某局点手机和电脑连接5G频段时802.1X认证偶尔失败

AC+Fit AP组网，现场终端有手机和电脑。

手机和电脑连接5G频段时802.1x偶尔认证失败，连接2.4G频段时dot1x都能认证成功。AC上做了负载均衡，二楼AP接入用户普遍小于10，基本没有认证不成功的情况。三楼AP接入用户普遍大于20，会出现5G频段终端偶尔接入不成功的情况，提示网络不可用。

1、收集了debug radius packet、debugging dot1x error 、debugging dot1x event信息

发现Debug 里面只有终端主动下线的信息，后续就没有debug信息，有可能是这个下线的信息是用户测试的时候，主动断开，后续再关联的时候，出现关联异常，根本就没有到radius 这个环节，前面就有问题。 

%Dec  7 16:39:33:360 2021 OA-YZKJ2F-AC-WX3508H-01.Int DOT1X/6/DOT1X_WLAN_LOGOFF: -Username=zhanyang.lei-UserMAC=929d-1d10-78b6-BSSID=58c7-ac8b-87a1-SSID=bianlifeng-staff-APName=OA-YZKJ3F-WA6330-01.Int-RadioID=2-VLANID=400; Session for an 802.1X user was terminated.Reason:Received log off from user. *

2、查看负载均衡的配置，是基于负载均衡组的。且配置的切换门限是wlan load-balance mode session 10 gap 3 。

猜测可能是负载均衡导致的认证失败。所以后续重新收集上述信息与debug wlan radio-load-balance all。同时建议取消负载均衡测试，如果终端被负载到比较远的ap，信号强度不好，就会出现无法关联的情况，那1x肯定也会认证不通过。

3、后续反馈苹果手机没有重复连接机制连接一次就显示网络暂时不可用crt也没有回显。但是可以看到命令行回显中终端下线。安卓手机连接一直自动重复连接到达10次后可以认证过去。

4、查看负载均衡的相关理论

（1）工作机制：

当AP的Radio负载达到或者超过设置的负载门限值，并且与同一AC内负载最轻的Radio的负载差值达到或者超过设置的最大负载差值门限值，该Radio才会运行负载均衡，拒绝任何其它客户端的关联请求；当AP的Radio负载小于设置的门限值，或者与同一AC内负载最轻的Radio的负载差值小于设置的最大负载差值门限值，就不会运行负载均衡

（2） 拒绝的命令，参考手册说明：

设备拒绝客户端关联请求的最大次数：如果客户端反复向某个Radio发起关联请求，且Radio拒绝客户端关联请求次数达到设定的最大拒绝关联请求次数，那么该Radio会认为此时该客户端不能连接到其它任何的Radio，在这种情况下，Radio会接受该客户端的关联请求。

 配置负载均衡RSSI门限。wlan load-balance rssi-threshold rssi-threshold  缺省情况下，负载均衡RSSI门限值为25。

 配置设备拒绝客户端关联请求的最大次数。 wlan load-balance access-denial access-denial  缺省情况下，拒绝客户端关联请求的最大次数为10

（3）负载均衡的作用范围。如果不配置负载均衡组，就是基于radio的负载均衡。

从作用范围的角度划分，设备支持基于Radio的负载均衡和基于负载均衡组的负载均衡：

·  基于Radio的负载均衡：根据AP上报的邻居报告判断需要进行负载均衡的Radio，邻居报告记录着每个Radio检测到的客户端的MAC地址和RSSI值。当客户端发起关联请求时，设备仅对客户端发起关联请求的Radio和检测到该客户端RSSI值达到负载均衡门限的Radio进行负载均衡计算。

·  基于负载均衡组的负载均衡：可以限制负载均衡的范围，在跨AP的多个Radio之间进行负载均衡。创建负载均衡组后，设备将以负载均衡组为单位，在各个组内的Radio间进行会话模式、流量模式或带宽模式的负载均衡，没有加入到任何负载均衡组的Radio不会参与负载均衡。

（4）进一步理解：

负载均衡的实现方式，ac拒绝终端的方式是在回复终端的association response中告诉终端拒绝接入，我们拒绝了终端的接入，终端如何处理我们没法影响它，那是终端自己的行为。 终端反复请求这个radio，一般情况下可能是终端附近没有其他的radio可用了，所以它才反复接这个radio，比如覆盖区域的边缘，也有可能终端自身因为某些特殊原因不选择接入其他射频的信号， 如果（2）中提到的命令，那就会导致终端一直无法接入，但是配置了之后，到达最大次数，这个射频就允许它接入了。 

5、总体分析后

现场的大概情况是二楼有大概11个AP，三楼有大概4个AP，AP有3个radio口，radio1和radio2为5G，radio3为2.4G。radio1和radio2是一个ssid，radio3是另一个ssid。二楼的3个射频口都处于同一个负载均衡组1，三楼的3个射频口都处于同一个负载均衡组2。由于2层楼终端用户较少AP数量多，并没有出现连接不上网络的情况。三层终端用户较多出现了连接不上网络或者禁止接入的情况，是因为5G频段接入的用户满了之后会负载均衡到2.4G，但是又是不同的SSID，所以连接不上去。得出的结论是不同频段的不能放在同一个负载均衡组内，因为是发射的不同信号。

将不同的频段放在不同的负载均衡组内。比如2.4G频段的radio口处于负载均衡组1，5G频段的radio口处于负载均衡组2。