20 MHz 
Signal Strength   : -59  dBm           Connected for    : 72 seconds
Signal to Noise   : 41  dB            Activity Timeout : 8 seconds
Power-save        : Off                Last Activity    : 7 seconds ago
Apsd DE AC(s)     : NONE

Packets Input     : 12064              Packets Output   : 136       
Bytes Input       : 2892798            Bytes Output     : 19514     
Duplicates Rcvd   : 87                 Data Retries     : 8         
Decrypt Failed    : 0                  RTS Retries      : 0         
MIC Failed        : 0                  MIC Missing      : 0         
Packets Redirected: 0                  Redirect Filtered: 0 

Configurando vaguear

No WGB, você pode alterar diversos parâmetros que afetam o algoritmo vagueando.

Novas tentativas do pacote

À revelia, o WGB retransmite um quadro 64 vezes. Se não está reconhecido corretamente (ACK) por um pai, supõe que o pai é já não válido, e começa uma varredura/processo vagueando. Veja este como um disparador vagueando do “async” porque se pode fazer a todo instante que uma transmissão falha.

O comando configurar isto, vai dentro da relação do dot11, e toma as seguintes opções:

packet retries NUM [drop]

Numérico: Está entre 1 e 128, com um padrão de 64. Um bom número para um disparador vagueando rápido é geralmente 32. Usar um número inferior não é aconselhável na maioria de ambientes RF.

gota: Se não apresente, o WGB começa um evento vagueando quando as novas tentativas máxima são alcançadas. Quando o presente, o WGB não começar vaguear novo e usar outros disparadores, tais como a perda e o sinal da baliza.

Monitoração RSSI

O WGB pode executar uma varredura pro-ativo do sinal para o pai atual e começar um processo vagueando novo quando o sinal cai abaixo de um nível previsto.

Este processo toma dois parâmetros:

  • Um temporizador, que acorde o processo da verificação segundos cada X

  • Nível RSSI, que está usado para começar um processo vagueando se o sinal atual é fole ele.

Por exemplo:

in d0 
mobile station period 4 threshold 75 

O tempo não deve ser mais baixo que o que o WGB toma para terminar um processo de autenticação a fim impedir “um laço roamming” em algumas circunstâncias ou evitar um comportamento vagueando demasiado agressivo. Geralmente, deve-se testar para ver o que acomoda as necessidades do aplicativo.

Para o PSK pode ser mais baixo do que em métodos baseados EAP (2 e 4 típicos para aplicativos muito agressivos).

O nível RSSI expresed como um inteiro positivo, embora seja basicamente um normal - nível medido dBm. Você deve usar um número mais alto agradável do que o mínimo necessário manter sua taxa de dados trabalhar corretamente. Por exemplo, se sua taxa mínima desejada é 6 mbps, um ponto inicial RSSI de -87 deve ser suficiente. Para um 48 mbps, você precisa o dBm -70, etc.

Nota: Este comando pode igualmente provocar “vaguear pela mudança da taxa de dados”, que é demasiado agressiva. Deve ser usado junto com a taxa mínima para bons resultados.

Taxa de dados mínima

Começando com 12.4(25d)JA, Cisco adicionou um parâmetro configurável para controlar quando o WGB deve provocar um evento vagueando novo, se a taxa de dados atual a parent é fole um o valor dado.

Isto é útil de assegurar-se de que um limite inferior desejado na velocidade esteja mantido a fim apoiar o vídeo ou as Aplicações de voz.

Antes que este comando esteve disponível, o WGB provocou vaguear frequentemente quando a taxa foi encontrada para ser mais baixa do que o tempo precedente. Basicamente no tempo X+1, se a taxa era mais baixa do que o tempo precedente X, o WGB começou um processo vagueando. Nos logs você veria estas mensagens:

*Mar  1 00:36:43.490: %DOT11-4-UPLINK_DOWN: Interface Dot11Radio1, parent lost: Had to lower data rate

Isto é demasiado agressivo, e normalmente, a única solução era configurar uma única taxa de dados no WGB e no pai AP.

Agora, a maneira recomendada é configurar sempre este comando, sempre que um comando móvel do período da estação é usado:

in d0 
mobile station  minimum-rate 2.0

Com isto, o processo vagueando novo é provocado somente se a taxa atual é mais baixa do que o valor configurado. Isto reduz roamings desnecessários e reserva-os manter um valor da taxa esperada.

Nota: A mensagem “teve que taxa de dados mais baixa” é esperada ocorrer mesmo com esta configuração, apenas isso agora que se deve somente ver se o WGB era TX em uma velocidade mais baixa do que configurada, quando o tempo móvel da verificação do período da estação foi provocado.

