某局点802.1X用户反复上下线问题处理案例

某局点反馈部分802.1X认证用户上线时出现反复上下线的现象，将ESS口下的802.1X计费延时删除后上线正常，配置上后又出现反复上下线的问题。

1、计费延时功能：开启后，802.1X得到用户的IP地址后，才发起计费；否则，不发起计费，或在等待指定时间后强制用户下线。

2、问题现象很清晰，且基本是必现问题。802.1X认证用户，如果开启了延迟计费，用户认证时会出现反复上下线（认证是成功的）；删除延迟计费功能，一切正常。这样问题可能出在延迟计费功能上，或跟延迟计费相关的其他点。

3、分析整个过程，找跟延迟计费相关的点。大致过程：STA上线，通过dhcp获取地址，AP会截获dhcp ack报文，形成IP+MAC对应关系，通过LWAPP控制隧道上送给AC，这里开启了1x计费延时功能，且用到了这个信息，就需要上报这个信息给802.1X相关模块。开启了延迟计费，802.1X认证完之后，在确认有用户IP信息之前，并未完全放通相应DBSS端口，但是这时是允许DHCP（ARP也可以）等协议报文转发的，因为STA要获取地址。此后如果用户获取到了地址并且1x也获取到了该信息，相应端口真正放通，正常通信。

4、根据上面过程，怀疑点可能有：1）AP没有截获到dhcp ack，没学到用户的IP，从而未上报给AC；2）AP学习到IP后上送AC不及时或者并发上报较多时给AC时有漏掉；3）IP地址上报到AC了，但WLAN没有通知到802.1X模块；4）802.1X认证后未将端口临时放通，导致报文实际没有转发。

5、根据以上疑点猜想，主要怀疑是dhcp拿地址阶段。尝试用不同网卡尝试，反复上下线申请地址。如果Dhcp Server上如果没有分配此地址，STA就会连续发N多个request（超过了配置的计费延时10s），一段时间之后才重新发起discovery request，这时才能正常获取到地址。但这是正常情况，因为这时server不应该回应。对比了手机终端，连续发了两个request之后，就重新discovery 发起请求，而这整个过程在10s之内，所以不会有问题。继续按这个思路，再反复折腾网卡，有时会出现，即使server上有分配的地址未到期，网卡再来申请时发reqeust，server及时不响应或回应时间超过了10s，或者网卡会连续发多个request之后，重新discovery发起请求，成功获取地址。而多个request的时间远超过10s（缺省值）。

6、怀疑现场也有可能是这个原因，对比现场出问题时的抓包，基本确定是这个原因。

该问题的本质原因是DHCP SERVER的实现方式，规避方式在AC将计费延时等待时间调大，给终端足够的时间来申请地址。