iNode与思科无线配合掉线问题分析

H3C iNode与思科无线配合掉线问题分析

一、   组网：

 随着时代的发展，无线已经成为近年来的一个热门。越来越多的公司、机构倾向于使用无线网络。其可移动性、易部署性给网络使用和建设带来了极大便利。与此同时，各大公司、机构对于无线安全的重视程度也越来越高。无线安全主要体现在两个方面：一个是身份认证；另一个是安全准入。我司iNode客户端结合EAD系统在无线安全方面处于业界遥遥领先状态。各家厂家的无线产品与我司的iNode客户端加EAD系统配合屡见不鲜。下面就以iNode与思科无线配合过程中的遇到一个问题做一个简单的分析，希望对大家的日常工作中有所帮助。

1.拓扑简图
 

2. 设备及版本
2.1 iMC系统软件及版本
      iMC PLAT 5.2 (E0401P05) //iMC平台
      iMC UAM 5.2 (E0402P05) //UAM用户认证组件
      iMC EAD 5.2 (E0402P05) //EAD安全检查组件
      iNode PC 5.2 (E0408)  //认证客户端，定制无线接入功能
2.2 H3C无线设备及版本
      WX6103E（95E无线插卡） CMW520-R2308P23(V200R003B96D032)
      WA2620i-AGN
2.3 思科无线设备及版本
      信息不详
2.4 其它网络信息
      A大楼全思科设备，含交换机、路由器、无线；
      B大楼全H3C设备，含交换机、路由器、无线；

      iMC仅在B大楼部署，A大楼及B大楼都到B大楼认证；

二、 问题描述：
客户现网A、B两栋大楼，其中B大楼为新大楼。A大楼全部为思科及锐捷产品，B大楼全部为我司产品，都存在无线控制器及无线接入点。前期A大楼使用了友商的A10认证系统及友商的奥德赛客户端，业务正常。现部署了一套新iMC系统在B大楼内，A、B大楼都到B大楼iMC系统上认证、安全检查。业务上线后发现B大楼业务正常，而A大楼较多用户出现iNode无线连接每半小时掉线一次的情况。有些或者更长时间出现掉线情况。前期测试正常。

三、 过程分析：

1．存在困难
1）思科无线控制器无法抓包。
2）思科无线控制器客户、代理商不会使用调试模式。
3）现网PC无法抓取无线认证报文。
4）问题随机产生。

2．排查思路
  通过观察客户端及无线环境，iNode客户端每隔半小时会自动重新认证一次，偶尔会掉线。问题应该在重认证上。分析重认证原因。收集iNode故障调试日志给二线及研发专家分析，得知每隔半小时iNode会收到一次无线控制器的重认证请求，由于用户已经在线，所以重认证失败导致用户下线。进一步分析重认证原因。无线在认证成功后会有一个定期的密钥更新过程，此过程涉及加密密钥重协商。思科设备单播为每30分钟自动协商一次，组播不详；我司H3C设备单播默认不协商，组播每60分钟协商一次，可以通过命令行修改。该过程与问题现象及其类似。在思科web界面中找到了密钥超时的修改界面，默认1800秒，即30分钟。我们可以修改为8小时或者24小时都可以，一般用户使用无线时间也就白天上班，估计8小时左右。这里，我们修改为36000秒，即10个小时。后面观察，问题解决。
 综合分析故障原因。iNode客户端在认证成功后，思科无线控制器会定期30分钟发生一次加密密钥更新协商过程，因为无线信号或者产品兼容性原因导致协商失败。此刻无线控制器强行将用户踢除下线。iNode客户端具备无线断线自动重连功能，当发现客户端异常下线会自动重新发起认证。而此时，iMC还存在用户在线信息，因此此次认证过程必会失败，进而导致用户异常掉线。实际上，无线加密密钥定时更新机制是为了防止加密的无线报文被破解。实际应用中，加密密钥更新周期无需这么久。设置10小时我们认为也是几乎不可破解的。此问题中可能因为无线信号原因或者产品兼容性，导致密钥协商失败，我们通过修改更新周期来解决该问题。经观察，修改后故障消失。

四、 解决方法：
修改思科无线控制器加密密钥重协商时间即可（也就是会话超时时间），具体配置如下，打开思科无线配置界面；

 
      配置时间为36000秒（10小时）