فهم RADIUS MTU والتجزئة على 9800 WLC

المقدمة

يوضح هذا المستند كيفية تكوين وحدة الحد الأقصى للنقل (MTU) لحزم RADIUS التي ترسلها وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) إلى خادم RADIUS.

المتطلبات الأساسية

المتطلبات

توصي Cisco بوجود فهم أساسي لديك لهذه الموضوعات:

• تكوين AAA لوحدة التحكم في شبكة LAN اللاسلكية 9800 (WLC)
  
• مفاهيم RADIUS للمصادقة والتفويض والمحاسبة (AAA)
• EAP لبروتوكول المصادقة المتوسع
• وحدة الإرسال القصوى (MTU)

المكونات المستخدمة

• Cisco Identity Service Engineer (ISE) 3.2
• سلسلة وحدة التحكم اللاسلكية Catalyst 9800 (Catalyst 9800-L)
• Cisco IOS® XE 17.15.2
• عميل Windows 11 اللاسلكي

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر. 

الخلفية

لأغراض هذا المستند، يكون خادم خدمة مصادقة طلب اتصال المستخدم البعيد (RADIUS) المستخدم هو Cisco ISE. أولا، يتم توضيح كيفية تدفق الحزم دون أي تدخل خارجي أثناء عملية بروتوكول المصادقة المتوسع (EAP). التالي هو خيار التكوين لتغيير حجم طلب الوصول الذي ترسله وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) إلى أي خادم RADIUS. أضفت هذا خيار في IOS-XE صيغة 17.11.

9800 RADIUS MTU

عادة، لا يهم وحدة الحد الأقصى للنقل (MTU) لحزم RADIUS لأنها عادة صغيرة ولا تصل إلى وحدة الحد الأقصى للنقل (MTU) على أي حال. ومع ذلك، عندما يتعين على أحد الجانبين إرسال شهادة، والتي عادة ما تكون 2-5 كيلوبايت، يحتاج الجهاز إلى تجزئة تلك الشهادة للحصول عليها ضمن وحدة الحد الأقصى للنقل (MTU) الخاصة به.

عندما يضطر العميل إلى إرسال شهادة إلى خادم RADIUS، كما هو الحال مع EAP Transport Layer Security (EAP-TLS)، فإنها تقدم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مع حالة حيث يلزم تجزئة الحزمة مرة أخرى بسبب مقدار بيانات RADIUS التي يجب إرسالها معها. حتى 17.11 لم يكن لمسؤول الشبكة أي تحكم على هذه العملية إلا أن المهندسين الآن لديهم خيار التعامل مع حجم طلب الوصول المرسل من قبل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

تدفق حزم EAP-TLS

هذا إلى حد ما يمثل تغوص عميق في ما تبدو عليه الحزم وكيف يتم معالجتها بواسطة البنية الأساسية اللاسلكية. ولفهم التغييرات المقدمة في هذا المستند بالكامل، من المهم معرفة تدفق الحزمة أثناء عملية المصادقة اللاسلكية عند إستخدام dot1x وبشكل أكثر تحديدا EAP-TLS.

إذا كان لديك بالفعل فهم عميق لكيفية عمل تدفق حزمة EAP و RADIUS مع البنية الأساسية اللاسلكية من Cisco، فانتقل بعد ذلك إلى قسم تغيير السلوك الذي يوضح ما تمت إضافته في 17.11، مما يمنح مسؤولي الشبكة المزيد من التحكم في RADIUS MTU. أولا، ألق نظرة على تعريف EAP (EAP-ID).

معرف EAP

يبدأ EAP-ID بواسطة المصدق، وفي هذه الحالة ال WLC. يجب أن يكون هذا هو الجزء الأول من عملية EAP. في بعض الأحيان يرسل العميل اللاسلكي EAPOL-Start. وهذا يعني عادة أن العميل لم يستلم أبدا طلب EAP-ID أو أنه يريد البدء من جديد. 

تحذير: يوجد فرق بين حزمة EAP-ID ومعرف حزمة EAP. يتم إستخدام حزمة EAP-ID لتعريف الطالب حيث يكون معرف حزمة EAP هو رقم يستخدم لتعقب الحزمة المحددة أثناء انتقالها عبر الشبكة.

طلب معرف EAP

أولا يتصل جهاز العميل اللاسلكي بالشبكة باستخدام عملية الاقتران العادية. عندما يتم تكوين الشبكة المحلية اللاسلكية (WLAN) ل dot1x، تحتاج وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) أولا إلى معرفة من هو العميل قبل أن تتمكن من طلب الوصول من خادم RADIUS. للعثور على هذه المعلومات، يرسل WLC طلب العميل و EAP-ID.

