Witam wszystkich!
Nigdy nie myślałem, że wrócę do tej sprawy, a jednak skłoniło mnie do przypomnienia i opowiedzenia o moich osobistych doświadczeniach, gdy nieco ponad rok temu miałem okazję spędzić sporo czasu na badaniu problemu z siecią bezprzewodową opartą na Cisco i telefonami iPhone. Miałem za zadanie odpowiedzieć na pytanie jednego z menadżerów: „Dlaczego po ponownym uruchomieniu iPhone nie może automatycznie połączyć się z siecią Wi-Fi, a przy ręcznym łączeniu prosi o podanie nazwy użytkownika i hasła?”
Informacje o sieci Wi-Fi:
Kontroler bezprzewodowy - AIR-CT5508-K9.
Wersja oprogramowania kontrolera to 8.5.120.0.
Punkty dostępowe - głównie AIR-AP3802I-R-K9.
Metoda uwierzytelniania to 802.1x.
Serwer RADIUS - ISE.
Problematyczni klienci – iPhone 6.
Wersja oprogramowania klienta to 12.3.1.
Częstotliwość 2,4 GHz i 5 GHz.
Znalezienie problemu u klienta
Początkowo próbowano rozwiązać problem poprzez atak na klienta. Na szczęście miałem ten sam model telefonu co wnioskodawca i mogłem przeprowadzić testy w dogodnym dla mnie terminie. Sprawdziłem problem na swoim telefonie - rzeczywiście zaraz po włączeniu telefon próbuje połączyć się ze znaną mu wcześniej siecią firmową, jednak po około 10 sekundach pozostaje niepołączony. Jeżeli ręcznie wybierzesz SSID, telefon poprosi Cię o podanie loginu i hasła. Po ich wpisaniu wszystko działa poprawnie, jednak po ponownym uruchomieniu telefon nie może automatycznie połączyć się z SSID, mimo że login i hasło zostały zapisane, SSID był na liście znanych sieci, a auto łączenie jest włączone.
Bezskutecznie podejmowano próby zapomnienia SSID i dodania go na nowo, zresetowania ustawień sieciowych telefonu, aktualizacji telefonu poprzez iTunes, a nawet aktualizacji do wersji beta iOS 12.4 (najnowszej wówczas). Ale to wszystko nie pomogło. Sprawdzono także modele naszych kolegów iPhone 7 i iPhone X i również na nich problem został odtworzony. Ale na telefonach z Androidem problem nie został rozwiązany. Dodatkowo w Apple Feedback Assistant utworzono zgłoszenie, lecz do chwili obecnej nie otrzymano żadnej odpowiedzi.
Rozwiązywanie problemów z kontrolerem bezprzewodowym
Po tym wszystkim postanowiono poszukać problemu w WLC. W tym samym czasie otworzyłem bilet w Cisco TAC. Kierując się zaleceniem TAC, zaktualizowałem kontroler do wersji 8.5.140.0. Bawiłem się różnymi timerami i szybkim przejściem. Nie pomogło.
Do testów utworzyłem nowy identyfikator SSID z uwierzytelnianiem 802.1x. I tu jest zwrot akcji: problem nie występuje na nowym identyfikatorze SSID. Pytanie inżyniera TAC każe nam się zastanowić, jakie zmiany wprowadziliśmy w sieci Wi-Fi, zanim pojawił się problem. Zaczynam sobie przypominać... I jest jedna wskazówka - początkowo problematyczny SSID przez długi czas miał metodę uwierzytelniania WPA2-PSK, ale dla zwiększenia poziomu bezpieczeństwa zmieniliśmy ją na 802.1x z uwierzytelnianiem domeny.
Sprawdzam wskazówkę - zmieniam metodę uwierzytelniania na testowym SSID z 802.1x na WPA2-PSK i z powrotem. Problem nie jest powtarzalny.
Trzeba pomyśleć bardziej wyrafinowanie - tworzę kolejny testowy SSID z uwierzytelnieniem WPA2-PSK, podłączam do niego telefon i zapamiętuję SSID w telefonie. Zmieniam uwierzytelnianie na 802.1x, uwierzytelniam telefon kontem domeny i włączam automatyczne łączenie.
Uruchomiłem ponownie telefon... I tak! Problem się powtórzył. Te. Głównym powodem jest zmiana metody uwierzytelniania w znanym telefonie z WPA2-PSK na 802.1x. Zgłosiłem to inżynierowi Cisco TAC. Razem z nim odtworzyliśmy problem kilka razy, zrobiliśmy zrzut ruchu, w którym było jasne, że po włączeniu telefon rozpoczyna fazę uwierzytelniania (Access-Challenge), ale po chwili wysyła wiadomość o rozłączeniu do punktu dostępowego i rozłącza się z nim. Jest to wyraźnie problem po stronie klienta.
I znowu na kliencie
Wobec braku umowy supportowej z Apple odbyła się długa, ale udana próba dotarcia do ich drugiej linii wsparcia, na której zgłosiłem problem. Potem było wiele niezależnych prób znalezienia i ustalenia przyczyny problemu w telefonie i udało się. Problemem okazała się włączona funkcja”". Całkiem przydatna funkcja, której ze zgłaszającym problem i ja nie chcieliśmy wyłączać w telefonach obejściowych. Według mojego założenia telefon nie może nadpisać informacji o sposobie łączenia się ze znanymi identyfikatorami SSID na serwerach iCloud. Znalezienie zostało zgłoszone do Apple, w którym przyznali, że istnieje taki problem, jest on znany programistom i zostanie naprawiony w przyszłych wersjach. Nie powiedzieli, w której wersji. Nie jestem gotowy, aby powiedzieć, jak się sprawy mają w tej chwili , ale na początku grudnia 2019 problem nadal występował na iPhonie 11 Pro Max z iOS 13.
wniosek
W przypadku naszej firmy problem został pomyślnie rozwiązany. W związku ze zmianą nazwy firmy zdecydowano się na zmianę firmowego identyfikatora SSID. Nowy identyfikator SSID został już natychmiast utworzony z uwierzytelnianiem 802.1x, co nie było przyczyną problemu.
Źródło: www.habr.com