某局点Android手机802.1X远程认证出现反复掉线问题处理
一、组网
在某银行局点中,采用了WX5004结合iMC进行802.1x-tls认证,AC的版本为R2308P10。组网示意图如下:
二、问题描述
在此组网中Android手机关联ssid A通过802.1x-tls认证后有以下现象:
1、如果手机上保存了其他可关联ssid B,一段时间后终端主动从ssid A断开,关联ssid B。
2、如果手机上有2G/3G网络,一段时间后终端主动从ssid A断开,以2G/3G的方式访问网络。
3、如果手机上既没有保存其他可关联ssid也没有2G/3G网络,一段时间后掉线,并重新发起dot1x认证。反复循环。
三、分析过程
3.1、从终端角度考虑
只有Android终端会出现断开当前802.1x-tls无线网络连接,iphone和PC没有此现象。说明并非设备故障,而是兼容性问题。
3.2、从AC调试信息来看
3.2.1、14:47:11:298此终端通过认证上线成功
%Aug 13 14:47:11:296 2013 CMBC_AC WMAC/6/WMAC_CLIENT_JOIN_WLAN: Client 40f3-0871-154a successfully joins WLAN WLAN-INT, on APID 18 with BSSID 80f6-2eda-20e1.
*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/FRAME : Frame received from station... MAC address : 40f3-0871-154a
*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/FRAME : Frame type received : Association request
*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/FSM : Station state : Authenticated
*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/EVENT :
AC select policy for station.
*Aug 13 14:47:11:297 2013 CMBC_AC WMAC/7/EVENT : Allocate AID (130) for STA 40f3-0871-154a successfully
*Aug 13 14:47:11:298 2013 CMBC_AC WMAC/7/EVENT : AP load is balanced
*Aug 13 14:47:11:298 2013 CMBC_AC WMAC/7/EVENT : Radio load is balanced
*Aug 13 14:47:11:298 2013 CMBC_AC WMAC/7/EVENT : Add mobile (40f3-0871-154a) sent
3.2.3、终端收发一段时间数据帧后,在14:47:13:139主动完成下线
*Aug 13 14:47:12:962 2013 CMBC_AC WMAC/7/FRAME : Frame received from station... MAC address : 40f3-0871-154a
*Aug 13 14:47:12:962 2013 CMBC_AC WMAC/7/FRAME : Frame type received : Data frame
%Aug 13 14:47:13:137 2013 CMBC_AC WMAC/6/WMAC_CLIENT_GOES_OFFLINE: Client 40f3-0871-154a disconnected from WLAN WLAN-INT. Reason code is 8.
*Aug 13 14:47:13:138 2013 CMBC_AC WMAC/7/FRAME : Frame received from station... MAC address : 40f3-0871-154a
*Aug 13 14:47:13:138 2013 CMBC_AC WMAC/7/FRAME : Frame type received : Dis-association
*Aug 13 14:47:13:138 2013 CMBC_AC WMAC/7/FSM : Station state : Running
*Aug 13 14:47:13:138 2013 CMBC_AC WMAC/7/FRAME : Received disassociation frame with reason code 8
*Aug 13 14:47:13:139 2013 CMBC_AC WMAC/7/EVENT : Delete mobile (40f3-0871-154a) sent
*Aug 13 14:47:13:139 2013 CMBC_AC WMAC/7/EVENT : De-allocate AID (130) for STA 40f3-0871-154a successfully.
很明显,断开当前无线网络连接行为由终端主动发起,并非由设备造成。
3.3、终端上线后主动断开的原因
在实验室复现问题,关键过程如下:
3.3.1、认证成功,设备通知客户端
8021X/7/EVENT: Port:WLAN-BSS10,Auth:12,DOT1X send EAP_SUCCESS packet
3.3.2、启动密钥协商过程
8021X/7/EVENT: Port:WLAN-BSS10, Send key packet to WLAN.
3.3.3、接入设备(AC)向imc服务器发送计费开始请求
RDS/7/DEBUG: Send: IP=[8.1.1.40], UserIndex=[12], ID=[150], RetryTimes=[0], Code=[4], Length=[219]
3.3.5、计费成功,IMC回应5号报文的同时还顺带下发了私有属性(没有被调试信息打印出来),该属性被AC通过EAP透传给客户端
RDS/7/DEBUG: Receive:IP=[8.1.1.40],Code=[5],Length=[68]
3.3.6、客户端收到这个EAP报文后主动disassocation
*Jan 2 00:50:54:038 2009 WA2610E-AGN PORTSEC/7/Event: Port:WLAN-BSS10,Auth:12,Receive PORTSEC_RCVMSG_11USER_HAVE_LEAVE msg
结论:
① 在imc下发的私有属性之前一切正常。
② 无线客户端收到imc下发的私有属性后,主动下线。
③ 修改radius模式为“标准模式”之后,IMC不再下发私有属性,手机掉线的现象消除。
四、解决方法
这个问题的核心原因是:AC配置选择Radius服务类型为扩展模式后,IMC会下发私有属性,有些客户端可能会认为出现错误而主动下线。
因此在不使用inode的情况下,跟IMC配合的dot1x认证如果有兼容性问题,修改radius配置,使用“标准模式”。
system-view [Sysname] radius scheme radius1
[Sysname-radius-radius1] server-type standard
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作