Усім прывітанне!
Ужо і не думаў што вярнуся да гэтага кейса, але
Бесправадны кантролер – AIR-CT5508-K9.
Версія ПЗ кантролера - 8.5.120.0.
Кропкі доступу – у асноўнай масе AIR-AP3802I-R-K9.
Метад аўтэнтыфікацыі – 802.1x.
RADIUS-сервер – ISE.
Праблемныя кліенты - iPhone 6.
Версія ПЗ кліентаў - 12.3.1.
Частата 2,4Ггц і 5Ггц.
Пошук праблемы на кліенце
Першапачаткова былі спробы вырашыць праблему з наскоку на кліенце. На шчасце, у мяне была такая ж мадэль тэлефона, як у заяўніка, і я мог праводзіць тэсціраванне ў зручны для мяне час. Праверыў праблему на сваім тэлефоне - сапраўды, адразу ж пасля ўключэння тэлефон спрабуе падключыцца да раней вядомай яму карпаратыўнай сеткі, але прыкладна секунд праз 10 застаецца непадключаным. Калі абраць SSID уручную, то тэлефон просіць увесці лагін і пароль. Пасля іх уводу ўсё працуе карэктна, але пасля перазагрузкі тэлефон зноў не можа аўтаматычна падлучыцца да SSID, нягледзячы на тое, што лагін і пароль былі захаваны, SSID значыўся ў спісе вядомых сетак, аўтападлучэнне ўключана.
Былі зроблены беспаспяховыя спробы забыцца SSID і дадаць яго нанова, скінуць сеткавыя настройкі тэлефона, абнавіць тэлефон праз iTunes і нават абнавіцца на beta-версію iOS 12.4 (на той момант самай апошняй). Але ўсё гэта не памагала. Таксама былі правераны мадэлі калегаў - iPhone 7 і iPhone X, на іх праблема таксама прайгравалася. А вось на тэлефонах з Android праблема не зафіксавана. Дадаткова быў створаны тыкет у Apple Feedback Assistant, але да гэтага дня адказ на яго не атрыманы.
Пошук праблемы на бесправадным кантролеры
Пасля ўсяго вышэйпералічанага было вырашана шукаць праблему ў WLC. Паралельна я адкрыў тыкет у Cisco TAC. Па рэкамендацыі TAC абнавіў кантролер да версіі 8.5.140.0. Пагуляў з рознымі таймерамі і Fast Transition. Не дапамагло.
Для тэставання я стварыў новы SSID з аўтэнтыфікацыяй 802.1x. І вось гэта паварот на новым SSID праблема не прайграваецца. Пытанне інжынера TAC прымушае задумацца – якія змены на Wi-Fi сетцы мы рабілі да таго, як праблема выявілася. Пачынаю ўспамінаць… І ёсць адна зачэпка – першапачаткова праблемны SSID доўгі час меў метад аўтэнтыфікацыі WPA2-PSK, але для падвышэння ўзроўня бяспекі мы змянілі яго на 802.1x з даменнай аўтэнтыфікацыяй.
Правяраю зачэпку - змяняю метад аўтэнтыфікацыі на тэставым SSID з 802.1x на WPA2-PSK, а затым назад. Праблема не ўзнаўляецца.
Трэба думаць выдасканаленей - ствараю яшчэ адзін тэставы SSID з аўтэнтыфікацыяй WPA2-PSK, падлучаю да яго тэлефон, запамінаю ў тэлефоне SSID. Мяняю аўтэнтыфікацыю на 802.1x, аўтэнтыфікую тэлефон з даменным уліковым запісам, уключаю аўтападлучэнне.
Перазагружаю тэлефон… І так! Праблема паўтарылася. Г.зн. галоўны трыгер - змена на вядомым тэлефоне SSID метаду аўтэнтыфікацыі з WPA2-PSK на 802.1x. Я паведаміў аб гэтым інжынеру Cisco TAC. Сумесна з ім некалькі разоў прайгралі праблему, знялі дамп трафіку, у якім было відаць, што тэлефон пасля ўключэння запускае фазу аўтэнтыфікацыі (Access-Challenge), але праз некаторы час адпраўляе на кропку доступу diassociation message і адключаецца ад яе. Гэта відавочная праблема на баку кліента.
І зноў на кліенце
Па адсутнасці кантракту падтрымкі з Apple, была доўгая, але паспяховая спроба датэлефанавацца да іх другой лініі падтрымкі, у якой я распавёў аб праблеме. Затым было мноства самастойных спроб знайсці і вызначыць прычыну праблемы ў тэлефоне і яна была знойдзена. Праблема апынулася ва ўключанай функцыі "
Заключэнне
Для нашай кампаніі праблема вырашылася шчасна. З прычыны таго, што найменне кампаніі было зменена, было вырашана змяніць і карпаратыўны SSID. А новы SSID быў ужо адразу створаны з аўтэнтыфікацыяй 802.1x, што не з`яўлялася трыгерам для праблемы.
Крыніца: habr.com