Ahoj všichni!
Nikdy jsem si nemyslel, že se k tomuto případu vrátím, ale
Bezdrátový ovladač - AIR-CT5508-K9.
Verze softwaru ovladače je 8.5.120.0.
Přístupové body - většinou AIR-AP3802I-R-K9.
Metoda ověřování je 802.1x.
Server RADIUS - ISE.
Problémoví klienti - iPhone 6.
Verze klientského softwaru je 12.3.1.
Frekvence 2,4 GHz a 5 GHz.
Nalezení problému na klientovi
Zpočátku byly pokusy řešit problém útokem na klienta. Naštěstí jsem měl stejný model telefonu jako žadatel a mohl jsem provést testování v době, která mi vyhovovala. Zkontroloval jsem problém na svém telefonu - skutečně, okamžitě po zapnutí se telefon pokouší připojit k dříve známé podnikové síti, ale asi po 10 sekundách zůstane nepřipojen. Pokud vyberete SSID ručně, telefon vás požádá o zadání přihlašovacího jména a hesla. Po jejich zadání vše funguje správně, ale po restartu se telefon opět nemůže automaticky připojit k SSID, přestože přihlašovací jméno a heslo byly uloženy, SSID bylo v seznamu známých sítí a automatické připojení je povoleno.
Došlo k neúspěšným pokusům o zapomenutí SSID a jeho opětovné přidání, resetování síťových nastavení telefonu, aktualizaci telefonu přes iTunes a dokonce i aktualizaci na beta verzi iOS 12.4 (tehdy nejnovější). To vše ale nepomohlo. Kontrolovány byly i modely našich kolegů iPhone 7 a iPhone X, na kterých byl problém také reprodukován. Ale na telefonech Android problém není vyřešen. Navíc byl vytvořen tiket v Apple Feedback Assistant, ale do dnešního dne nepřišla žádná odpověď.
Odstraňování problémů s bezdrátovým ovladačem
Po všem výše uvedeném bylo rozhodnuto hledat problém ve WLC. Zároveň jsem otevřel tiket s Cisco TAC. Na základě doporučení TAC jsem aktualizoval ovladač na verzi 8.5.140.0. Hrál jsem si s různými časovači a rychlým přechodem. Nepomohlo.
Pro testování jsem vytvořil nové SSID s ověřováním 802.1x. A tady je zvrat: problém se na novém SSID nereprodukuje. Otázka inženýra TAC nás nutí přemýšlet, jaké změny jsme provedli v síti Wi-Fi, než se problém objevil. Začínám si vzpomínat... A je tu jedno vodítko – původně problematické SSID mělo dlouhou dobu autentizační metodu WPA2-PSK, ale pro zvýšení úrovně zabezpečení jsme ji změnili na 802.1x s doménovou autentizací.
Kontroluji nápovědu – na testovacím SSID měním způsob ověřování z 802.1x na WPA2-PSK a pak zpět. Problém není reprodukovatelný.
Je potřeba přemýšlet sofistikovaněji – vytvořím další testovací SSID s WPA2-PSK autentizací, připojím k němu telefon a zapamatuji si SSID v telefonu. Změním ověřování na 802.1x, ověřím telefon pomocí účtu domény a povolím automatické připojení.
Restartuji telefon... A ano! Problém se opakoval. Tito. Hlavním spouštěčem je změna metody ověřování na známém telefonu z WPA2-PSK na 802.1x. Oznámil jsem to technikovi Cisco TAC. Společně s ním jsme problém několikrát reprodukovali, provedli výpis provozu, ve kterém bylo jasné, že po zapnutí telefon spustí fázi ověřování (Access-Challenge), ale po chvíli odešle disasociační zprávu na přístupový bod a odpojí se od něj. To je jednoznačně problém na straně klienta.
A opět na klientovi
Vzhledem k neexistenci smlouvy o podpoře se společností Apple došlo k dlouhému, ale úspěšnému pokusu o dosažení druhé linky podpory, ve které jsem nahlásil problém. Pak bylo mnoho nezávislých pokusů najít a určit příčinu problému v telefonu a bylo nalezeno. Problém se ukázal být povolenou funkcí "
Závěr
Pro naši společnost byl problém úspěšně vyřešen. Vzhledem k tomu, že došlo ke změně názvu společnosti, bylo rozhodnuto o změně firemního SSID. A nové SSID již bylo okamžitě vytvořeno s ověřováním 802.1x, což nebylo spouštěčem problému.
Zdroj: www.habr.com