インターネット

WLC-ワイヤレス認証要求が多すぎるために発生するRadius輻輳崩壊現象とその解決策



Wlc Radius Congestion Collapse Phenomenon Caused Too Many Wireless Authentication Requests



ロギング現象:

WLAN 1でRADIUSサーバー10.200.1.X:1812が非アクティブ化されました



RADIUS認証サーバー10.200.1.X:1812は使用できません

RADIUS認証サーバー10.200.1.X:1812が利用可能



WLAN 1でアクティブ化されたRADIUSサーバー10.200.1.X:1812

……

WLAN 1でアクティブ化されたRADIUSサーバー10.200.1.X:1812



WLAN 1でRADIUSサーバー10.200.1.X:1812が非アクティブ化されました

RADIUS認証サーバー10.200.1.X:1812は使用できません

RADIUSサーバー10.200.1.X:1812が要求に応答できませんでした

RADIUS認証サーバー10.200.1.X:1812が利用可能

WLAN 1でアクティブ化されたRADIUSサーバー10.200.1.X:1812

WLAN 1でRADIUSサーバー10.200.1.X:1812が非アクティブ化されました

RADIUS認証サーバー10.200.1.X:1812は使用できません

RADIUSサーバー10.200.1.103:1812が要求に応答できませんでした

RADIUS認証サーバー10.200.1.103:1812が利用可能

WLAN 1でアクティブ化されたRADIUSサーバー10.200.1.X:1812

WLAN 1でRADIUSサーバー10.200.1.X:1812が非アクティブ化されました

RADIUS認証サーバー10.200.1.X:1812は使用できません

RADIUSサーバー10.200.1.X:1812が要求に応答できませんでした

UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER

UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER

UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER

UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER

UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER

UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER

UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER

UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER

……<<<

* Dot1x_NW_MsgTask_2 :18:15:30.003: #DOT1X-3-INVALID_WPA_KEY_MSG_STATE:1x_eapkey .c:861START状態で無効なEAPO​​LキーM2メッセージを受信しました-無効なセキュアビットKeyLen40、キータイプ1、クライアント28:b2:bd:b7:01:42«<<<< Massively repeated Message Logs

235934jg85wgk4llpr7nk7.png

探す:

  • 高い再試行:最初の要求率(10%以下である必要があります)

  • 高い拒否:受け入れ率

  • 高いタイムアウト:最初の要求率(5%以下である必要があります)

解決:

「Excessive802.1XAuthentication Failures」は、WLCのグローバルクライアント除外ポリシーで選択されています。

クライアントの除外は、WLANの詳細設定で有効になっています。

クライアント除外タイムアウトはに設定されています少なくとも120秒。((60〜300秒)。

235755hcfr9wzfu77w7bga.png

235807s88ufa1iuf58e38l.png

000507pl5xfjfy74hyy5yc.png

000644f11f3c8mr8w2088w.png

アグレッシブフェールオーバーを無効にします。これにより、1つの不正なサプリカントがRADIUSサーバ間でWLCに障害を発生させることはありません。

CLIコマンドを使用します:「configradiusaggressive-failoverdisable」

現在の状態を確認するには、次を使用します。「」半径の概要を表示「」

出力の上部近くにある「AggressiveFailover」という行を探します。この設定にはGUIオプションはありません。

クライアントの高速セキュアローミングを構成します。


Microsoft WindowsEAPクライアントがWi-FiProtected Access 2(WPA2)/ Advanced Encryption Standard(AES)を使用していることを確認して、Opportunistic Key Caching(OKC)を使用できるようにします。

Apple iOSクライアントを独自のWLANに分離できる場合は、そのWLANで802.11rを有効にできます。

792x電話をサポートするすべてのWLANに対してCiscoCentralized Key Management(CCKM)を有効にします(ただし、 ない Microsoft WindowsまたはAndroidクライアントをサポートするサービスセット識別子(SSID)でCCKMを有効にします。これは、CCKMの実装に問題がある傾向があるためです。

Macintoshオペレーティングシステム(MAC OS)XやAndroidクライアントをサポートするすべてのEAP WLANでスティッキーキーキャッシュ(SKC)を有効にします。
参照する CUWNでの802.11WLANローミングと高速で安全なローミング 詳細については。http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/116493-technote-technology-00.html

注意 :ピーク時にWLCペアワイズマスターキー(PMK)キャッシュの使用状況を監視します。 pmk-cacheallを表示 コマンド。 PMKキャッシュの最大サイズに達した場合、またはそれに近づいた場合は、おそらくSKCを無効にする必要があります。

参照リンク:

https://supportforums.cisco.com/discussion/11702421/getting-disconnected-randomly-5508-controller-3300-series-laps

http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/118703-technote-wlc-00.html

https://supportforums.cisco.com/discussion/11827081/radius-server-failed-respond-request


友達から転載 魚ステーキご飯ブログ











この記事は、元のリンクであるGrodd51CTOブログから転送されています:http://blog.51cto.com/juispan/2066738、転載が必要な場合は原作者にご連絡ください