Здравейте на всички!
Никога не съм мислил, че ще се върна към този случай, но ме подтикна да си спомня и да говоря за личния си опит, когато преди малко повече от година имах възможността да прекарам доста време в изучаване на проблем с базирана на Cisco безжична мрежа и телефони iPhone. Бях натоварен да разгледам въпроса на един от мениджърите: „Защо след рестартиране iPhone не може автоматично да се свърже с Wi-Fi мрежата и при ръчно свързване ви моли да въведете вашето потребителско име и парола?“
Информация за Wi-Fi мрежата:
Безжичен контролер - AIR-CT5508-K9.
Версията на софтуера на контролера е 8.5.120.0.
Точки за достъп - предимно AIR-AP3802I-R-K9.
Методът за удостоверяване е 802.1x.
RADIUS сървър - ISE.
Проблемни клиенти - iPhone 6.
Версията на клиентския софтуер е 12.3.1.
Честота 2,4GHz и 5GHz.
Откриване на проблем на клиента
Първоначално имаше опити за решаване на проблема чрез атака на клиента. За щастие имах същия модел телефон като кандидата и можех да проведа теста в удобно за мен време. Проверих проблема на моя телефон - наистина, веднага след включване телефонът се опитва да се свърже с корпоративната мрежа, известна му преди, но след около 10 секунди остава несвързан. Ако изберете SSID ръчно, телефонът ви иска да въведете вашето потребителско име и парола. След като ги въведете, всичко работи правилно, но след рестартиране телефонът отново не може автоматично да се свърже с SSID, въпреки факта, че данните за вход и паролата са запазени, SSID е в списъка с известни мрежи и автоматичното свързване е активирано.
Бяха направени неуспешни опити за забравяне на SSID и добавянето му отново, нулиране на мрежовите настройки на телефона, актуализиране на телефона чрез iTunes и дори актуализиране до бета версията на iOS 12.4 (най-новата към момента). Но всичко това не помогна. Проверени бяха и моделите на нашите колеги iPhone 7 и iPhone X, при които проблемът също беше възпроизведен. Но на телефони с Android проблемът не е отстранен. Освен това бе създаден билет в Apple Feedback Assistant, но до момента не е получен отговор.
Отстраняване на проблеми с безжичния контролер
След всичко по-горе беше решено проблемът да се търси в WLC. В същото време отворих билет с Cisco TAC. Въз основа на препоръката на TAC актуализирах контролера до версия 8.5.140.0. Играх си с различни таймери и Fast Transition. Не помогна.
За тестване създадох нов SSID с 802.1x удостоверяване. И тук е обратът: проблемът не се възпроизвежда на новия SSID. Въпросът на инженера на TAC ни кара да се чудим какви промени сме направили в Wi-Fi мрежата, преди да се появи проблемът. Започвам да си спомням... И има една улика - първоначално проблемният SSID дълго време имаше метод за удостоверяване WPA2-PSK, но за да повишим нивото на сигурност, го променихме на 802.1x с удостоверяване на домейна.
Проверявам уликата - променям метода за удостоверяване на тестовия SSID от 802.1x на WPA2-PSK и след това обратно. Проблемът не е възпроизводим.
Трябва да мислите по-сложно - създавам друг тестов SSID с WPA2-PSK удостоверяване, свързвам телефона към него и запомням SSID в телефона. Променям удостоверяването на 802.1x, удостоверявам телефона с акаунт на домейн и активирам автоматичното свързване.
Рестартирам телефона... И да! Проблемът се повтори. Тези. Основният тригер е промяната на метода за удостоверяване на известен телефон от WPA2-PSK на 802.1x. Докладвах това на инженера на Cisco TAC. Заедно с него възпроизведохме проблема няколко пъти, направихме трафик дъмп, в който се виждаше, че след включване на телефона той започва фазата на удостоверяване (Access-Challenge), но след известно време изпраща съобщение за диасоцииране на точка за достъп и прекъсва връзката с нея. Това очевидно е проблем от страна на клиента.
И пак на клиента
При липсата на договор за поддръжка с Apple имаше дълъг, но успешен опит да се достигне до втората им линия за поддръжка, в която докладвах за проблема. След това имаше много независими опити да се намери и установи причината за проблема в телефона и той беше открит. Проблемът се оказа в активираната функция "". Доста полезна функция, която жалбоподателят на проблема и аз не искахме да деактивираме на заобиколни телефони. Според моето предположение телефонът не може да презапише информация за метода на свързване с известни SSID на iCloud сървъри. Находката беше докладвана на Apple, на което те признаха, че има такъв проблем, той е известен на разработчиците и ще бъде коригиран в бъдещи версии. Те не казаха коя версия. Не съм готов да кажа как стоят нещата в момента , но в началото на декември 2019 г. проблемът все още беше възпроизводим на iPhone 11 Pro Max с iOS 13.
Заключение
За нашата компания проблемът беше решен успешно. Поради факта, че името на компанията беше променено, беше решено да се промени корпоративният SSID. И новият SSID вече беше незабавно създаден с 802.1x удостоверяване, което не беше причина за проблема.
Източник: www.habr.com