Pozdrav svima!
Nikad nisam mislio da ću se vratiti ovom slučaju, ali nagnalo me da se prisjetim i pričam o svom ličnom iskustvu, kada sam prije nešto više od godinu dana imao priliku provesti dosta vremena proučavajući problem s bežičnom mrežom baziranom na Cisco-u i iPhone telefonima. Imao sam zadatak da ispitam pitanje jednog od menadžera: „Zašto nakon ponovnog pokretanja iPhone ne može automatski da se poveže na Wi-Fi mrežu, a prilikom ručnog povezivanja traži od vas da unesete svoje korisničko ime i lozinku?“
Informacije o Wi-Fi mreži:
Bežični kontroler - AIR-CT5508-K9.
Verzija softvera kontrolera je 8.5.120.0.
Pristupne tačke - uglavnom AIR-AP3802I-R-K9.
Metoda autentifikacije je 802.1x.
RADIUS server - ISE.
Problemski klijenti - iPhone 6.
Verzija klijentskog softvera je 12.3.1.
Frekvencija 2,4GHz i 5GHz.
Pronalaženje problema na klijentu
U početku je bilo pokušaja da se problem riješi napadom na klijenta. Na sreću, imao sam isti model telefona kao i podnosilac zahteva i mogao sam da izvršim testiranje u vreme koje mi odgovara. Provjerio sam problem na svom telefonu - zaista, odmah nakon uključivanja telefon pokušava da se poveže na korporativnu mrežu koja mu je ranije bila poznata, ali nakon otprilike 10 sekundi ostaje nepovezan. Ako ručno odaberete SSID, telefon će od vas tražiti da unesete svoju prijavu i lozinku. Nakon što ih unesete, sve radi kako treba, ali nakon ponovnog pokretanja telefona telefon se ne može automatski povezati na SSID, uprkos činjenici da su login i lozinka sačuvani, SSID je bio na listi poznatih mreža, a automatsko povezivanje je omogućeno.
Učinjeni su neuspješni pokušaji da se zaboravi SSID i da se ponovo doda, resetuju mrežna podešavanja telefona, da se telefon ažurira putem iTunes-a, pa čak i da se ažurira na beta verziju iOS-a 12.4 (najnovija u to vrijeme). Ali sve to nije pomoglo. Provjereni su i modeli naših kolega, iPhone 7 i iPhone X, a na njima je i reproduciran problem. Ali na Android telefonima problem nije riješen. Dodatno, tiket je kreiran u Apple Feedback Assistant-u, ali do danas odgovor nije primljen.
Rješavanje problema s bežičnim kontrolerom
Nakon svega navedenog, odlučeno je da se problem potraži u WLC-u. Istovremeno sam otvorio tiket kod Cisco TAC-a. Na osnovu TAC-ove preporuke, ažurirao sam kontroler na verziju 8.5.140.0. Igrao sam se sa raznim tajmerima i Fast Transition. Nije pomoglo.
Za testiranje, kreirao sam novi SSID sa 802.1x autentifikacijom. A evo i obrata: problem se ne reproducira na novom SSID-u. Pitanje inženjera TAC-a tjera nas da se zapitamo koje smo promjene napravili na Wi-Fi mreži prije nego se problem pojavio. Počinjem da se prisećam... I postoji jedan trag - prvobitno problematični SSID je dugo vremena imao WPA2-PSK metod autentikacije, ali da bismo povećali nivo sigurnosti promenili smo ga na 802.1x sa autentifikacijom domena.
Provjeravam trag - mijenjam metodu provjere autentičnosti na testnom SSID-u sa 802.1x na WPA2-PSK, pa nazad. Problem se ne može ponoviti.
Morate razmišljati sofisticiranije - kreiram još jedan testni SSID sa WPA2-PSK autentifikacijom, povežem telefon na njega i zapamtim SSID u telefonu. Promjenjujem autentifikaciju na 802.1x, autentifikujem telefon putem domenskog naloga i omogućavam automatsku vezu.
Restartujem telefon... I da! Problem se ponovio. One. Glavni pokretač je promjena metode provjere autentičnosti na poznatom telefonu sa WPA2-PSK na 802.1x. Prijavio sam ovo Cisco TAC inženjeru. Zajedno s njim smo nekoliko puta reproducirali problem, napravili deponiju saobraćaja, u kojoj je bilo jasno da nakon uključivanja telefona počinje faza autentifikacije (Access-Challenge), ali nakon nekog vremena šalje poruku o dijasociaciji na pristupnu tačku i isključuje se sa nje. Ovo je očigledno pitanje na strani klijenta.
I opet o klijentu
U nedostatku ugovora o podršci s Appleom, postojao je dug, ali uspješan pokušaj da se dođe do njihove druge linije podrške, u kojoj sam prijavio problem. Zatim je bilo mnogo nezavisnih pokušaja da se pronađe i utvrdi uzrok problema u telefonu i on je pronađen. Ispostavilo se da je problem u omogućenoj funkciji "". Prilično korisna funkcija koju podnosilac pritužbe i ja nismo htjeli da onemogućimo na zaobilaznim telefonima. Prema mojoj pretpostavci, telefon ne može prepisati informacije o načinu povezivanja na poznate SSID-ove na iCloud serverima. Nalaz je prijavljen Appleu, kojem su priznali da postoji takav problem, to je poznato programerima, i biće popravljeno u budućim izdanjima. Nisu rekli koje izdanje. Nisam spreman reći kako stvari trenutno stoje , ali početkom decembra 2019. problem je i dalje bio reproduciran na iPhone 11 Pro Max sa iOS 13.
zaključak
Za našu kompaniju problem je uspješno riješen. Zbog činjenice da je promijenjen naziv kompanije, odlučeno je da se promijeni korporativni SSID. A novi SSID je već odmah kreiran sa 802.1x autentifikacijom, što nije bio okidač za problem.
izvor: www.habr.com