取消
显示结果 
搜索替代 
您的意思是: 
cancel
1207
查看次数
0
有帮助
5
回复

SSID切换认证失败

songliang
Level 1
Level 1

公司无线网络控制器为wlc5508,配置多个ssid,使用外部portal和radius做WEB认证,第一次登陆无线时认证正常。后续一旦切换其他ssid就认证失败。在此期间并未进行账号下线操作,而是直接进行信号切换。直到在AC上剔除用户MAC后再登陆才能恢复正常认证。请问这个问题如何解决?是否需要配置client user idle timeout 、client user idle threshold?

1 个已接受解答

已接受的解答

你好,WLAN的配置不知道是如何的?

这个问题是不是从开始配置部署就有这样的问题?如下有官方ISE和WLC集成完成的CWA。如果你的是外部的RADIUS server,可以检查一下是否L2认证勾选了MAC Filtering,然后L3使用的WEB认证。大致思路按照如下文档来完成。

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

谢谢

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

在原帖中查看解决方案

5 条回复5

请问是如下的情况吗?

1、连接到WEB认证的WLAN

2、然后切换到其他SSID

3、然后再切换回来连接WEB认证的WLAN

此时报错,无法连接?

可否将这个过程的debug信息采集查看一下:

开启debug:

debug client <mac-add>

然后故障复现,关闭debug:debug disable-all

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

是的,debug信息附件中,设备信息如下;

MAC1:a0:78:17:6d:5a:fc (苹果电脑、MacOS12.0.1)
MAC2:80:45:dd:a2:8e:8d(windows10 64位系统)

看到了一些信息可能有帮助:

*apfMsConnTask_5: Feb 17 18:14:05.869: [SA] 80:45:dd:a2:8e:8d Username entry 'rgjtofficeuser' is deleted for mobile from the UserName table
*apfMsConnTask_5: Feb 17 18:14:05.869: [SA] 80:45:dd:a2:8e:8d Username entry rgjtofficeuser deleted for mobile
*apfMsConnTask_5: Feb 17 18:14:05.871: [SA] 80:45:dd:a2:8e:8d apfPemAddUser2:session timeout forstation 80:45:dd:a2:8e:8d - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is  0 
*apfMsConnTask_5: Feb 17 18:14:05.871: [SA] 80:45:dd:a2:8e:8d Stopping deletion of Mobile Station: (callerId: 48)
*apfMsConnTask_5: Feb 17 18:14:05.871: [SA] 80:45:dd:a2:8e:8d Func: apfPemAddUser2, Ms Timeout = 0, Session Timeout = 0
*DHCP Socket Task: Feb 17 18:14:10.829: [SA] 80:45:dd:a2:8e:8d 10.10.31.38 WEBAUTH_REQD (8) Successfully plumbed mobile rule (IPv4 ACL ID 2, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255,URL ACL Action 0)
*DHCP Socket Task: Feb 17 18:14:10.829: [SA] 80:45:dd:a2:8e:8d Plumbing web-auth redirect rule due to user logout
*DHCP Socket Task: Feb 17 18:14:10.829: [SA] 80:45:dd:a2:8e:8d 10.10.31.38 WEBAUTH_REQD (8) NO release MSCB

如果频繁在不同的SSID之间切换,可以检查一下,是否有开启FAST SSID Change

https://www.cisco.com/en/US/docs/wireless/controller/7.4/configuration/guides/system_management/config_system_management_chapter_01001.html

客户端测试的情况,是否可以分开进行,混在一起可能容易看错。

如果方便的话,可以提供一下配置。show run-config,如果AP较多的话,用show run-config no-ap

终端上的报错是否有?可以提供一下看看。

前面所指的在AC上剔除客户端MAC地址,是指在客户端的显示界面remove客户端吗?方便的话,再进行测试一下,开启debug,然后正常连接客户端,等待几分钟(多敲一些enter,空几行),然后再进行SSID切换,一旦失败就可以关闭debug了。

谢谢

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

控制器FAST SSID Change已经开启。

 

你好,WLAN的配置不知道是如何的?

这个问题是不是从开始配置部署就有这样的问题?如下有官方ISE和WLC集成完成的CWA。如果你的是外部的RADIUS server,可以检查一下是否L2认证勾选了MAC Filtering,然后L3使用的WEB认证。大致思路按照如下文档来完成。

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/115732-central-web-auth-00.html

谢谢

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接