من المتوقع أن يستجيب العميل باستجابة EAP-ID. هذا يمنح عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ما تحتاجه لتتمكن من بناء طلب الوصول وإرساله إلى مركز خدمات الهوية (ISE). يكون طلب EAP-ID هو الوقت الذي سيطلب فيه من العميل إدخال اسم المستخدم وكلمة المرور الخاصين به في مصادقة PEAP عادية.

ومع ذلك، فإن هذه المناقشة تدور حول EAP-TLS حتى تحتوي إستجابة EAP-ID هنا على معرف المستخدم فقط. في العرض التوضيحي، يكون معرف المستخدم هو iseuser1. في هذه الحزمة، يمكنك مشاهدة طلب EAP-ID الذي ترسله وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) إلى العميل اللاسلكي بسؤاله عن هويته. بما أن هذا عميل لاسلكي، فإن عنصر WLC يغلف الطلب في CAPWAP ويرسله إلى نقطة الوصول (AP) التي سيتم إرسالها عبر الهواء. في بيانات EAP، يدل الرمز 1 على أنه طلب ويبين النوع 1 أنه للهوية.

إستجابة EAP-ID

ومن المتوقع بعد ذلك أن يظهر إستجابة العميل اللاسلكي باستخدام إستجابة EAP-ID. في بيانات EAP، يتغير الرمز إلى 2 مما يدل على أنها إستجابة، لكن يبقى النوع ك 1، مع الاستمرار في إظهار أنه للهوية. هنا، يمكنك حتى رؤية اسم المستخدم الذي يستخدمه العميل. هناك شيء آخر للتحقق من هذه الحزم وهو رقم معرف حزمة EAP. بالنسبة لتبادل EAP-ID يكون دائما 1 ولكن هذا الرقم يتغير لاحقا إلى شيء آخر بمجرد مشاركة ISE.

يمكنك أن ترى أن كلا الحزم صغير إلى حد ما، لذلك فإن وحدة الحد الأقصى للنقل (MTU) لا تتحمل هنا حيث أنها أقل بكثير من 1500 بايت المستخدمة في الشبكة.

طلب الوصول وتحدي الوصول

الاتصال مع العميل هو EAP والاتصالات بين WLC و ISE هي RADIUS. ولاتصال RADIUS، يتم إستخدام حزم طلب الوصول وتحدي الوصول. تتلقى وحدة التحكم في الشبكة المحلية اللاسلكية حزمة EAP من الموجه وتعيد توجيهها إلى ISE باستخدام طلب وصول RADIUS. في الشبكة العاملة، سيستجيب قسم البنية الأساسية المبسطة لتحدي في الوصول.

طلب الوصول

الآن حيث أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يعرف هوية العميل الذي يحتاج إليه لسؤال خادم RADIUS إذا كان هذا العميل مسموحا به على الشبكة. للقيام بذلك، تطلب وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) الوصول إلى ذلك العميل عن طريق إرسال حزمة طلب الوصول. هناك أجزاء أخرى من البيانات التي سوف ترسلها عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مع بيانات EAP. وتسمى هذه الأجزاء مجتمعة أزواج قيم السمات أو أزواج AVP أو AV طبقا لمن يتحدث.

لن يذهب هذا المستند بعيدا في AVPs حيث أن ذلك خارج نطاق هذه المناقشة. هنا أنت فقط تحتاج أن ترى أن ال username (بيانات EAP) تضمنت وأرسلت إلى ال RADIUS نادل، أي في هذه الحالة، ISE. كما يمكنك أن ترى أن رقم EAP-ID 1 يرسل أيضا إلى ISE. تذكر عندما تنظر إلى معرف حزمة EAP عبر الهواء أنه كان 1 هناك أيضا. الأمر المهم الأخير الذي تجدر ملاحظته هنا هو أنه نظرا لأن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) قد أضاف جميع نقاط الوصول في الوضع Lightweight (AVP) هذه، فإن الحزمة التي أرسلها العميل وقدرها 114 بايت قد تم تحويلها الآن إلى حزمة سعة 488 بايت قبل إرسالها إلى ISE.

تحدي الوصول

وعلى افتراض أن شركة ISE تتلقى طلب الوصول وتقرر الاستجابة، فمن المتوقع أن تأتي هذه الاستجابة كتحد للوصول من شركة ISE. عند النظر إلى طلب الوصول، سترى معرف حزمة RADIUS الخاص ب 36 قبل بدء تشغيل نقاط الوصول الفوري.

