某局点Android手机802.1X远程认证出现反复掉线问题处理

一、组网

在某银行局点中，采用了WX5004结合iMC进行802.1x-tls认证，AC的版本为R2308P10。组网示意图如下：

二、问题描述

在此组网中Android手机关联ssid A通过802.1x-tls认证后有以下现象：

1、如果手机上保存了其他可关联ssid B，一段时间后终端主动从ssid A断开，关联ssid B。

2、如果手机上有2G/3G网络，一段时间后终端主动从ssid A断开，以2G/3G的方式访问网络。

3、如果手机上既没有保存其他可关联ssid也没有2G/3G网络，一段时间后掉线，并重新发起dot1x认证。反复循环。

三、分析过程

3.1、从终端角度考虑

只有Android终端会出现断开当前802.1x-tls无线网络连接，iphone和PC没有此现象。说明并非设备故障，而是兼容性问题。

3.2、从AC调试信息来看

3.2.1、14:47:11:298此终端通过认证上线成功

%Aug 13 14:47:11:296 2013 CMBC_AC WMAC/6/WMAC_CLIENT_JOIN_WLAN:  Client 40f3-0871-154a successfully joins WLAN WLAN-INT, on APID 18 with BSSID 80f6-2eda-20e1.

*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/FRAME :  Frame received from station... MAC address : 40f3-0871-154a

*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/FRAME :  Frame type received : Association request

*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/FSM   :  Station state : Authenticated

*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/EVENT :

AC select policy for station.

*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/EVENT :  Allocate AID (130) for STA 40f3-0871-154a successfully

*Aug 13 14:47:11:298 2013 CMBC_AC WMAC/7/EVENT :  AP load is balanced

*Aug 13 14:47:11:298 2013 CMBC_AC WMAC/7/EVENT :  Radio load is balanced

*Aug 13 14:47:11:298 2013 CMBC_AC WMAC/7/EVENT :  Add mobile (40f3-0871-154a) sent

3.2.3、终端收发一段时间数据帧后，在14:47:13:139主动完成下线

*Aug 13 14:47:12:962 2013 CMBC_AC WMAC/7/FRAME :  Frame received from station... MAC address : 40f3-0871-154a

*Aug 13 14:47:12:962 2013 CMBC_AC WMAC/7/FRAME :  Frame type received : Data frame

%Aug 13 14:47:13:137 2013 CMBC_AC WMAC/6/WMAC_CLIENT_GOES_OFFLINE:  Client 40f3-0871-154a disconnected from WLAN WLAN-INT. Reason code is 8.

*Aug 13 14:47:13:138 2013 CMBC_AC WMAC/7/FRAME :  Frame received from station... MAC address : 40f3-0871-154a

*Aug 13 14:47:13:138 2013 CMBC_AC WMAC/7/FRAME :  Frame type received : Dis-association

*Aug 13 14:47:13:138 2013 CMBC_AC WMAC/7/FSM   :  Station state : Running

*Aug 13 14:47:13:138 2013 CMBC_AC WMAC/7/FRAME :  Received disassociation frame with reason code 8

*Aug 13 14:47:13:139 2013 CMBC_AC WMAC/7/EVENT :  Delete mobile (40f3-0871-154a) sent

*Aug 13 14:47:13:139 2013 CMBC_AC WMAC/7/EVENT :  De-allocate AID (130) for STA 40f3-0871-154a successfully.

很明显，断开当前无线网络连接行为由终端主动发起，并非由设备造成。

3.3、终端上线后主动断开的原因

在实验室复现问题，关键过程如下：

3.3.1、认证成功，设备通知客户端

8021X/7/EVENT: Port:WLAN-BSS10,Auth:12,DOT1X send EAP_SUCCESS packet                                           

3.3.2、启动密钥协商过程  

8021X/7/EVENT: Port:WLAN-BSS10, Send key packet to WLAN. 

3.3.3、接入设备（AC）向imc服务器发送计费开始请求

RDS/7/DEBUG: Send: IP=[8.1.1.40], UserIndex=[12], ID=[150], RetryTimes=[0], Code=[4], Length=[219]      

3.3.5、计费成功，IMC回应5号报文的同时还顺带下发了私有属性（没有被调试信息打印出来），该属性被AC通过EAP透传给客户端

RDS/7/DEBUG: Receive:IP=[8.1.1.40],Code=[5],Length=[68] 

3.3.6、客户端收到这个EAP报文后主动disassocation 

*Jan  2 00:50:54:038 2009 WA2610E-AGN PORTSEC/7/Event: Port:WLAN-BSS10,Auth:12,Receive PORTSEC_RCVMSG_11USER_HAVE_LEAVE msg                                                     

结论：

① 在imc下发的私有属性之前一切正常。

② 无线客户端收到imc下发的私有属性后，主动下线。

③ 修改radius模式为“标准模式”之后，IMC不再下发私有属性，手机掉线的现象消除。

四、解决方法

这个问题的核心原因是：AC配置选择Radius服务类型为扩展模式后，IMC会下发私有属性，有些客户端可能会认为出现错误而主动下线。

因此在不使用inode的情况下，跟IMC配合的dot1x认证如果有兼容性问题，修改radius配置，使用“标准模式”。

system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-type standard