Ahoj všetci!
Nikdy som si nemyslel, že sa k tomuto prípadu vrátim, ale
Bezdrôtový ovládač - AIR-CT5508-K9.
Verzia softvéru ovládača je 8.5.120.0.
Prístupové body - väčšinou AIR-AP3802I-R-K9.
Metóda overenia je 802.1x.
Server RADIUS - ISE.
Problémoví klienti - iPhone 6.
Verzia klientskeho softvéru je 12.3.1.
Frekvencia 2,4 GHz a 5 GHz.
Nájdenie problému na klientovi
Spočiatku boli pokusy riešiť problém útokom na klienta. Našťastie som mal rovnaký model telefónu ako žiadateľ a mohol som vykonať testovanie v čase, ktorý mi vyhovoval. Skontroloval som problém na svojom telefóne - skutočne, ihneď po zapnutí sa telefón pokúsi pripojiť k predtým známej podnikovej sieti, ale asi po 10 sekundách zostane nepripojený. Ak vyberiete SSID manuálne, telefón vás požiada o zadanie prihlasovacieho mena a hesla. Po ich zadaní všetko funguje správne, ale po reštarte sa telefón opäť nemôže automaticky pripojiť k SSID, napriek tomu, že prihlasovacie meno a heslo boli uložené, SSID bolo v zozname známych sietí a automatické pripojenie je povolené.
Uskutočnili sa neúspešné pokusy zabudnúť SSID a znova ho pridať, obnoviť sieťové nastavenia telefónu, aktualizovať telefón cez iTunes a dokonca aktualizovať na beta verziu iOS 12.4 (v tom čase najnovšiu). Ale toto všetko nepomohlo. Skontrolované boli aj modely našich kolegov iPhone 7 a iPhone X, na ktorých sa problém reprodukoval. Ale na telefónoch s Androidom problém nie je vyriešený. Okrem toho bol lístok vytvorený v aplikácii Apple Feedback Assistant, ale do dnešného dňa neprišla žiadna odpoveď.
Riešenie problémov s bezdrôtovým ovládačom
Po všetkom vyššie uvedenom bolo rozhodnuté hľadať problém vo WLC. Zároveň som si otvoril lístok s Cisco TAC. Na základe odporúčania TAC som aktualizoval ovládač na verziu 8.5.140.0. Hral som sa s rôznymi časovačmi a rýchlym prechodom. Nepomohlo.
Na testovanie som vytvoril nový SSID s autentifikáciou 802.1x. A tu je zvrat: problém sa nereprodukuje na novom SSID. Otázka inžiniera TAC nás núti zaujímať sa, aké zmeny sme urobili v sieti Wi-Fi predtým, ako sa problém objavil. Začínam si spomínať... A je tu jedna stopa – pôvodne problematické SSID malo dlho autentifikačnú metódu WPA2-PSK, ale pre zvýšenie úrovne bezpečnosti sme ju zmenili na 802.1x s doménovou autentifikáciou.
Kontrolujem stopu – mením spôsob autentifikácie na testovacom SSID z 802.1x na WPA2-PSK a potom späť. Problém nie je reprodukovateľný.
Treba rozmýšľať sofistikovanejšie – vytvorím ďalšie testovacie SSID s WPA2-PSK autentifikáciou, pripojím k nemu telefón a zapamätám si SSID v telefóne. Zmením overenie na 802.1x, overím telefón pomocou doménového účtu a povolím automatické pripojenie.
Reštartujem telefón... A áno! Problém sa opakoval. Tie. Hlavným spúšťačom je zmena metódy autentifikácie na známom telefóne z WPA2-PSK na 802.1x. Nahlásil som to technikovi Cisco TAC. Spolu s ním sme problém niekoľkokrát reprodukovali, urobili sme výpis prevádzky, v ktorom bolo jasné, že telefón po zapnutí spustí fázu autentifikácie (Access-Challenge), no po chvíli odošle disasociačnú správu na prístupový bod a odpojí sa od neho. Toto je jednoznačne problém na strane klienta.
A opäť na klientovi
Vzhľadom na absenciu zmluvy o podpore so spoločnosťou Apple došlo k dlhému, ale úspešnému pokusu o dosiahnutie druhej linky podpory, v ktorej som nahlásil problém. Potom bolo veľa nezávislých pokusov nájsť a určiť príčinu problému v telefóne a bolo nájdené. Ukázalo sa, že problémom je povolená funkcia "
Záver
Pre našu spoločnosť bol problém úspešne vyriešený. Vzhľadom na to, že došlo k zmene názvu spoločnosti, bolo rozhodnuté o zmene firemného SSID. A nové SSID už bolo okamžite vytvorené s autentifikáciou 802.1x, čo nebolo spúšťačom problému.
Zdroj: hab.com