iPhone终端连接含WPA1兼容性加密套件的dot1x认证模板出现自动断开连接的问题
- 0关注
- 0收藏 178浏览
组网及说明
Cloud AP对接本地Radius服务器,dot1x认证服务模板,内网环境无法通外网。
#
wlan service-template office-net
ssid office
vlan 300
user-isolation enable
akm mode dot1x
cipher-suite ccmp
cipher-suite tkip
security-ie rsn
security-ie wpa
client-security authentication-mode dot1x
dot1x domain dm1
bss transition-management enable
service-template enable
#
告警信息
无
问题描述
安卓和windows PC终端连接该dot1x认证服务模板时可以正常通过dot1x认证并保持稳定在线,
但是几台iPhone终端连接该服务模板后虽然能通过认证,但是会经常自动断开,此时手动操作iPhone再次连接该dot1x认证模板虽然能连上,但是过一会儿又会自动断开。
过程分析
查看了Cloud AP上的故障iPhone终端相关日志:
%Jun 26 11:03:30:343 2025 office_AP3 DOT1X/6/DOT1X_WLAN_LOGOFF: -Username=Pony_Ma-UserMAC=af3a-6610-a4a9-BSSID=2236-09f6-a581-SSID=office-APName=ap3-RadioID=1-VLANID=300; Session for an 802.1X user was terminated.Reason:Received client failure message with reason code=2269.
%Jun 30 11:03:50:601 2025office_AP3 DOT1X/6/DOT1X_WLAN_LOGIN_SUCC: -Username=Pony_Ma-UserMAC=af3a-6610-a4a9-BSSID=2236-09f6-a581-SSID=office-APName=ap3-RadioID=1-VLANID=300; A user passed 802.1X authentication and came online.
根据日志并且结合现场的操作,排除了信号弱、强干扰和有WIDS反制等可能性外,初步推论为终端主动离线并断开了dot1x认证连接。
没有初步的怀疑原因,只能测试:
(1) 某些终端由于有自动探测公网域名的机制,若探测不通则其操作系统认为网络不可用,从而断开连接,使用手机热点和PC网络共享等方式让这台Cloud AP连接的终端可以联通公网,但是发现iPhone终端连上后仍然会经常自动断开。
(2) iOS终端对dot1x和PSK加密模板的加密套件有要求(WPA2和WAP3认为是安全的),如果是WPA1可能认为不安全,而该dot1x认证服务模板中为了考虑老旧终端的兼容性包含了配置:cipher-suite tkip 和 security-ie wpa,它们属于WPA1加密套件,因此可能被iPhone终端判断为不安全的网络,从而断开连接,顺着这个思路删掉了这两个WPA1的加密套件,iPhone连接该SSID后不再出现自动断开的情况,也能维持稳定在线。
解决方法
删除了服务模板中cipher-suite tkip 和 security-ie wpa的WPA1加密套件。
但是为了兼容老旧终端的使用,额外增加了一个包含WPA1兼容性加密套件的服务模板,释放单独的SSID。
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作