Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Предотвратите крупномасштабные беспроводные холмы плавки сети RADIUS

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет краткий обзор базовой конфигурации рекомендации для крупномасштабных беспроводных развертываний, таких как Контроллер беспроводной локальной сети (WLC) AireOS с RADIUS с платформой Cisco Identity Services Engine (ISE) или сервер Cisco Secure Access Control Server (ACS). Этот документ ссылается на другие документы с большими техническими подробностями.

Внесенный Аароном Леонардом, Шанкаром Раманатаном, и Джесси Дюбуа, специалистами службы технической поддержки Cisco.

Наблюдаемые признаки

Как правило, университетские среды встречаются с этим состоянием краха Аутентификации, авторизации и учета (AAA). В этом разделе описываются обычные Признаки/Журналы, засвидетельствованные в этой среде.

1. Производительность RADIUS монитора

Клиент Dotx испытывает большую задержку со многими повторными попытками для аутентификации.

Используйте команду show radius auth statistics (GUI: Монитор> Статистика> серверы RADIUS) для поиска проблем. В частности ищите большие числа Повторных попыток, Отклонений и Таймаутов. Например:

Server Index..................................... 2
Server Address................................... 192.168.88.1
Msg Round Trip Time.............................. 3 (msec)
First Requests................................... 1256
Retry Requests................................... 5688
Accept Responses................................. 22
Reject Responses................................. 1
Challenge Responses.............................. 96
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 1
Timeout Requests................................. 6824
Unknowntype Msgs................................. 0
Other Drops...................................... 0

Ищите:

  • Высокая Повторная попытка: Первое соотношение Запроса (должны быть не больше, чем 10%),
  • Высокое Отклонение: Примите соотношение
  • Высокий Таймаут: Первое соотношение Запроса (должны быть не больше, чем 5%),

Если существуют проблемы, проверьте для:

  • Неверно - настроенные клиенты
  • Проблемы возможности доступа к сети между WLC и сервером RADIUS
  • Проблемы между сервером RADIUS и базой данных бэкэнда, если в использовании, такой как с Active Directory (AD)

2. WLC видит очередь RADIUS, полную на Msglogs

WLC получает это сообщение об очереди RADIUS:

Univ-WISM2-02: *aaa QueueReader: Dec 02 14:25:31.565: #AAA-3-3TXQUEUE_ADD_FAILED:
radius_db.c:889 Transmission queue full. Que name: Radius queue. Dropping
sessionpackets.
host = x.x.x.x.

3. Debug AAA

Отладка AAA показывает это сообщение:

*aaaQueueReader: Dec 02 21 09:19:52.198: xx:xx:xx:xx:xx:xx Returning AAA Error
'Out of Memory' (-2) for mobile xx:xx:xx:xx:xx:xx

Отладка AAA возвращает Ошибочный Таймаут AAA (-5) для мобильных устройств. AAA-сервер недостижим и придерживается клиентским deauthorization.

4. Сервер RADIUS Слишком Занят и Не Отвечает

Вот Регистрационное Trap-сообщение Системного времени:

0 Wed Aug 20 15:30:40 2014 RADIUS auth-server x.x.x.x:1812 available
1 Wed Aug 20 15:30:40 2014 RADIUS auth-server x.x.x.x:1812 available
2 Wed Aug 20 15:30:40 2014 RADIUS server x.x.x.x:1812 activated on WLAN 6
3 Wed Aug 20 15:30:40 2014 RADIUS server x.x.x.x:1812 deactivated on WLAN 6
4 Wed Aug 20 15:30:40 2014 RADIUS auth-server x.x.x.x:1812 unavailable
5 Wed Aug 20 15:30:40 2014 RADIUS server x.x.x.x:1812 failed to respond to request
(ID 22) for client 68:96:7b:0e:46:7f / user 'user1@univ1.edu'
6 Wed Aug 20 15:29:57 2014 User Larry_Dull_231730 logged Out. Client MAC:84:a6:c8:
87:13:9c, Client IP:198.21.137.22, AP MAC:c0:7b:bc:cf:af:40, AP Name:Dot1x-AP
7 Wed Aug 20 15:28:42 2014 RADIUS server x.x.x.x:1812 failed to respond to request
(ID 183) for client 48:d7:05:7d:93:a5 / user ' user2@univ2.edu '
8 Wed Aug 20 15:28:42 2014 RADIUS auth-server x.x.x.x:1812 unavailable
9 Wed Aug 20 15:28:42 2014 RADIUS server x.x.x.x:1812 failed to respond to request
(ID 154) for client 40:0e:85:76:00:68 / user ' user1@univ1.edu '
10 Wed Aug 20 15:28:41 2014 RADIUS auth-server x.x.x.x:1812 available
11 Wed Aug 20 15:28:41 2014 RADIUS auth-server x.x.x.x:1812 unavailable
12 Wed Aug 20 15:28:41 2014 RADIUS server x.x.x.x:1812 failed to respond to request
(ID 99) for client 50:2e:5c:ea:e4:ba / user ' user3@univ3.edu '
13 Wed Aug 20 15:28:38 2014 RADIUS auth-server x.x.x.x:1812 available
14 Wed Aug 20 15:28:38 2014 RADIUS auth-server x.x.x.x:1812 unavailable
15 Wed Aug 20 15:28:38 2014 RADIUS server x.x.x.x:1812 failed to respond to request
(ID 30) for client b4:18:d1:60:6b:51 / user ' user1@univ1.edu '
16 Wed Aug 20 15:28:38 2014 RADIUS auth-server x.x.x.x:1812 available
17 Wed Aug 20 15:28:38 2014 RADIUS server x.x.x.x:1812 activated on WLAN 6
18 Wed Aug 20 15:28:38 2014 RADIUS server x.x.x.x:1812 deactivated on WLAN 6
19 Wed Aug 20 15:28:38 2014 RADIUS auth-server x.x.x.x:1812 unavailable

Настройка оптимального метода

Настройка стороны WLC

  • Протокол EAP - Заставляет исключение клиента 802.1X работать.

