某局点摄像头无法连接加密无线信号经验案例

某局点摄像头无法连接加密无线信号，摄像头只支持2.4g，使用不加密的服务模板可以正常连接，使用手机释放加密的热点也可以正常连接，唯独无法连接AP释放的加密信号。

无线服务模板的配置很简单，加密套件也更换过ccmp+rsn但是摄像头依然无法连接

wlan service-template 3

 ssid test1

 akm mode psk

 preshared-key pass-phrase cipher xxxxxxxx

 cipher-suite tkip

 security-ie wpa

 service-template enable

检查过基本配置确认无误后，在AC上收集终端关联的debug信息，具体需要收集以下两个debug信息：

debugging  wlan client  mac  xxxx-xxxx-xxxx,收集终端auth报文、association报文的交互流程

debugging  wlan usersec all 收集终端的密钥协商报文交互过程

在收集了上述两个debug之后进行分析，发现终端与AP正常交互auth报文、association报文，交互完上述关联报文后就要继续交互WPA2-PSK模式的四次握手报文，继续查看debug了error报错：

*Dec 14 14:24:44:530 2023 STAMGR/7/PktRcv: [MAC: xxxx-xxxx-xxxx, BSSID: ]Received a 4-way handshake message 2.

*Dec 14 14:24:44:530 STAMGR/7/Error: [MAC: xxxx-xxxx-xxxx, BSSID: ]Failed to process 4-way handshake message 2: Invalid replay counter.

*Dec 14 14:24:44:530 2023 STAMGR/7/Event: [MAC: xxxx-xxxx-xxxx, BSSID: ]Started processing key negotiation: Result=discard packet.

*Dec 14 14:24:44:530 2023 STAMGR/7/Error: Failed to proc received eapol packet.
可以从debug当中获取到error出现在四次握手的第二次握手，而第二次握手是终端发给AC的报文，AC接收到报文后判断报文无效于是进行了丢弃，而报文被判断无效的原因还要继续分析。

结合前后的debug分析发现，AC向终端发送了第一次握手报文时间是14:24:44:132，终端过了400ms后的14:24:44:530才回复握手报文，在AC看来终端的响应时间太慢了，而AC上如果发送了第一次握手报文后收不到终端的响应报文300ms后就会进行报文重传，而终端在AC发送第二个重传报文后100ms才回复AC的第一个报文，导致AC上校验报文失败从而对报文进行了丢弃。

找到了AC丢弃报文的原因以及终端的响应时间，那么下一步就可以尝试在AC上增加四次握手报文交互AC的等待时长，只要AC发送四次握手报文后的等待时长超过400ms，理论上就可以满足这个终端的交互需求，可以通过以下命令调整：

option 4-way-handshake resend max-count [ interval interval ]

现场具体可以调整为设备发送EAPOL-Key报文的最大重传次数为3次，重传时间间隔为500毫秒

[Sysname] wlan service-template service1

[Sysname-wlan-st-svervice1] option 4-way-handshake resend 3  interval 500

如上述配置调整AC的重传时间间隔为500ms后，终端可以顺利接入。

这个问题的本质原因是终端响应AC的握手报文慢导致的，可以修改AC的报文重传时间间隔，但是这个报文的重传时间间隔最大只能调整为500ms，如果终端超过500ms都没有响应AC的报文，那就只能推动终端厂商想办法解决这个问题。

配置设备发送EAPOL-Key报文的最大重传次数为3次，重传时间间隔为500毫秒

[Sysname] wlan service-template service1

[Sysname-wlan-st-svervice1] option 4-way-handshake resend 3  interval 500