H3C iNode与思科无线配合掉线问题分析
一、 组网:
随着时代的发展,无线已经成为近年来的一个热门。越来越多的公司、机构倾向于使用无线网络。其可移动性、易部署性给网络使用和建设带来了极大便利。与此同时,各大公司、机构对于无线安全的重视程度也越来越高。无线安全主要体现在两个方面:一个是身份认证;另一个是安全准入。我司iNode客户端结合EAD系统在无线安全方面处于业界遥遥领先状态。各家厂家的无线产品与我司的iNode客户端加EAD系统配合屡见不鲜。下面就以iNode与思科无线配合过程中的遇到一个问题做一个简单的分析,希望对大家的日常工作中有所帮助。
1.拓扑简图
2. 设备及版本
2.1 iMC系统软件及版本
iMC PLAT 5.2 (E0401P05) //iMC平台
iMC UAM 5.2 (E0402P05) //UAM用户认证组件
iMC EAD 5.2 (E0402P05) //EAD安全检查组件
iNode PC 5.2 (E0408) //认证客户端,定制无线接入功能
2.2 H3C无线设备及版本
WX6103E(95E无线插卡) CMW520-R2308P23(V200R003B96D032)
WA2620i-AGN
2.3 思科无线设备及版本
信息不详
2.4 其它网络信息
A大楼全思科设备,含交换机、路由器、无线;
B大楼全H3C设备,含交换机、路由器、无线;
iMC仅在B大楼部署,A大楼及B大楼都到B大楼认证;
二、 问题描述:
客户现网A、B两栋大楼,其中B大楼为新大楼。A大楼全部为思科及锐捷产品,B大楼全部为我司产品,都存在无线控制器及无线接入点。前期A大楼使用了友商的A10认证系统及友商的奥德赛客户端,业务正常。现部署了一套新iMC系统在B大楼内,A、B大楼都到B大楼iMC系统上认证、安全检查。业务上线后发现B大楼业务正常,而A大楼较多用户出现iNode无线连接每半小时掉线一次的情况。有些或者更长时间出现掉线情况。前期测试正常。
三、 过程分析:
1.存在困难
1)思科无线控制器无法抓包。
2)思科无线控制器客户、代理商不会使用调试模式。
3)现网PC无法抓取无线认证报文。
4)问题随机产生。
2.排查思路
通过观察客户端及无线环境,iNode客户端每隔半小时会自动重新认证一次,偶尔会掉线。问题应该在重认证上。分析重认证原因。收集iNode故障调试日志给二线及研发专家分析,得知每隔半小时iNode会收到一次无线控制器的重认证请求,由于用户已经在线,所以重认证失败导致用户下线。进一步分析重认证原因。无线在认证成功后会有一个定期的密钥更新过程,此过程涉及加密密钥重协商。思科设备单播为每30分钟自动协商一次,组播不详;我司H3C设备单播默认不协商,组播每60分钟协商一次,可以通过命令行修改。该过程与问题现象及其类似。在思科web界面中找到了密钥超时的修改界面,默认1800秒,即30分钟。我们可以修改为8小时或者24小时都可以,一般用户使用无线时间也就白天上班,估计8小时左右。这里,我们修改为36000秒,即10个小时。后面观察,问题解决。
综合分析故障原因。iNode客户端在认证成功后,思科无线控制器会定期30分钟发生一次加密密钥更新协商过程,因为无线信号或者产品兼容性原因导致协商失败。此刻无线控制器强行将用户踢除下线。iNode客户端具备无线断线自动重连功能,当发现客户端异常下线会自动重新发起认证。而此时,iMC还存在用户在线信息,因此此次认证过程必会失败,进而导致用户异常掉线。实际上,无线加密密钥定时更新机制是为了防止加密的无线报文被破解。实际应用中,加密密钥更新周期无需这么久。设置10小时我们认为也是几乎不可破解的。此问题中可能因为无线信号原因或者产品兼容性,导致密钥协商失败,我们通过修改更新周期来解决该问题。经观察,修改后故障消失。
四、 解决方法:
修改思科无线控制器加密密钥重协商时间即可(也就是会话超时时间),具体配置如下,打开思科无线配置界面;
配置时间为36000秒(10小时)
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作