终端(IOS系统) 连接SSID时, 提示无法加入到网络(无线认证)

Posted on Posted in DKEY AM, FAQ-宁盾一体化认证平台, FAQ-无线portal, 无线认证客户端, 认证客户端

用户环境:Windows 2012server +思科WLC

测试功能:短信认证  用户名认证  协助扫码认证

 第一步:检查服务器防火墙是否关闭或者放行UDP:1812,1813 TCP:8080端口

第二步:部署认证服务器(安装DKey AM)并进行临时授权(让客户对WLC进行配置)然后确认服务功能全部开启;

第三部:认证平台调优;

 

实施过程中出现的现象以及问题和分析:

一.终端(IOS系统连接SSID时提示无法加入到网络,安卓系统终端没有该提示, 只显示已保存,但是无法连接网络。

 

问题:终端无法连接到网络,MAC认证被拒绝。

分析:使用Wireshark抓包进行排查,在第一个radius报文里发现连接被拒绝,在拒绝报文RejectCalled-station-ID只携带了IP信息,缺少了AP MAC和SSID信息,故认证会被拒绝加入,所以导致无法连接。

 

WLC设备Radius配置进行排查

Radius配置选项里默认是 “IP Address”导致传递的Radius报文信息里只携带IP信息,更改选项为AP Address: SSID后可以看到报文里携带相关AP MAC SSID信息进行连接。

  

 

二.安卓终端可以连接SSID但是无法跳转portal页面,也无法正常连接网络。

IOS终端会提示无法连接到网络。

问题:报文缺少相关ACL信息。

分析:Radius报文里可以看到,第一个拒绝报文里缺少了相关ACL信息,导致无法弹出portal页面。

打开认证服务器配置和WLC进行检查,发现Preauth ACL(Compatible Mode Only)处和WLC设备上ACL名称不匹配(名称应该完全一致),进行更正后,终端可正常连接;(注:当两端设备ACL名称不一致时,认证服务器不会返回正确ACL信息)

 

三.在测试用户踢下线功能时认证平台报错NAS错误

问题:WCL设备的NAS-ID与原NAS-ID不匹配。

分析:获取到NAK报文,可以看到当前NAS-ID信息名称,报错为NAS-ID不匹配造成的无法踢用户下线。

WLC设备检查NAS-ID项,原因是客户在做配置时更改了默认的NAS-ID没有重启WLC使其生效,导致提用户下线时NAS-ID名称和原NAS-ID名称不匹配发生错误。

(注:可重启WLC 使服务生效)应客户需求不能重启WLC就将NAS-ID改回默认值且能正常踢下线,如下图;