Pozdrav svima!
Nikad nisam mislio da ću se vratiti ovom slučaju, ali
Bežični kontroler - AIR-CT5508-K9.
Verzija softvera kontrolera je 8.5.120.0.
Pristupne tačke - uglavnom AIR-AP3802I-R-K9.
Metoda autentifikacije je 802.1x.
RADIUS server - ISE.
Problemski klijenti - iPhone 6.
Verzija klijentskog softvera je 12.3.1.
Frekvencija 2,4GHz i 5GHz.
Pronalaženje problema na klijentu
U početku je bilo pokušaja da se problem riješi napadom na klijenta. Na sreću, imao sam isti model telefona kao i podnosilac zahteva i mogao sam da izvršim testiranje u vreme koje mi odgovara. Provjerio sam problem na svom telefonu - zaista, odmah nakon uključivanja telefon pokušava da se poveže na korporativnu mrežu koja mu je ranije bila poznata, ali nakon otprilike 10 sekundi ostaje nepovezan. Ako ručno odaberete SSID, telefon će od vas tražiti da unesete svoju prijavu i lozinku. Nakon što ih unesete, sve radi kako treba, ali nakon ponovnog pokretanja telefona telefon se ne može automatski povezati na SSID, uprkos činjenici da su login i lozinka sačuvani, SSID je bio na listi poznatih mreža, a automatsko povezivanje je omogućeno.
Učinjeni su neuspješni pokušaji da se zaboravi SSID i da se ponovo doda, resetuju mrežna podešavanja telefona, da se telefon ažurira putem iTunes-a, pa čak i da se ažurira na beta verziju iOS-a 12.4 (najnovija u to vrijeme). Ali sve to nije pomoglo. Provjereni su i modeli naših kolega, iPhone 7 i iPhone X, a na njima je i reproduciran problem. Ali na Android telefonima problem nije riješen. Dodatno, tiket je kreiran u Apple Feedback Assistant-u, ali do danas odgovor nije primljen.
Rješavanje problema s bežičnim kontrolerom
Nakon svega navedenog, odlučeno je da se problem potraži u WLC-u. Istovremeno sam otvorio tiket kod Cisco TAC-a. Na osnovu TAC-ove preporuke, ažurirao sam kontroler na verziju 8.5.140.0. Igrao sam se sa raznim tajmerima i Fast Transition. Nije pomoglo.
Za testiranje, kreirao sam novi SSID sa 802.1x autentifikacijom. A evo i obrata: problem se ne reproducira na novom SSID-u. Pitanje inženjera TAC-a tjera nas da se zapitamo koje smo promjene napravili na Wi-Fi mreži prije nego se problem pojavio. Počinjem da se prisećam... I postoji jedan trag - prvobitno problematični SSID je dugo vremena imao WPA2-PSK metod autentikacije, ali da bismo povećali nivo sigurnosti promenili smo ga na 802.1x sa autentifikacijom domena.
Provjeravam trag - mijenjam metodu provjere autentičnosti na testnom SSID-u sa 802.1x na WPA2-PSK, pa nazad. Problem se ne može ponoviti.
Morate razmišljati sofisticiranije - kreiram još jedan testni SSID sa WPA2-PSK autentifikacijom, povežem telefon na njega i zapamtim SSID u telefonu. Promjenjujem autentifikaciju na 802.1x, autentifikujem telefon putem domenskog naloga i omogućavam automatsku vezu.
Restartujem telefon... I da! Problem se ponovio. One. Glavni pokretač je promjena metode provjere autentičnosti na poznatom telefonu sa WPA2-PSK na 802.1x. Prijavio sam ovo Cisco TAC inženjeru. Zajedno s njim smo nekoliko puta reproducirali problem, napravili deponiju saobraćaja, u kojoj je bilo jasno da nakon uključivanja telefona počinje faza autentifikacije (Access-Challenge), ali nakon nekog vremena šalje poruku o dijasociaciji na pristupnu tačku i isključuje se sa nje. Ovo je očigledno pitanje na strani klijenta.
I opet o klijentu
U nedostatku ugovora o podršci s Appleom, postojao je dug, ali uspješan pokušaj da se dođe do njihove druge linije podrške, u kojoj sam prijavio problem. Zatim je bilo mnogo nezavisnih pokušaja da se pronađe i utvrdi uzrok problema u telefonu i on je pronađen. Ispostavilo se da je problem u omogućenoj funkciji "
zaključak
Za našu kompaniju problem je uspješno riješen. Zbog činjenice da je promijenjen naziv kompanije, odlučeno je da se promijeni korporativni SSID. A novi SSID je već odmah kreiran sa 802.1x autentifikacijom, što nije bio okidač za problem.
izvor: www.habr.com