• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点PSK加密大量终端关联失败问题处理经验案例

  • 0关注
  • 0收藏 2400浏览
殷俊 九段
粉丝:63人 关注:4人

某局点使用无线控制器WX5540E配置多种款型AP进行无线覆盖,以保证多种环境的用户使用。用户使用场景为大型园区办公网,无线接入采用WPA+TKIPWPA2+CCMP混合加密PSK认证方式。

无线用户使用时,在某些时间段会出现关联失败,尝试多次关联才可关联上,甚至一直关联不上。不分场景跟AP,所有区域均会出现该问题。

  

先按照无线的云图之终端关联失败问题排查,排除信号覆盖问题、干扰问题、接入用户数限制问题、误配置问题、个别终端问题等。尝试新增不加密SSID,终端尝试关联正常。

出问题时采集空口抓包信息,分析终端关联失败是终端问题还是无线问题,通过抓包信息来看,终端是被AP踢掉,AP发送deauth报文,强制终端下线。如下所示:

Deauth报文中reason code1:

同时在AC上打开debug调试信息,采集终端关联失败详细信息,相关调试信息如下:

debugging wlan mac all

debugging wlan mac error

debugging port-security error

问题复现时采集debug关键信息如下:

InspurAC_Master WMAC/6/WMAC_CLIENT_GOES_OFFLINE:  Client fcdb-b30b-945d disconnected from WLAN Inspur-L. Reason code is 1.

 

InspurAC_Master PORTSEC/7/Error: port-security PSK user up to limits

该信息表示ACPSK认证用户已达到上限,超过设备规格。V5平台无线控制器PSK认证用户规格限制为4K

由于该局点接入认证全部用的是PSK加密,查看当前在线用户数已超过4K,如下:

dis wlan client

Total Number of Clients   : 4103

 

目前V5平台所有无线控制器的PSK认证用户规格都是4K,但不同款型的AC对接入用户数的规格又不一样,该局点WX5540E完全可以满足4K以上用户接入。所以不建议新增设备扩容,通过mac-and-psk的认证方式可以解决该问题,扩展规格。 具体配置方法如下:

配置AC

# 启用端口安全。

system-view

[AC] port-security enable

# 配置无线端口安全,使用MAC-and-PSK认证。

[AC] interface wlan-ess 2

[AC-WLAN-ESS2] port-security port-mode mac-and-psk

[AC-WLAN-ESS2] port-security tx-key-type 11key

[AC-WLAN-ESS2] port-security preshared-key pass-phrase 12345678

[AC-WLAN-ESS2] quit

# 创建服务模板2(加密类型服务模板),配置SSIDmactest,将WLAN-ESS2接口绑定到服务模板2

[AC] wlan service-template 2 crypto

[AC-wlan-st-2] ssid mactest

[AC-wlan-st-2] bind wlan-ess 2

[AC-wlan-st-2] cipher-suite ccmp

[AC-wlan-st-2] security-ie rsn

[AC-wlan-st-2] service-template enable

[AC-wlan-st-2] quit

# 创建AP 1的模板,名称为ap1,型号名称选择WA3628i-AGN,并配置AP 1的序列号为210235A29G007C000020

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 将服务模板2绑定到AP 1radio 1口。

[AC-wlan-ap-ap1] radio 1 type dot11an

[AC-wlan-ap-ap1-radio-1] service-template 2

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

# 添加认证域cams,都配为“none”。

[AC] domain cams

[AC-isp-cams] authentication none

[AC-isp-cams] authorization none

[AC-isp-cams] accounting none

[AC-isp-cams] quit

# 指定MAC认证域为cams

[AC] mac-authentication domain cams

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-12对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作