某局点摄像头无法连接加密无线信号,摄像头只支持2.4g,使用不加密的服务模板可以正常连接,使用手机释放加密的热点也可以正常连接,唯独无法连接AP释放的加密信号。
无线服务模板的配置很简单,加密套件也更换过ccmp+rsn但是摄像头依然无法连接
wlan service-template 3
ssid test1
akm mode psk
preshared-key pass-phrase cipher xxxxxxxx
cipher-suite tkip
security-ie wpa
service-template enable
检查过基本配置确认无误后,在AC上收集终端关联的debug信息,具体需要收集以下两个debug信息:
debugging wlan client mac xxxx-xxxx-xxxx,收集终端auth报文、association报文的交互流程
debugging wlan usersec all 收集终端的密钥协商报文交互过程
在收集了上述两个debug之后进行分析,发现终端与AP正常交互auth报文、association报文,交互完上述关联报文后就要继续交互WPA2-PSK模式的四次握手报文,继续查看debug了error报错:
*Dec 14 14:24:44:530 2023 STAMGR/7/PktRcv: [MAC: xxxx-xxxx-xxxx, BSSID: ]Received a 4-way handshake message 2.
*Dec 14 14:24:44:530 STAMGR/7/Error: [MAC: xxxx-xxxx-xxxx, BSSID: ]Failed to process 4-way handshake message 2: Invalid replay counter.
*Dec 14 14:24:44:530 2023 STAMGR/7/Event: [MAC: xxxx-xxxx-xxxx, BSSID: ]Started processing key negotiation: Result=discard packet.
*Dec 14 14:24:44:530 2023 STAMGR/7/Error: Failed to proc received eapol packet.
可以从debug当中获取到error出现在四次握手的第二次握手,而第二次握手是终端发给AC的报文,AC接收到报文后判断报文无效于是进行了丢弃,而报文被判断无效的原因还要继续分析。
结合前后的debug分析发现,AC向终端发送了第一次握手报文时间是14:24:44:132,终端过了400ms后的14:24:44:530才回复握手报文,在AC看来终端的响应时间太慢了,而AC上如果发送了第一次握手报文后收不到终端的响应报文300ms后就会进行报文重传,而终端在AC发送第二个重传报文后100ms才回复AC的第一个报文,导致AC上校验报文失败从而对报文进行了丢弃。
找到了AC丢弃报文的原因以及终端的响应时间,那么下一步就可以尝试在AC上增加四次握手报文交互AC的等待时长,只要AC发送四次握手报文后的等待时长超过400ms,理论上就可以满足这个终端的交互需求,可以通过以下命令调整:
option 4-way-handshake resend max-count [ interval interval ]
现场具体可以调整为设备发送EAPOL-Key报文的最大重传次数为3次,重传时间间隔为500毫秒
[Sysname] wlan service-template service1
[Sysname-wlan-st-svervice1] option 4-way-handshake resend 3 interval 500
如上述配置调整AC的重传时间间隔为500ms后,终端可以顺利接入。
这个问题的本质原因是终端响应AC的握手报文慢导致的,可以修改AC的报文重传时间间隔,但是这个报文的重传时间间隔最大只能调整为500ms,如果终端超过500ms都没有响应AC的报文,那就只能推动终端厂商想办法解决这个问题。
配置设备发送EAPOL-Key报文的最大重传次数为3次,重传时间间隔为500毫秒
[Sysname] wlan service-template service1
[Sysname-wlan-st-svervice1] option 4-way-handshake resend 3 interval 500
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作