Canais da varredura

O WGB faz a varredura de todo o “país canaliza” ao fazer um evento vagueando. Isto significa que segundo o domínio de rádio, você pode fazer a varredura dos canais 1 11 na faixa 2.4 gigahertz, ou 1 a 13.

Cada canal feito a varredura toma alguma hora. Em 802.11bg isto é em torno do 10 à Senhora 13. Em 802.11a, pode ser a Senhora até 150 se o canal é DF permitidos (assim sondagem, apenas fazendo a varredura passiva lá).

Uma boa otimização é restringir os canais feitos a varredura para usar somente esses no serviço pela infraestrutura. Isto é especialmente importante em 802.11a, porque a lista do canal é grande, e o tempo pelo canal pode ser longo se os DF estão no uso.

Há três pontos a tomar ao projetar um plano de canal para WGB/Roaming:

  • Para a faixa 2.4 gigahertz, tente colar a 1/6/11 para minimizar a interferência lateral do canal. Todo o outro plano de canal com 4, etc., tende a ser difícil de projetar corretamente do ponto de vista RF, sem interferência crescente.

  • Usar uma instalação do canal único para todos os AP é uma boa ideia do ponto de vista da varredura. Isto faz somente o sentido se o número total de clientes a apoiar é muito baixo, e não há umas exigências da largura de banda elevada. Isto elimina o tempo de rádio da mudança do tempo da varredura. Esteja ciente que poucos ambientes podem tirar proveito desta opção, assim que usam-se com cuidado.

  • Para a faixa 5.0 gigahertz, se é possível por seus regulamentos locais, usar NON-DF internos channels(36 a 48) reserva um tempo mais rápido da varredura, porque o WGB pode ativamente sondar cada um, em vez de fazer um tempo mais longo da escuta passiva.

O plano de canal no uso para seu desenvolvimento pôde precisar de acomodar outras exigências. Use as recomendações de design gerais RF.

A fim configurar a lista do canal da varredura:

in d0 
mobile station scan 1 6 11

Nota: A estação móvel aparece somente ao usar o papel WGB no rádio.

Nota: Certifique-se que sua lista da varredura WGB combina sua lista do canal da infraestrutura. Se não, o WGB não encontrará seus AP disponíveis.

Configurar temporizadores

Está começando com 12.4(25a)JA, diversos comandos new aperfeiçoar o temporizador de recuperação quando um problema é encontrado, que estão somente disponíveis quando o AP reage do modo WGB.

wgb-1260(config)#workgroup-bridge timeouts ?

  assoc-response  Association Response time-out value
  auth-response   Authentication Response time-out value
  client-add      client-add time-out value
  eap-timeout     EAP Timeout value
  iapp-refresh    IAPP Refresh time-out value

No caso da assoc-resposta, a autêntico-resposta, cliente-adiciona, estas indicam quanto tempo o WGB esperará o pai AP para responder, antes de considerar o AP como mortos e de tentar o candidato seguinte. Os valores padrão são os segundos 5, que é demasiado longo para alguns aplicativos. O temporizador mínimo é 800 Senhora e é recomendado para a maioria de aplicativos móveis.

No eap-intervalo, o WGB ajusta um tempo máximo esperar, até que o processo de autenticação de EAP completo esteja terminado. Isto trabalha de um ponto de vista do suplicante EAP a fim reiniciar o processo se o autenticador EAP não está respondendo para trás. O valor padrão é 60 segundos. Seja cuidadoso configurar nunca um valor que possa ser mais baixo do que o tempo real necessário para terminar uma autenticação completa do 802.1x. Normalmente, ajustar isto a 2 a 4 segundos está correto para a maioria de disposições.

Para IAPP-refresque, o WGB gerencie à revelia uma atualização do volume IAPP ao pai AP após vaguear a fim informar dos clientes prendidos conhecidos. Há uma segunda retransmissão após a associação em torno do 10 segundos depois. Este temporizador reserva fazer “uma nova tentativa rápida” do volume IAPP depois que associação a fim superar a possibilidade que a primeira atualização IAPP era perdido devido ao RF, ou as chaves de criptografia instaladas não ainda no pai AP. Para encenações vagueando rápidas, 100ms pode ser usado. Contudo, certifique-se que há um grande número WGB no uso. Isto aumenta significativamente o número total de IAPP enviado à infraestrutura após cada um que vagueia.