عندما يستقبل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) تحدي الوصول يجب أن يتطابق معرف RADIUS مع معرف الحزمة هذا الخاص بطلب الوصول. معرف حزمة RADIUS خاص باتصال RADIUS بين ISE و WLC. كما يمكنك أن ترى في هذه الحزمة أن ISE قد عين معرف EAP جديد لعام 201 يتم إستخدامه لتعقب الاتصال بين ISE والعميل. وعند هذه النقطة، تكون وحدة التحكم في الشبكة المحلية اللاسلكية مجرد مرور للاتصال بين ISE والعميل.

من المهم ملاحظة جميع معرفات الحزم هذه هنا حتى تفهم تدفق التكوين وكيفية تعقب هذه الحزم من خلال الشبكة. في بيئة الإنتاج، عادة ما تكون هناك مصادقات متعددة تحدث في نفس الوقت. أستخدم الأمر call-station-id لمطابقة الحزمة إلى عنوان MAC الخاص بالعميل. بعد ذلك، يمكنك إستخدام معرف حزمة RADIUS ومعرف حزمة EAP لتعقب تدفق الحزمة لهذا العميل المحدد. وحتى هذه اللحظة لم يرسل أي من الجانبين أي شهادات، وبالتالي لم تكن هناك حاجة للقلق بشأن وحدة الحد الأقصى للنقل.

طلب EAP واستجابة EAP

على سبيل التذكير فقط، يتحدث العميل EAP وليس RADIUS. ومع ذلك، عندما تتلقى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) تحدي الوصول، فإنه يتعين عليها إزالة بيانات RADIUS وسحب طلب EAP حتى يمكن إرساله إلى العميل.

طلب EAP

يجب أن يبدو هذا تماما كما كان عليه الحال داخل تحدي الوصول عندما إستلمته لجنة التحكم في الشبكة المحلية اللاسلكية. ومع ذلك، فقد تمت إزالة جميع مواد RADIUS ويتم إرسال جزء EAP فقط إلى العميل.

لا يزال بإمكانك رؤية معرف حزمة EAP لعام 201 هنا كما كان في تحدي الوصول لأنها نفس البيانات التي إستلمت WLC من ISE. والتدفق هنا هو نفسه كما هو الحال مع EAP-ID، ولكنه الآن فقط لا يأتي من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ويتم إستخدامه لإنشاء طريقة EAP. لا تزال هذه الحزمة صغيرة جدا لأنها فقط لإنشاء بداية جلسة EAP-TLS.

إستجابة EAP

عندما يستقبل العميل EAP-Request، يجب عليه الاستجابة باستجابة EAP.  في إستجابة EAP، يبدأ العميل في إنشاء جلسة TLS. يبدو أن هذا هو الوضع الذي تستخدمه TLS في أي حالة أخرى. يبدأ الأمر برسالة "Client Hello". لن تقوم هذه الوثيقة بالبحث فيما سيذهب إليه العميل مرحبا حيث أنه غير ذي صلة بهذا الموضوع. ما تحتاج أن تلاحظه هنا هو أن جلسة TLS يتم إعدادها. 

يمكنك رؤية البيانات في الحزم هنا كما تفعل مع أي إعداد TLS آخر. كما هو الحال مع إستجابة EAP-ID، تصل هذه الحزمة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ويتم تحويلها إلى طلب وصول. إستجابة ISE مع طلب EAP في شكل تحدي وصول. ولا يزال هذا هو التدفق من الآن فصاعدا. 

شهادات TLS

هنا النقطة حيث أنت ذاهب إلى يرى الربط زيادة حجم. يمكن أن تكون الشهادات كبيرة نوعا ما حسب وجود مرجع أو أكثر من مراجع الشهادات الوسيطة (CAs). إذا كانت شهادة موقعة ذاتيا، فمن الواضح أنها ستكون أصغر من شهادة تحتوي على شهادة جهاز موصولة بسلسلتين من نوع CA و cCA الجذر. وفي كلتا الحالتين، عادة ما ترى مالك الشهادة يبدأ في تجزئة الحزم الخاصة به هنا.

شهادة ISE

والآن بعد أن تلقى ISE ترحيب عميل TLS، يستجيب مع طلب EAP آخر. في طلب EAP الجديد هذا، يرسل ISE رسالة "Server Hello" وشهادته و"Server Key exchange" و"طلب الشهادة" ورسائل "Server Hello Done" في آن واحد. إذا كان قد أرسل كل هذا في حزمة واحدة، فإن الحزمة ستكون عبر MTU للشبكة. لذلك، يقوم ISE بتقسيم الحزمة نفسها لتصبح ضمن وحدة الحد الأقصى للنقل (MTU). باستخدام ISE، فإنه يقوم بتجزئة جزء البيانات من الحزمة بحيث لا يزيد عن 1002 بايت على أمل تجنب التجزئة المزدوجة. 

