WLC-ワイヤレス認証要求が多すぎるために発生するRadius輻輳崩壊現象とその解決策
Wlc Radius Congestion Collapse Phenomenon Caused Too Many Wireless Authentication Requests
ロギング現象:
WLAN 1でRADIUSサーバー10.200.1.X:1812が非アクティブ化されました
RADIUS認証サーバー10.200.1.X:1812は使用できません
RADIUS認証サーバー10.200.1.X:1812が利用可能
WLAN 1でアクティブ化されたRADIUSサーバー10.200.1.X:1812
……
WLAN 1でアクティブ化されたRADIUSサーバー10.200.1.X:1812
WLAN 1でRADIUSサーバー10.200.1.X:1812が非アクティブ化されました
RADIUS認証サーバー10.200.1.X:1812は使用できません
RADIUSサーバー10.200.1.X:1812が要求に応答できませんでした
RADIUS認証サーバー10.200.1.X:1812が利用可能
WLAN 1でアクティブ化されたRADIUSサーバー10.200.1.X:1812
WLAN 1でRADIUSサーバー10.200.1.X:1812が非アクティブ化されました
RADIUS認証サーバー10.200.1.X:1812は使用できません
RADIUSサーバー10.200.1.103:1812が要求に応答できませんでした
RADIUS認証サーバー10.200.1.103:1812が利用可能
WLAN 1でアクティブ化されたRADIUSサーバー10.200.1.X:1812
WLAN 1でRADIUSサーバー10.200.1.X:1812が非アクティブ化されました
RADIUS認証サーバー10.200.1.X:1812は使用できません
RADIUSサーバー10.200.1.X:1812が要求に応答できませんでした
UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER
UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER
UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER
UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER
UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER
UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER
UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER
UserName:xxxxxx sap_pmのAAA認証の失敗ユーザータイプ:WLAN USER
……<<< * Dot1x_NW_MsgTask_2 :18:15:30.003: #DOT1X-3-INVALID_WPA_KEY_MSG_STATE:1x_eapkey .c:861START状態で無効なEAPOLキーM2メッセージを受信しました-無効なセキュアビットKeyLen40、キータイプ1、クライアント28:b2:bd:b7:01:42«<<<< Massively repeated Message Logs 探す: 高い再試行:最初の要求率(10%以下である必要があります) 高い拒否:受け入れ率 高いタイムアウト:最初の要求率(5%以下である必要があります) 解決: ・ ①「Excessive802.1XAuthentication Failures」は、WLCのグローバルクライアント除外ポリシーで選択されています。 ・ クライアントの除外は、WLANの詳細設定で有効になっています。 ・ クライアント除外タイムアウトはに設定されています少なくとも120秒。((60〜300秒)。 ④ アグレッシブフェールオーバーを無効にします。これにより、1つの不正なサプリカントがRADIUSサーバ間でWLCに障害を発生させることはありません。 CLIコマンドを使用します:「configradiusaggressive-failoverdisable」 現在の状態を確認するには、次を使用します。「」半径の概要を表示「」 出力の上部近くにある「AggressiveFailover」という行を探します。この設定にはGUIオプションはありません。 ⑤クライアントの高速セキュアローミングを構成します。 ・ Microsoft WindowsEAPクライアントがWi-FiProtected Access 2(WPA2)/ Advanced Encryption Standard(AES)を使用していることを確認して、Opportunistic Key Caching(OKC)を使用できるようにします。 ・ Apple iOSクライアントを独自のWLANに分離できる場合は、そのWLANで802.11rを有効にできます。 ・ 792x電話をサポートするすべてのWLANに対してCiscoCentralized Key Management(CCKM)を有効にします(ただし、 ない Microsoft WindowsまたはAndroidクライアントをサポートするサービスセット識別子(SSID)でCCKMを有効にします。これは、CCKMの実装に問題がある傾向があるためです。 ・ Macintoshオペレーティングシステム(MAC OS)XやAndroidクライアントをサポートするすべてのEAP WLANでスティッキーキーキャッシュ(SKC)を有効にします。 注意 :ピーク時にWLCペアワイズマスターキー(PMK)キャッシュの使用状況を監視します。 pmk-cacheallを表示 コマンド。 PMKキャッシュの最大サイズに達した場合、またはそれに近づいた場合は、おそらくSKCを無効にする必要があります。 参照リンク: https://supportforums.cisco.com/discussion/11702421/getting-disconnected-randomly-5508-controller-3300-series-laps http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/118703-technote-wlc-00.html https://supportforums.cisco.com/discussion/11827081/radius-server-failed-respond-request 友達から転載 魚ステーキご飯ブログ この記事は、元のリンクであるGrodd51CTOブログから転送されています:http://blog.51cto.com/juispan/2066738、転載が必要な場合は原作者にご連絡ください
参照する CUWNでの802.11WLANローミングと高速で安全なローミング 詳細については。http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/116493-technote-technology-00.html