Exemplo para valores assertivos:

workgroup-bridge timeouts eap-timeout 4
workgroup-bridge timeouts iapp-refresh 100
workgroup-bridge timeouts auth-response 800
workgroup-bridge timeouts assoc-response 800
workgroup-bridge timeouts client-add 800

Estes foram testados com sucesso em cenários de distribuição móveis WGB.

Outras otimizações WGB

Há outras alterações secundárias a tomar na consideração para cenários de distribuição WGB:

Relacionado de rádio

  • Reduza novas tentativas dos rts - as novas tentativas 32 dos rts. Isto pode ganhar alguma hora RF em encenações agressivas. Isto não é precisado normalmente.

  • Tipo de antena: Se usando uma única antena (nenhuma diversidade), você deve configurar o rádio para melhorar o desempenho geral:

antenna transmit right-a
antenna receive right-a

A diversidade de antena é desejável, mas não sempre possível ao fisicamente instalar Antenas no veículo. A seleção da antena apropriada é crítica para vaguear. Tão pouco quanto DB 2 pode ser uma diferença enorme no tempo médio vagueando geral.

Log relativo

  • A fim salvar certos milissegundos, reduza o nível de logging de console aos erros somente: erros do console de registro. Não o desabilite completamente porque pode afetar negativamente o desempenho vagueando em algumas circunstâncias.

  • Idealmente, o telnet do uso ou o ssh do lado de Ethernet a recolher debugam ou logs. Isto tem um impacto muito mais baixo no desempenho em comparação com o registro debuga sobre o console: logging monitor debugging.

  • O comando compreender o que está ocorrendo para o ponto de vista vagueando WGB é debuga o dot11 do dot11 0 uplinks da cópia do traço. Isto tem o baixo impacto no CPU, mas não permite outro debuga opções a menos que instruído porque cada um pôde incrementar o tempo vagueando total.

  • Tente usar o SNTP quando possível. Isto mantém o tempo WGB na sincronização, que é extremamente útil para pesquisar defeitos.

Uso MFP

  • MFP pode ser útil de um ponto de vista de segurança. Contudo, um inconveniente é aquele em cenários de falha vagueando, o WGB não aceita quadros do de-AUTH do pai AP para provocar vaguear novo se a chave de criptografia entre ambos eles foi mal por qualquer razão.

  • Nestes cenários de falha raros, o WGB pode tomar até os segundos 5 para provocar uma varredura nova, se o pai atual pode ser ouvido com bom sinal RF. Há um mecanismo de detecção “capturar tudo” que o WGB possa provocar se nenhum quadro de dados válidos é recebido durante esse tempo.

  • À revelia, o WGB tenta usar o cliente MFP se o SSID tem WPA2 AES no uso.

  • Recomenda-se desabilitar o cliente MFP se o tempo de recuperação rápido é precisado (WGB a reagir aos quadros NON-protegidos do deauth). Este é um acordo entre necessidades da Segurança e o tempo de recuperação rápido. A decisão depende do que é mais importante para o cenário de distribuição.

dot11 ssid wgbpsk  
   no ids mfp client

EAP-TLS no WGB e do “no intervalo da salvaguarda pulso de disparo”

Refira os pulsos de disparo do suplicante do sincronizar IO e salvar a configuração de tempo à seção NVRAM dos Release Note para Access point e pontes do Cisco Aironet para o Cisco IOS Release 12.4(21a)JY.

Mantenha na mente que se usando o uWGB, o uWGB pôde nunca ter uma oportunidade para fazer uma sincronização do sntp porque é associada tipicamente com o MAC address anexado e o uWGB BVI não tem o acesso de rede. Consequentemente, no caso de um uWGB, recomenda-se obter pelo menos uma boa sincronização de relógio no NVRAM no desenvolvimento. Se o dispositivo anexado do enet tem a capacidade para ser uma fonte NTP (assim como cliente actualizado através de sua conexão do uWGB), a seguir é possível considerar ter a sincronização do sntp do uWGB dele como um ponto eficaz da reflexão NTP.

