Всім привіт!
Вже й не думав, що повернуся до цього кейсу, але підштовхнув мене згадати та розповісти про особистий досвід, коли трохи більше року тому мені довелося витратити чимало часу над вивченням проблеми з бездротовою мережею на базі Cisco та телефонами iPhone. Мені доручили розібратися над питанням одного з керівників: "Чому після перезавантаження iPhone не може автоматично підключитися до Wi-Fi мережі, а при ручному підключенні просить ввести логін і пароль?".
Відомості про Wi-Fi мережі:
Бездротовий контролер - AIR-CT5508-K9.
Версія ПЗ контролера - 8.5.120.0.
Точки доступу – в основному AIR-AP3802I-R-K9.
Метод аутентифікації - 802.1x.
RADIUS-сервер - ISE.
Проблемні клієнти - iPhone 6.
Версія ПЗ клієнтів - 12.3.1.
Частота 2,4ГГц та 5ГГц.
Пошук проблеми на клієнті
Спочатку були спроби вирішити проблему з наскоку на клієнта. На щастя, у мене була така ж модель телефону, як у заявника, і я міг проводити тестування у зручний для мене час. Перевірив проблему на своєму телефоні — дійсно, відразу після включення телефон намагається підключитися до раніше відомої корпоративної мережі, але приблизно секунд через 10 залишається непідключеним. Якщо вибрати SSID вручну, телефон просить ввести логін і пароль. Після введення все працює коректно, але після перезавантаження телефон знову не може автоматично підключитися до SSID, незважаючи на те, що логін і пароль були збережені, SSID значився в списку відомих мереж, автопідключення включено.
Були зроблені безуспішні спроби забути SSID і додати його заново, скинути налаштування телефону, оновити телефон через iTunes і навіть оновитися на beta-версію iOS 12.4 (на той момент найостаннішої). Але це не допомагало. Також були перевірені моделі колег – iPhone 7 та iPhone X, на них проблема теж відтворювалася. А ось на телефонах з Android проблема не зафіксована. Додатково було створено тикет у Apple Feedback Assistant, але до сьогодення відповіді на нього не отримано.
Пошук проблеми на бездротовому контролері
Після всього перерахованого вище було вирішено шукати проблему в WLC. Паралельно я відкрив тикет у Cisco TAC. За рекомендацією TAC оновив контролер до версії 8.5.140.0. Погрався з різними таймерами та Fast Transition. Не допомогло.
Для тестування я створив новий SSID із автентифікацією 802.1x. І це поворот — на новому SSID проблема не відтворюється. Питання інженера TAC змушує замислитись — які зміни на Wi-Fi мережі ми робили до того, як проблема виявилася. Починаю згадувати… І є одна зачіпка — спочатку проблемний SSID тривалий час мав метод аутентифікації WPA2-PSK, але для підвищення рівня безпеки ми змінили його на 802.1x із доменною автентифікацією.
Перевіряю зачіпку — змінюю метод аутентифікації на тестовому SSID з 802.1x на WPA2-PSK, а потім назад. Проблема не відтворюється.
Потрібно думати витонченішою — створюю ще один тестовий SSID з автентифікацією WPA2-PSK, підключаю до нього телефон, запам'ятовую в телефоні SSID. Змінюю аутентифікацію на 802.1x, аутентифікую телефон із доменним обліковим записом, включаю автопідключення.
Перезавантажую телефон… І так! Проблема повторилася. Тобто. головний тригер — зміна відомому телефону SSID методу аутентифікації з WPA2-PSK на 802.1x. Я повідомив це інженеру Cisco TAC. Спільно з ним кілька разів відтворили проблему, зняли дамп трафіку, в якому було видно, що телефон після включення запускає фазу автентифікації (Access-Challenge), але через деякий час відправляє на точку доступу diassociation message та відключається від неї. Це очевидна проблема на стороні клієнта.
І знову на клієнті
За відсутністю контракту підтримки з Apple була довга, але успішна спроба додзвонитися до їхньої другої лінії підтримки, в якій я розповів про проблему. Потім було безліч самостійних спроб знайти та визначити причину проблеми у телефоні і її було знайдено. Проблема опинилася у включеній функціїДосить корисна функція, відключати яку на телефонах для workaround я і заявник проблеми не захотіли. На мою думку, телефон не може перезаписати інформацію про метод підключення до відомих SSID на серверах iCloud. Про знахідку було повідомлено Apple, на що вони визнали, що така проблема є, відома розробникам, і буде виправлена в майбутніх релізах.В якому саме не повідомили.Не готовий сказати, як справи на поточний момент, але на початку грудня 2019 року проблема все ще відтворювалася на iPhone 11 Pro Max з iOS 13.
Висновок
Для нашої компанії проблема вирішилася благополучно. Зважаючи на те, що найменування компанії було змінено, було вирішено змінити і корпоративний SSID. А новий SSID був одразу створений з автентифікацією 802.1x, що не було тригером для проблеми.
Джерело: habr.com