Здраво на сите!
Никогаш не мислев дека ќе се вратам на овој случај, но
Безжичен контролер - AIR-CT5508-K9.
Верзијата на софтверот на контролорот е 8.5.120.0.
Пристапни точки - главно AIR-AP3802I-R-K9.
Методот за автентикација е 802.1x.
Сервер RADIUS - ISE.
Проблематични клиенти - iPhone 6.
Клиентската верзија на софтверот е 12.3.1.
Фреквенција 2,4 GHz и 5 GHz.
Наоѓање проблем кај клиентот
Првично, имаше обиди да се реши проблемот со напад на клиентот. За среќа, го имав истиот модел на телефон како апликантот и можев да спроведам тестирање во време погодно за мене. Го проверив проблемот на мојот телефон - навистина, веднаш по вклучувањето на телефонот се обидува да се поврзе со корпоративната мрежа претходно позната, но по околу 10 секунди тој останува неповрзан. Ако рачно го изберете SSID, телефонот бара од вас да ги внесете вашето најавување и лозинка. Откако ќе ги внесете, сè работи правилно, но по повторното рестартирање на телефонот не може автоматски да се поврзе со SSID, и покрај фактот што најавувањето и лозинката беа зачувани, SSID беше во списокот на познати мрежи, а автоматското поврзување е овозможено.
Беа направени неуспешни обиди да се заборави SSID и повторно да се додаде, да се ресетираат мрежните поставки на телефонот, да се ажурира телефонот преку iTunes, па дури и да се ажурира на бета верзијата на iOS 12.4 (најновата во тоа време). Но, сето ова не помогна. Проверени се и моделите на нашите колеги, iPhone 7 и iPhone X, а проблемот е репродуциран и на нив. Но, на телефоните со Android проблемот не е поправен. Дополнително, беше креиран билет во Асистентот за повратни информации на Apple, но до денес не е добиен одговор.
Решавање проблеми со безжичниот контролер
По сето горенаведено, беше одлучено да се бара проблемот во WLC. Во исто време, отворив билет со Cisco TAC. Врз основа на препораката на TAC, го ажурирав контролерот на верзијата 8.5.140.0. Си играв со разни тајмери и Брза транзиција. Не помогна.
За тестирање, создадов нов SSID со автентикација 802.1x. И тука е пресвртот: проблемот не се репродуцира на новиот SSID. Прашањето на инженерот TAC нè тера да се запрашаме какви промени направивме во Wi-Fi мрежата пред да се појави проблемот. Почнувам да се сеќавам... И има еден поим - првично проблематичниот SSID долго време го имаше методот за автентикација WPA2-PSK, но за да го зголемиме нивото на безбедност го сменивме на 802.1x со автентикација на доменот.
Ја проверувам трагата - го менувам методот за автентикација на тестот SSID од 802.1x во WPA2-PSK, а потоа назад. Проблемот не може да се репродуцира.
Треба да размислите пософистицирано - создавам уште еден тест SSID со WPA2-PSK автентикација, го поврзувам телефонот со него и се сеќавам на SSID во телефонот. Ја менувам автентикацијата во 802.1x, го автентицирам телефонот со сметка на домен и овозможувам автоматско поврзување.
Го рестартирам телефонот... И да! Проблемот се повтори. Оние. Главниот активирач е менување на методот за автентикација на познат телефон од WPA2-PSK на 802.1x. Го пријавив ова кај инженерот на Cisco TAC. Заедно со него неколку пати го репродуциравме проблемот, зедовме сообраќајна депонија, во која беше јасно дека по вклучувањето на телефонот ја започнува фазата на автентикација (Пристап-Предизвик), но по некое време испраќа порака за дисоцијација на пристапна точка и се исклучува од неа. Ова е јасно прашање на клиентската страна.
И повторно на клиентот
Во отсуство на договор за поддршка со Apple, имаше долг, но успешен обид да се дојде до нивната втора линија за поддршка, во која го пријавив проблемот. Потоа имаше многу независни обиди да се најде и да се утврди причината за проблемот во телефонот и беше пронајден. Се покажа дека проблемот е овозможената функција "
Заклучок
За нашата компанија проблемот беше успешно решен. Поради фактот што името на компанијата беше сменето, беше одлучено да се промени корпоративниот SSID. И новиот SSID веќе беше веднаш креиран со автентикација 802.1x, што не беше активирач за проблемот.
Извор: www.habr.com