ماذا يعني التجزؤ المزدوج؟ يحدث أول تجزئة على ISE نظرا لأن البيانات التي تريد إرسالها كبيرة جدا بحيث لا يمكن وضعها داخل وحدة الحد الأقصى للنقل (MTU) للشبكة. ومع ذلك، قد تكون هناك أماكن أخرى في الشبكة حيث، على الرغم من أن وحدة الحد الأقصى للنقل (MTU) هي نفسها، بسبب كيفية إعداد الشبكة، قد يحتاج الجهاز إلى تجزئة الحزمة لكي يضيف رؤوسه ويبقى تحت وحدة الحد الأقصى للنقل (MTU). يمكن أن يكون هذا صحيحا حتى إذا تم التحقق من وحدة بت عدم تجزئة. 

والمثال الجيد على ذلك هو ما يتعلق بنفق الشبكة الخاصة الظاهرية (VPN)، أو أي نفق لهذه المسألة. لوضع البيانات في نفق VPN، يجب أن تضيف موجهات VPN رؤوس برامجها إلى حركة المرور. إذا تمت تجزئة حركة مرور RADIUS هذه عند وحدة الحد الأقصى للنقل (MTU) أو بالقرب منها، فعندما يتعلق الأمر بشبكة VPN هذه، لن تكون هناك طريقة للاحتفاظ بالبيانات أسفل وحدة الحد الأقصى للنقل (MTU) وإضافة رؤوس إضافية. ويصدق هذا على أنفاق CAPWAP أيضا التي يمكنك أن تراها لاحقا. 

لذلك، لتجنب دخول هذه الحزم في حالة يمكن فيها لجهاز آخر تجزئتها مرة أخرى، يقوم ISE بتقسيم الحزمة إلى أجزاء في مكان يمكن فيه تجنب هذا في معظم الشبكات. وهذا يعني أن ISE يرسل هذه البيانات في طلب EAP متعدد في انتظار إستجابة EAP فارغة في كل مرة. يزداد معرف EAP مع إرسال كل جزء. من وجهة نظر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، سيكون هذا بمثابة تحد للوصول وتبادل طلب الوصول لكل جزء وسيزداد معرف حزمة RADIUS مع إرسال كل جزء.

شهادة العميل

بمجرد أن يرسل ISE جميع الأجزاء ويتم إعادة تجميعها بواسطة العميل، ينتقل تدفق الحزمة إلى العميل لإرسال شيء ما. في TLS، من المتوقع أن يرسل العميل مخزونه الخاص في هذه المرحلة من أجل إكمال المصادقة. وهنا تصبح الأمور أكثر تعقيدا. تماما مثل ISE، سيقوم العميل بإرسال عدة أجزاء TLS في نفس الوقت، واحدة من هذه هي شهادته. 

وعلى عكس ما رأينا مع ISE، يرسل معظم العملاء بيانات EAP الخاصة بهم أسفل MTU بقليل. في هذا العرض التوضيحي، بيانات 802.1x هي 1492. المشكلة مع ذلك أن ال ap يحتاج أن يضيف ال CAPWAP عنوان لذلك هو يستطيع كنت أرسلت إلى ال WLC. 

فكيف يجري ذلك؟ يجب على نقطة الوصول تجزئة الحزمة حتى يمكنها إضافة الرؤوس وإرسالها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).  لا توجد طريقة لنقطة الوصول للحصول على الحزمة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بدون تجزئتها. ومع ذلك، فقد كانت الحزمة مجزأة، أولا من قبل العميل، ثم مرة أخرى من نقطة الوصول. ومع ذلك، لا يمثل هذا التجزئة عادة مشكلة كما هو متوقع مع CAPWAP.

الحزمة عبر الهواء:

تشظية الحزمة على السلك:

الربط أعيد تجميعه على السلك:

إعادة تجميع جميع أجزاء العميل عبر الهواء:

شهادة العميل في WLC

تتلقى وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) جزئيتي CAPWAP وتعيد تجميعهما للحصول على الحزمة بحجم 1492 بايت بالكامل من العميل، مما يعمل على إستعادة الحزمة - ولكن ليس لفترة طويلة. هذه الاستعادة قصيرة العمر لأنه، إذا رجعت إلى كيفية إرسال عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لطلب الوصول، يجب أن تتذكر أنه يجب أن يضيف ما قيمته 400 بايت من RADIUS AVPs إلى الحزمة قبل أن تتمكن من إرسال البيانات إلى ISE.

