Pozdrav!
Nikad nisam mislio da ću se vratiti na ovaj slučaj, ali
Bežični upravljač - AIR-CT5508-K9.
Verzija softvera kontrolera je 8.5.120.0.
Pristupne točke - uglavnom AIR-AP3802I-R-K9.
Metoda provjere autentičnosti je 802.1x.
RADIUS poslužitelj - ISE.
Problematični klijenti - iPhone 6.
Verzija klijentskog softvera je 12.3.1.
Frekvencija 2,4GHz i 5GHz.
Pronalaženje problema na klijentu
U početku je bilo pokušaja da se problem riješi napadom na klijenta. Srećom, imao sam isti model telefona kao podnositelj zahtjeva i mogao sam provesti testiranje u vrijeme koje mi odgovara. Provjerio sam problem na svom telefonu - doista, odmah nakon uključivanja telefon se pokušava spojiti na korporativnu mrežu koja mu je prethodno bila poznata, ali nakon otprilike 10 sekundi ostaje nepovezan. Ako ručno odaberete SSID, telefon od vas traži da unesete svoju prijavu i lozinku. Nakon što ih unesete, sve radi ispravno, ali nakon ponovnog pokretanja telefon se ne može automatski spojiti na SSID, unatoč činjenici da su prijava i lozinka spremljeni, SSID je bio na popisu poznatih mreža, a automatsko povezivanje je omogućeno.
Bilo je neuspješnih pokušaja zaboravljanja SSID-a i ponovnog dodavanja, resetiranja mrežnih postavki telefona, ažuriranja telefona putem iTunesa, pa čak i ažuriranja na beta verziju iOS-a 12.4 (posljednju u to vrijeme). Ali sve to nije pomoglo. Provjereni su i modeli naših kolega, iPhone 7 i iPhone X, na kojima je također reproduciran problem. Ali na Android telefonima problem nije riješen. Dodatno, prijava je stvorena u Apple Feedback Assistantu, ali do danas nije primljen nikakav odgovor.
Rješavanje problema bežičnog upravljača
Nakon svega navedenog, odlučeno je da se problem potraži u WLC-u. Istovremeno sam otvorio tiket sa Cisco TAC-om. Na temelju TAC-ove preporuke, ažurirao sam kontroler na verziju 8.5.140.0. Igrao sam se s raznim mjeračima vremena i brzim prijelazom. Nije pomoglo.
Za testiranje sam izradio novi SSID s 802.1x autentifikacijom. I evo zaokreta: problem se ne reproducira na novom SSID-u. Pitanje inženjera TAC-a tjera nas da se zapitamo koje smo promjene napravili na Wi-Fi mreži prije nego što se problem pojavio. Počinjem se prisjećati... I postoji jedan trag - prvobitno problematični SSID dugo je imao metodu provjere autentičnosti WPA2-PSK, ali da bismo povećali razinu sigurnosti promijenili smo je na 802.1x s autentifikacijom domene.
Provjeravam trag - mijenjam metodu provjere autentičnosti na testnom SSID-u s 802.1x na WPA2-PSK, a zatim natrag. Problem nije ponovljiv.
Morate razmišljati sofisticiranije - kreiram još jedan testni SSID s WPA2-PSK autentifikacijom, povežem telefon s njim i zapamtim SSID u telefonu. Promijenio sam autentifikaciju na 802.1x, autentifikirao telefon s računom domene i omogućio automatsko povezivanje.
Restartam telefon... I da! Problem se ponovio. Oni. Glavni okidač je promjena metode autentifikacije na poznatom telefonu s WPA2-PSK na 802.1x. Prijavio sam ovo inženjeru Cisco TAC-a. Zajedno s njim nekoliko smo puta reproducirali problem, napravili prometni deponij u kojem se jasno vidjelo da telefon nakon uključivanja kreće u fazu autentifikacije (Access-Challenge), ali nakon nekog vremena šalje disasocijacijsku poruku na pristupnu točku i prekida vezu s njom. Ovo je očito problem na strani klijenta.
I opet na klijenta
U nedostatku ugovora o podršci s Appleom, bio je dug, ali uspješan pokušaj da se dođe do njihove druge linije podrške, u kojem sam prijavio problem. Zatim je bilo mnogo neovisnih pokušaja da se pronađe i utvrdi uzrok problema u telefonu i on je pronađen. Pokazalo se da je problem omogućena funkcija "
Zaključak
Za našu tvrtku problem je uspješno riješen. Zbog promjene naziva tvrtke, odlučeno je promijeniti korporativni SSID. A novi SSID već je odmah kreiran s 802.1x autentifikacijom, što nije bio okidač za problem.
Izvor: www.habr.com