Exemplo da configuração direta

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname wgb-1260
!
logging rate-limit console 9
logging console errors
!
clock timezone CET 1
no ip domain lookup
!
!
dot11 syslog
!
!
dot11 ssid wgbpsk
   vlan 32
   authentication open 
   authentication key-management wpa version 2
   wpa-psk ascii 7 060506324F41584B56
   no ids mfp client
!
!
!
!         
!
!
username Cisco password 7 13261E010803
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm 
!
ssid wgbpsk
!
antenna transmit right-a
antenna receive right-a
  packet retries 32
station-role workgroup-bridge
rts retries 32
mobile station scan 2412 2437 2462
mobile station minimum-rate 6.0 
mobile station period 3 threshold 70
bridge-group 1
!

interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
bridge-group 1
!
interface BVI1
ip address 192.168.32.67 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.32.1
no ip http server
no ip http secure-server

bridge 1 route ip

sntp server 192.168.32.1
clock save interval 1
workgroup-bridge timeouts eap-timeout 4
workgroup-bridge timeouts iapp-refresh 100
workgroup-bridge timeouts auth-response 800
workgroup-bridge timeouts assoc-response 800
workgroup-bridge timeouts client-add 800

Debugar a análise

Em todas as edições ocorre, é importante capturar em primeiro a saída do dot11 do dot11 debugar 0 comandos do uplink da cópia do traço. Isto fornece uma boa vista do que está ocorrendo com o processo vagueando.

Este é um pai atual do exemplo como o candidato:

 Sep 27 11:42:38.797: %DOT11-4-UPLINK_DOWN: Interface Dot11Radio0, parent lost: Signal strength too low
 Sep 27 11:42:38.797: CDD051F1-0 Uplink: Lost AP, Signal strength too low

Este é disparador para o baixo sinal encontrado. Depende do comando y móvel do ponto inicial do período X da estação. A primeira mensagem é enviada sempre ao console, segunda é parte do uplink debuga traços. É um não problema, mas parte do processo normal WGB.

 Sep 27 11:42:38.798: CDD052C7-0 Uplink: Wait for driver to stop

O processo do uplink força uma remoção de rádio da fila antes de começar uma varredura do canal. Esta etapa pode tomar de alguns milissegundos a diversos segundos segundo a utilização de canal e a profundidade de fila. Os frames de dados não são cronometrados para fora. Os frames de voz têm uma comparação de tempo feita, devem assim ser deixados cair mais rapidamente. Algum atraso pôde ser observado em ambientes ruidosos.

 Sep 27 11:42:38.798: CDD05371-0 Uplink: Enabling active scan
 Sep 27 11:42:38.799: CDD05386-0 Uplink: Scanning

Esta é a varredura real do canal que ocorre. Estaciona o rádio aproximadamente 10 à Senhora 13 pelo canal configurado.

 Sep 27 11:42:38.802: CDD064CD-0 Uplink: Rcvd response from 0021.d835.ade0 channel 1 3695

Esta é a lista de respostas da ponta de prova recebidas. O primeiro número é o canal, segundo é microssegundos tomados para recebê-lo.

 Sep 27 11:42:38.808: CDD078F1-0 Uplink: Compare1 0021.d835.ade0 - Rssi 58dBm, Hops 0, Count 0, load 0
 Sep 27 11:42:38.809: CDD07929-0 Uplink: Compare2 0021.d835.cce0 - Rssi 46dBm, Hops 0, Count 0, load 0

Comparação real feita nestes detalhes:

 Sep 27 11:42:38.809: CDD07BDB-0 Uplink: Same as previous, send null data packet

Seleção do pai

 Sep 27 11:42:38.809: CDD07BF7-0 Uplink: Done
 Sep 27 11:42:38.808: %DOT11-4-UPLINK_ESTABLISHED: Interface Dot11Radio0,
 Associated To AP AP1 0021.d835.ade0 [None WPAv2 PSK]Roaming completed.

Este é o ponto onde vaguear “é terminado”. O tráfego recomeça assim que os quadros IAPP forem processados pelo pai.

O pai compara a informação

 Sep 27 14:16:47.590: F515B1FF-0 Uplink: Compare1 0021.d835.7620 - Rssi 60dBm, Hops 0, Count 0, load 3
 Sep 27 14:16:47.591: F515B238-0 Uplink: Compare2 0021.d835.e8b0 - Rssi 58dBm, Hops 0, Count -1, load 0

O compare1 imprime a contagem real -1 da associação (assim o WGB próprio não está recolhido o número) se o AP “atual” é ainda o um WGB é saltos e carga associados, então reais.

O compare2 imprime as diferenças. Eis porque é possível ver um número negativo. Se o teste tem um número mais alto do que a corrente, você vê o negativo.

Segundo a contagem atual da associação, a carga, diferença do sinal, valor de limiar móvel, o WGB pôde ou não pôde selecionar um pai novo.

A comparação está sempre entre dois AP, com o AP selecionado que substitui a corrente para a iteração seguinte. Consequentemente, algumas das decisões podem ser devido ao RSSI em um laço, ou devido a outros fatores no teste seguinte.


Informações Relacionadas


Document ID: 113198