بالنسبة للرياضيات البسيطة، افترض أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يضيف 408 بايت، مما يجعل إجمالي حجم الحزمة 1900. وهذا أفضل بكثير من الحد الأقصى للنقل الذي يبلغ 1500 وحدة الحد الأقصى للنقل، إذا ما الذي ستقوم به وحدة التحكم في الشبكة المحلية اللاسلكية (WLC)؟ تجزئة الحزمة مرة أخرى.

عند هذه النقطة، سيقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بتجزئة الحزمة على 1396 بشكل افتراضي. الفكرة هنا هي نفسها كما هي مع ISE. الرجاء هو جعل الحزمة صغيرة بما يكفي حتى أنه إذا كان يجب عليها المرور عبر نفق آخر، فلن تحتاج إلى تجزئتها مرة أخرى لإضافة الرؤوس. ومع ذلك، لا تتوخى لجنة الاتصال اللاسلكية في بياناتها القدر نفسه من الحذر الذي يوفره معيار ISE، لذلك يعد عام 1396 جيدا بما فيه الكفاية هنا.

الحزمة المجزأة التي تترك عنصر التحكم في الشبكة المحلية اللاسلكية (WLC):

TL لتدفق الحزم؛DR

عندما يرسل ISE ترخيصه، فإنه يقسم حزم TLS إلى أجزاء عند 1002 بايت. لا مشاكل هناك. عندما يرسل العملاء شهادتهم، فإنهم عادة يتفرقون بالقرب من وحدة الحد الأقصى للنقل (MTU). بما أن ال ap ينبغي أن يضيف ال capwap عنوان إلى الربط هو يضطر أن يجزئ هذا ربط أيضا. بمجرد أن تستلم WLc الأجزاء، فإنه يجب عليها إعادة تجميع الحزمة ولكن بعد ذلك يجب عليها إضافة بروتوكولات تكرار الخطوة الأولى (AVPs) الخاصة ب RADIUS حتى تتم تجزئة الحزمة مرة أخرى.  يبدو تدفق الحزمة شيئا من هذا القبيل:

تغيير سلوك RADIUS MTU

عندما تنظر إلى تدفق الحزمة لأي حركة مرور بيانات عميل لاسلكي، يمكنك أن ترى أن البنية الأساسية اللاسلكية لها تأثير عليه في أماكن قليلة فقط. المكان الأول هو عندما تغادر حركة المرور نقطة الوصول والمكان الثاني هو عندما تغادر حركة المرور عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). الاستثناء هو حركة مرور TCP حيث يمكن للبنية الأساسية اللاسلكية ضبط MSS العميل. ومع ذلك، لا يندرج EAP ضمن بروتوكول TCP، بل إنه في الواقع بروتوكوله الخاص.

عندما تنظر إلى تدفقات حركة مرور EAP و RADIUS، يمكنك أيضا أن ترى أن الشبكة تؤثر في الواقع على حجم حركة المرور في كل من AP و WLC عندما يقترب حجم الحزمة الأصلي جدا من MTU. مع الفهم الصحيح لدور عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في هذا التبادل، يمكنك أن ترى أنه يوجد بالفعل مكان واحد حيث يكون له تأثير على حجم حزمة RADIUS. ويكون ذلك عندما تدخل إستجابة EAP وتقوم بتغييرها إلى طلب وصول RADIUS.

ما الذي تغير

إذا كانت إستجابة EAP عبر MTU، فبمجرد إضافة RADIUS AVPs، يجب عليك تجزئته. ونظرا لأنه يتعين عليك تجزئة هذه الحزمة بالفعل بغض النظر عن أي شيء، فيمكنك على الأقل تحديد الحجم الذي تريد تجزئته فيه. وهنا يأتي دور تغيير السلوك الذي تم تقديمه في عام 17.11. 

في طلب الميزة الذي تم تتبعه في معرف تصحيح الأخطاء من Cisco CSCwc81849، تريد إضافة دعم لحزم RADIUS jumbo. الطريقة التي تم بها ذلك هي أن حزمة RADIUS لم تعد مجزأة تلقائيا في 1396. الآن، إذا قمت بإضافة أمر <interface x>ip radius source-interface يتم إرسال طلب الوصول إلى RADIUS عند وحدة الحد الأقصى للنقل (MTU) الخاصة بتلك الواجهة.

