Hola a tots!
Mai vaig pensar que tornaria a aquest cas, però
Controlador sense fil - AIR-CT5508-K9.
La versió del programari del controlador és 8.5.120.0.
Punts d'accés, principalment AIR-AP3802I-R-K9.
El mètode d'autenticació és 802.1x.
Servidor RADIUS - ISE.
Clients amb problemes: iPhone 6.
La versió del programari del client és 12.3.1.
Freqüència 2,4 GHz i 5 GHz.
Trobar un problema al client
Inicialment, hi va haver intents de resoldre el problema atacant el client. Afortunadament, tenia el mateix model de telèfon que el sol·licitant i podia fer proves en un moment convenient per a mi. Vaig comprovar el problema al meu telèfon; de fet, immediatament després d'encendre el telèfon intento connectar-se a la xarxa corporativa que el coneixia anteriorment, però després d'uns 10 segons roman sense connexió. Si seleccioneu el SSID manualment, el telèfon us demanarà que introduïu el vostre inici de sessió i contrasenya. Després d'introduir-los, tot funciona correctament, però després de reiniciar el telèfon no es pot connectar automàticament al SSID, malgrat que s'han desat l'inici de sessió i la contrasenya, el SSID estava a la llista de xarxes conegudes i la connexió automàtica està habilitada.
Es van fer intents infructuosos d'oblidar el SSID i afegir-lo de nou, restablir la configuració de xarxa del telèfon, actualitzar el telèfon mitjançant iTunes i fins i tot actualitzar a la versió beta d'iOS 12.4 (la més recent en aquell moment). Però tot això no va ajudar. També es van comprovar els models dels nostres companys, iPhone 7 i iPhone X, i també hi va reproduir el problema. Però als telèfons Android el problema no es soluciona. A més, es va crear un bitllet a Apple Feedback Assistant, però fins ara no s'ha rebut cap resposta.
Resolució de problemes del controlador sense fil
Després de tot l'anterior, es va decidir buscar el problema al WLC. Al mateix temps, vaig obrir un bitllet amb Cisco TAC. D'acord amb la recomanació de TAC, vaig actualitzar el controlador a la versió 8.5.140.0. Vaig jugar amb diversos temporitzadors i Fast Transition. No va ajudar.
Per provar, vaig crear un nou SSID amb autenticació 802.1x. I aquí teniu el gir: el problema no es reprodueix al nou SSID. La pregunta de l'enginyer TAC ens fa preguntar-nos quins canvis hem fet a la xarxa Wi-Fi abans que aparegués el problema. Començo a recordar... I hi ha una pista: el SSID inicialment problemàtic durant molt de temps tenia el mètode d'autenticació WPA2-PSK, però per augmentar el nivell de seguretat el vam canviar a 802.1x amb l'autenticació de domini.
Comproveu la pista: canvio el mètode d'autenticació del SSID de prova de 802.1x a WPA2-PSK i, després, enrere. El problema no és reproduïble.
Heu de pensar de manera més sofisticada: creo un altre SSID de prova amb autenticació WPA2-PSK, hi connecto el telèfon i recordo el SSID del telèfon. Canvio l'autenticació a 802.1x, autentico el telèfon amb un compte de domini i habilito la connexió automàtica.
Reinicio el telèfon... I sí! El problema es va repetir. Aquells. El desencadenant principal és canviar el mètode d'autenticació en un telèfon conegut de WPA2-PSK a 802.1x. Ho vaig informar a l'enginyer de Cisco TAC. Juntament amb ell, vam reproduir el problema diverses vegades, vam fer un bolcat de trànsit, en el qual quedava clar que després d'encendre el telèfon, comença la fase d'autenticació (Access-Challenge), però al cap d'un temps envia un missatge de desassociació al punt d'accés i se'n desconnecta. Això és clarament un problema del client.
I de nou al client
A falta d'un contracte de suport amb Apple, hi va haver un intent llarg però reeixit d'arribar a la seva segona línia de suport, en què vaig informar del problema. Després hi va haver molts intents independents per trobar i determinar la causa del problema al telèfon i es va trobar. El problema va resultar ser la funció habilitada "
Conclusió
Per a la nostra empresa el problema es va resoldre amb èxit. Com que es va canviar el nom de l'empresa, es va decidir canviar el SSID corporatiu. I el nou SSID ja es va crear immediatament amb l'autenticació 802.1x, que no va ser un desencadenant del problema.
Font: www.habr.com