Всім привіт!
Вже й не думав, що повернуся до цього кейсу, але
Бездротовий контролер - AIR-CT5508-K9.
Версія ПЗ контролера - 8.5.120.0.
Точки доступу – в основному AIR-AP3802I-R-K9.
Метод аутентифікації - 802.1x.
RADIUS-сервер - ISE.
Проблемні клієнти - iPhone 6.
Версія ПЗ клієнтів - 12.3.1.
Частота 2,4ГГц та 5ГГц.
Пошук проблеми на клієнті
Спочатку були спроби вирішити проблему з наскоку на клієнта. На щастя, у мене була така ж модель телефону, як у заявника, і я міг проводити тестування у зручний для мене час. Перевірив проблему на своєму телефоні — дійсно, відразу після включення телефон намагається підключитися до раніше відомої корпоративної мережі, але приблизно секунд через 10 залишається непідключеним. Якщо вибрати SSID вручну, телефон просить ввести логін і пароль. Після введення все працює коректно, але після перезавантаження телефон знову не може автоматично підключитися до SSID, незважаючи на те, що логін і пароль були збережені, SSID значився в списку відомих мереж, автопідключення включено.
Були зроблені безуспішні спроби забути SSID і додати його заново, скинути налаштування телефону, оновити телефон через iTunes і навіть оновитися на beta-версію iOS 12.4 (на той момент найостаннішої). Але це не допомагало. Також були перевірені моделі колег – iPhone 7 та iPhone X, на них проблема теж відтворювалася. А ось на телефонах з Android проблема не зафіксована. Додатково було створено тикет у Apple Feedback Assistant, але до сьогодення відповіді на нього не отримано.
Пошук проблеми на бездротовому контролері
Після всього перерахованого вище було вирішено шукати проблему в WLC. Паралельно я відкрив тикет у Cisco TAC. За рекомендацією TAC оновив контролер до версії 8.5.140.0. Погрався з різними таймерами та Fast Transition. Не допомогло.
Для тестування я створив новий SSID із автентифікацією 802.1x. І це поворот — на новому SSID проблема не відтворюється. Питання інженера TAC змушує замислитись — які зміни на Wi-Fi мережі ми робили до того, як проблема виявилася. Починаю згадувати… І є одна зачіпка — спочатку проблемний SSID тривалий час мав метод аутентифікації WPA2-PSK, але для підвищення рівня безпеки ми змінили його на 802.1x із доменною автентифікацією.
Перевіряю зачіпку — змінюю метод аутентифікації на тестовому SSID з 802.1x на WPA2-PSK, а потім назад. Проблема не відтворюється.
Потрібно думати витонченішою — створюю ще один тестовий SSID з автентифікацією WPA2-PSK, підключаю до нього телефон, запам'ятовую в телефоні SSID. Змінюю аутентифікацію на 802.1x, аутентифікую телефон із доменним обліковим записом, включаю автопідключення.
Перезавантажую телефон… І так! Проблема повторилася. Тобто. головний тригер — зміна відомому телефону SSID методу аутентифікації з WPA2-PSK на 802.1x. Я повідомив це інженеру Cisco TAC. Спільно з ним кілька разів відтворили проблему, зняли дамп трафіку, в якому було видно, що телефон після включення запускає фазу автентифікації (Access-Challenge), але через деякий час відправляє на точку доступу diassociation message та відключається від неї. Це очевидна проблема на стороні клієнта.
І знову на клієнті
За відсутністю контракту підтримки з Apple була довга, але успішна спроба додзвонитися до їхньої другої лінії підтримки, в якій я розповів про проблему. Потім було безліч самостійних спроб знайти та визначити причину проблеми у телефоні і її було знайдено. Проблема опинилася у включеній функції
Висновок
Для нашої компанії проблема вирішилася благополучно. Зважаючи на те, що найменування компанії було змінено, було вирішено змінити і корпоративний SSID. А новий SSID був одразу створений з автентифікацією 802.1x, що не було тригером для проблеми.
Джерело: habr.com