ملاحظة: إذا كنت تستخدم مركز Cisco Catalyst، فعندما توفر تكوينات AAA، فإنه يضيف واجهة المصدر تلقائيا إلى مجموعة الخوادم. يؤدي هذا إلى تغيير السلوك الافتراضي لتجزئة حجم MTU للواجهة المستخدمة في هذا الأمر.

كيف يمكن إستخدام هذا التغيير

بما أن وحدة الحد الأقصى للنقل (MTU) الافتراضية لجميع الواجهات ستكون 1500، فسيكون ذلك وحدة الحد الأقصى للنقل (MTU) الجديدة التي سيتم التجزئة عليها. تكون الواجهة الافتراضية المستخدمة لحركة مرور بيانات RADIUS كلها هي واجهة الإدارة اللاسلكية (WMI). عندما تنظر إلى تكوين مجموعة الخوادم الخاصة بك، إذا لم يكن هناك واجهة مصدر محددة فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يرسل حركة مرور RADIUS على 1396 باستخدام WMI. ومع ذلك، إذا قمت بالانتقال إلى تكوين مجموعة الخوادم وأخبرتها بأن واجهة المصدر هي واجهة WLC التي ترسل الآن حركة مرور RADIUS على 1500 التي لا تزال تستخدم WMI.

والآن، افترض وجود جهاز في الشبكة مثل الشبكة الخاصة الظاهرية (VPN) التي تمت مناقشتها سابقا. أنت لا تريد أن تكون حركة المرور مزدوجة التجزئة لذلك أنت يستطيع غيرت ال MTU من القارن إلى شيء أصغر in order to فرقت الربط في مكان مختلف. يمكنك تغيير وحدة الحد الأقصى للنقل (MTU) إلى ما يشبه 1200 بحيث تتم تجزئة الحزم عند علامة 1200 بايت بدلا من 1500.

تحذير: يؤثر تغيير وحدة الحد الأقصى للنقل (MTU) الخاصة بواجهة مستخدم الرسومات (WMI) على جميع حركات المرور المتجهة إلى عنوان IP الخاص بإدارة وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) والصادرة منه.

على الرغم من أنك لا ترغب في تغيير وحدة الحد الأقصى للنقل (MTU) الخاصة بواجهة WMI، إلا أن النقطة المحددة لواجهة المصدر هي تغييرها من واجهة WMI إلى واجهة أخرى، واستخدام هذه الواجهة لحركة مرور RADIUS، بالإضافة إلى تغيير وحدة الحد الأقصى للنقل (MTU) على تلك الواجهة. بما أن هذا التكوين تم على مستوى مجموعة الخوادم، فيمكنك أن تكون محددا جدا حول حركة مرور RADIUS التي تريد أن يتأثر بها هذا التغيير.

لا يتم ربط هذا التكوين بخادم AAA أو شبكة WLAN. من الممكن أن يكون هناك مجموعات خوادم متعددة لها نفس الخوادم الموجودة بها وتقوم فقط بتحديد واجهة المصدر على واحدة منها إذا أخترت ذلك. تتم إضافة مجموعة الخوادم هذه إلى قائمة طرق ثم تتم إضافتها إلى شبكة WLAN. لذلك، على سبيل المثال، إذا كانت هناك شبكة WLAN واحدة فقط تريد إجراء هذا التغيير فيها، حتى إذا كان لديك خادم AAA واحد فقط، فيمكنك إنشاء مجموعة خوادم جديدة، واستخدام الأمر ip radius source-interface الذي يشير إلى الواجهة باستخدام وحدة الحد الأقصى للنقل (MTU) التي تريد إستخدامها، وإضافة خادم AAA إلى هذه المجموعة الجديدة، وإنشاء قائمة طرق جديدة باستخدام هذه المجموعة الجديدة، ثم إضافة قائمة الطرق إلى شبكة WLAN المحددة حيث تريد إجراء هذا التغيير. 

تحذير: ويقترح دائما، عند إجراء أي تغييرات على شبكة مباشرة، إجراء هذه التغييرات أثناء إطار الصيانة.

البروفة في الربط التقاط

وهو أمر شائعفي الشبكات، إذا لم تلتقطها، لا يمكنك إثباتها. فيما يلي بعض أمثلة التكوين مع وجود هذه التغييرات لتظهر لك كيفية عملها. 

فيما يلي تكوين WLAN. أثناء الاختبار، يتم تغيير مجموعة الخوادم المستخدمة فقط في قائمة الطرق.