    • Включите клиентское исключение глобально для 802.1X.
    • Исключение клиента набора на Беспроводных локальных сетях 802.1X (WLAN) по крайней мере к 120 секундам.
    • Таймеры EAP набора, как описано в Исключении Клиента 802.1X на статье AireOS WLC.


  • Тайм-ауты повторной передачи RADIUS набора по крайней мере к пяти секундам.

  • Session-Timeout набора по крайней мере к восьми часам.

  • Отключите Агрессивное Аварийное переключение, которое не позволяет одиночному соискателю с некорректным поведением заставлять WLC отказывать между серверами RADIUS.

  • Настройте Быстро Безопасный Роуминг для своих клиентов.

    • Удостоверьтесь, что клиенты EAP Microsoft Windows используют Защищенный доступ по протоколу Wi-Fi 2 (WPA2) / Расширенный стандарт шифрования (AES), таким образом, они могут использовать Оппортунистическое ключевое кэширование (OKC).

    • Если можно выделять клиентов iOS Apple к их собственному WLAN, то можно включить 802.11r на том WLAN.

    • Включите централизованное управление ключами Cisco (CCKM) для любого WLAN, который поддерживает 792x телефоны (но не включайте CCKM ни на каких идентификаторах наборов сервисов (SSID), которые поддерживают Microsoft Windows или клиентов Android, потому что они имеют тенденцию иметь проблематичные реализации CCKM).

    • Включите Кэширование ключа Sticky (SKC) для любого WLAN EAP, который поддерживает Операционную систему Macintosh (MAC OS) X и/или клиенты Android.

      См. Роуминг WLAN 802.11 и Быстро-безопасный Роуминг на CUWN для получения дополнительной информации.

      Примечание: Контролируйте свое использование кэша парного главного ключа (PMK) WLC в пиковое время с show pmk-cache вся команда. Если вы достигаете своего максимального размера кэша PMK или рядом с ним, то необходимо будет, вероятно, отключить SKC.


    • При использовании ISE с профилированием то используйте профилирование DHCP/HTTP стороны WLC. Это обертывает копировальные данные в пакет RADIUS Accounting, который легко распределен нагрузку, который гарантирует, что все данные для оконечной точки достигают той же Сети услуг общего пользования (PSN).

    • Удостоверьтесь, что промежуточный учет выключен, пока вам не нужен он для основанных на байте сервисов составления счетов. В противном случае промежуточный учет только добавляет загрузку без дополнительного преимущества.

    • Выполните лучший код WLC.

    Настройка серверной части RADIUS

    • Уменьшите скорость регистрации. Большинство серверов RADIUS конфигурируемо, о какой регистрации они сохранят. Если ACS или ISE используются, администратор может выбрать, какие категории зарегистрированы к контролирующей базе данных. Один пример мог бы быть то, если учетные данные отосланы сервера RADIUS и просмотрены с другим приложением, таким как СИСТЕМНЫЙ ЖУРНАЛ, то не пишите данные в базу данных локально. На ISE гарантируйте, что регистрационное подавление остается включенным в любом случае. Если это должно быть отключенный для целей устранения проблем, то переходят к администрированию> Система> Регистрация> Фильтры Набора и используют опцию Bypass Suppression для отключения подавления на отдельной оконечной точке или пользователе. В Версии 1.3 ISE и позже, оконечная точка может щелкнуться правой кнопкой мыши в оперативном опознавательном журнале для отключения подавления также.

    • Гарантируйте, что задержка аутентификации бэкэнда низка (AD, Протокол LDAP, Rivest, Shamir, Адлемен (RSA)). При использовании ACS или ISE опознавательные сводные отчеты могут быть выполнены для мониторинга задержки на основе на сервер и для средней и для пиковой задержки. Чем дольше это берет запрос, который будет обработан, тем ниже опознавательная скорость ACS или ISE может обработать. 95% времени, большая задержка происходит из-за медленного ответа от базы данных бэкэнда.

    • Отключите Повторные попытки Пароля Защищенного расширяемого протокола аутентификации (PEAP). Большинство устройств не поддерживает повторные попытки пароля в туннеле PEAP, таким образом, повторная попытка от сервера EAP заставляет устройство прекращать отвечать и перезапуск новым сеансом EAP. Это вызывает таймауты EAP вместо отклонений, что означает, что не будут поражены клиентские исключения.

    • Отключите Неиспользованные Протоколы EAP. Это не важно, но действительно добавляет, что некоторая эффективность к EAP обменивается, и гарантирует, что клиент не может использовать слабый или непреднамеренный метод EAP.

    • Включите резюме сеанса PEAP и быстро воссоединитесь.

    • Не передавайте Проверки подлинности MAC к AD если не необходимый. Это - распространенная ошибка конфигурации, которая увеличивает загрузку на контроллерах домена, против которых аутентифицируется ISE. Они часто приводят к отрицательным поискам, которые являются трудоемкими и увеличивают среднюю задержку.

    • Используйте Датчик Устройства где применимый (определенный ISE).


Document ID: 118703