9800#show run wlan
wlan TLS-Test 2 TLS-Test
 radio policy dot11 24ghz
 radio policy dot11 5ghz
 no security ft adaptive
 security dot1x authentication-list TLS-AuthC
 no shutdown
!

إضافة أمر الواجهة-المصدر باستخدام وحدة الحد الأقصى للنقل (MTU) الافتراضية

وهنا، إنها مجرد مجموعة خوادم عادية تشير إلى خادم ISE. تمت إضافة أمر الواجهة المصدر للإشارة إلى WMI الخاص بي والذي لم يتم تعيين MTU له. فيما يلي شكل التكوين.

9800#show run aaa
!
aaa authentication dot1x TLS-AuthC group NoMTU
!
!
radius server ISE
 address ipv4 192.168.160.10 auth-port 1812 acct-port 1813
 key 6 _`gINMNXObF[^bPBVNaYibbBMhNMFAbKUAAB
!
aaa group server radius NoMTU
 server name ISE
 ip radius source-interface Vlan260
 deadtime 5
!
9800#show run inter vlan 260
!
interface Vlan260
 ip address 192.168.160.20 255.255.255.0
 no ip proxy-arp
end

كما ترى، تمت إضافة مجموعة خوادم NoMTU إلى قائمة طرق المصادقة المرتبطة بشبكة WLAN. يتم إستخدام الأمر ip radius source-interface vlan260 لمجموعة الخوادم هذه ولا تحدد شبكة VLAN 260 وحدة الحد الأقصى للنقل (MTU) بمعنى أنها تستخدم وحدة الحد الأقصى للنقل (MTU) رقم 1500. فقط أن يؤكد، ال MTU من 1500 أنت يستطيع استعملت العرض شوط all أمر وبحثت القارن في الإنتاج.

interface Vlan260
 ip address 192.168.160.20 255.255.255.0
 no ip clear-dont-fragment
 ip redirects
 ip unreachables
 no ip proxy-arp
 ip mtu 1500

والآن، انظر إلى الحزمة التي يجب إرسال شهادة العميل فيها إلى ISE بمجرد أن يضيف عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بيانات RADIUS:

ملاحظة: هنا، البايت على الخط هو 1518. وهذا يتضمن الرؤوس الموجودة خارج حمولة الإيثرنت مثل رأس شبكة VLAN ورأس الطبقة 2. ولا تحتسب هذه المبالغ إلى وحدة الحد الأقصى للنقل.

هنا، يمكنك أن ترى جزء البيانات مجزأ في 1480. يمكنك الحصول على هذه الأجزاء ضمن وحدة الحد الأقصى للنقل (MTU) طراز 1500 على واجهة WMI. الحزمة التالية أقل من 550 بايت ولكن يمكنك أن ترى الحجم الإجمالي لبيانات RADIUS هو 1982. ومع ذلك، فقد نجح التقسيم إلى وحدة الحد الأقصى للنقل (MTU) الجديدة.

إستخدام واجهة ليست WMI مع وحدة الحد الأقصى للنقل (MTU) تبلغ 1200

الآن، افترض أنك تريد التجزئة في وحدة الحد الأقصى للنقل (MTU) أصغر حجما ولكن لا تريد أن يؤثر هذا التغيير على أي حركة مرور أخرى. ما من مشكلة هنا، فإن config يبقى نفسه فقط المصدر-interface config يذهب أن يشير إلى SVI أن كان خلقت لهذا الغرض فقط. قم بتغيير قائمة الطرق للإشارة إلى مجموعة الخوادم الجديدة هذه وتستخدم مجموعة الخوادم هذه واجهة مصدر ليست واجهة WMI الخاصة بي وهي تحتوي على وحدة الحد الأقصى للنقل (MTU) تم تعيينها على 1200. فيما يلي شكل التكوين:

9800#show run aaa
!
aaa authentication dot1x TLS-AuthC group MTU1200
!
!
radius server ISE
 address ipv4 192.168.160.10 auth-port 1812 acct-port 1813
 key 6 _`gINMNXObFibbBMhNMFAbKUAAB
!
aaa group server radius MTU1200
 server name ISE
 ip radius source-interface Vlan261
 deadtime 5
!
9800#show run inter vlan 261
!
interface Vlan261
 ip address 192.168.161.20 255.255.255.0
 no ip proxy-arp
 ip mtu 1200
end

بعد ذلك، راجع كيف تبدو الحزم باستخدام وحدة الحد الأقصى للنقل (MTU) الأقل هذه.

ملاحظة: إن تخفيض وحدة الحد الأقصى للنقل (MTU) وتغيير نقطة التجزئة ليسا جزءا من السلوك الجديد. كان ذلك دائما صحيحا. إذا لم يكن السلوك الافتراضي للتجزئة في 1396 لائقا تحت وحدة الحد الأقصى للنقل (MTU)، فستكون دائما متفرقا عند نقطة مختلفة. إنه جزء من هذا القسم للمساعدة في شرح الخيارات المتوفرة فقط.

هنا، لا تزال بيانات RADIUS 1982 بايت ولكن هذه المرة تمت تجزئة البيانات عند 1176 بدلا من الرقم الافتراضي 1376، وكانت لتتم تجزئتها في حالة عدم إستخدام واجهة المصدر. تذكر أنه عند تعيين وحدة الحد الأقصى للنقل (MTU) على 1500 واستخدام أمر الواجهة المصدر، يمكنك التجزئة على 1480. يسمح لك إستخدام config هنا بمعالجة حركة المرور إلى MTU أقل دون التدخل مع حركة المرور الأخرى على WLC.

إستخدام وحدة الحد الأقصى للنقل (MTU) بسرعة 9000 للإطارات كبيرة الحجم

بما أن الميزة قد تم عملها للخيار أن يرسل إطارات كبيرة، فإنه من المخجل ألا يتم إختبار ذلك أيضا مع إستخدام الواجهة بخلاف WMI لشبكة VLAN 261. ومع ذلك، الآن يتم تعيين IP MTU على 9000. ملاحظة سريعة واحدة، من أجل أن تتمكن من تعيين وحدة الحد الأقصى للنقل (MTU) لبروتوكول IP على SVI، يجب عليك تعيين وحدة الحد الأقصى للنقل (MTU) إلى شيء أعلى من IP MTU. يمكنك رؤية ذلك في هذا التكوين:

9800(config-if)#do sho run inter vl 261
!
interface Vlan261
 mtu 9100
 ip address 192.168.161.20 255.255.255.0
 no ip proxy-arp
 ip mtu 9000
end

هنا، بالنظر إلى الالتقاط، يمكنك أن ترى أن الربط لم يكن مجزأ أبدا. تم إرسالها كحزمة كاملة بحجم بيانات RADIUS في 1983. تذكر دائما أنه لكي يعمل هذا، يلزم تكوين باقي الشبكة للسماح لحزمة بهذا الحجم بالمرور. 

والشيء الآخر الذي تجدر ملاحظته هنا هو أن وحدة الحد الأقصى للنقل (MTU) الخاصة بالعميل لم تتغير، وبالتالي يظل العميل يقوم بتجزئة حزمة EAP على 1492. الفرق هو أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يمكن أن يضيف جميع بيانات RADIUS اللازمة لإرسال الحزمة إلى ISE دون الاضطرار إلى تجزئة بيانات العميل.

القرار

عند إستخدام EAP-TLS، من المتوقع أن يرسل العميل شهادته إلى خادم AAA. عادة ما تكون هذه الشهادات أكبر من وحدة الحد الأقصى للنقل (MTU)، وبالتالي يتعين على العميل تجزئتها. إن النقطة التي يقوم العميل عندها بتجزئة البيانات قريبة جدا من وحدة الحد الأقصى للنقل (MTU). بما أن نقطة الوصول يجب أن تضيف رأس CAPWAP، فإن ما يرسله العميل يجب أن يكون مجزأ. تتلقى وحدة التحكم في الشبكة المحلية اللاسلكية هاتين الحزم، وتعيدهما معا مرة أخرى، ولكن بعد ذلك يتعين عليها تجزئتهما مرة أخرى لإضافة بيانات RADIUS. عند هذه النقطة، يتم منح مسؤول الشبكة بعض التحكم في كيفية قيام عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بتقسيم حزمة EAP التي أرسلها العميل.

إذا قمت بإضافة الأمر ip radius source-interface <interface الذي تريد إستخدامه> إلى مجموعة خوادم AAA، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يستخدم أي واجهة تضعها هناك بدلا من (أو يتضمن) واجهة WMI. باستخدام هذا الأمر أيضا يخبر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بتجزئة أي وحدة الحد الأقصى للنقل (MTU) الخاصة بتلك الواجهة بدلا من الوضع الافتراضي 1396. بهذه الطريقة، لديك مزيد من التحكم في كيفية تنقل الحزم عبر الشبكة. 

عند إستخدام Cisco Catalyst Center، تتم إضافة أمر الواجهة المصدر إلى مجموعة الخوادم، وبالتالي تغيير السلوك الافتراضي.