Re: Ayuda desautenticacion de usuarios red wlan - Página 2

eleitor07 · ‎02-15-2019

Buenas tardes,

En la empresa en la que laboro, durante los utlimos 3 dias los usuarios estan presentando problemas de conexion en el SSID coporativo, revisando los logs de los dos AP que hay en esa zona unicamente arroja este tipo de mensajes

RCECOAP181#
*Feb 15 19:51:43.907: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth f00f.ec65.12ca
*Feb 15 20:02:51.851: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth f00f.ec65.12ca
*Feb 15 20:19:44.887: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth ec89.1429.6310
*Feb 15 20:26:07.423: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:9 Channel:1 Source MAC:500f.8092.30a0
*Feb 15 20:26:07.423: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:9 Channel:1 Source MAC:500f.8092.30a0
*Feb 15 20:30:11.311: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:2 Channel:1
*Feb 15 20:40:32.691: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth 3441.5d98.ad23
*Feb 15 20:43:15.635: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:2 Channel:1 Source MAC:328d.db6e.9a84
*Feb 15 20:46:07.675: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:9 Channel:1
*Feb 15 20:46:07.675: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:9 Channel:1

*Feb 15 21:01:27.783: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:2 Channel:11
*Feb 15 21:02:14.155: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth 5cc3.0767.4c2f
*Feb 15 21:09:05.383: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:2 Channel:11 Source MAC:328d.db6e.9b96
*Feb 15 21:24:36.779: %DOT11-4-BA_FLUSH: Client:d077.145c.7991 ba flush with 40164 200
*Feb 15 21:27:17.151: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:1 Channel:11 Source MAC:500f.809e.f7d0
*Feb 15 21:35:59.331: %DOT11-4-BA_FLUSH: Client:0010.40af.32b0 ba flush with 40166 200
*Feb 15 21:40:06.323: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth 5cc3.0767.4c2f
*Feb 15 21:40:19.427: %WIDS-6-SIG_ALARM_OFF: Attack is cleared on Sig:Standard Id:1 Channel:11
*Feb 15 21:44:05.199: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth d004.01b9.236a
*Feb 15 21:44:11.247: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth 3441.5d98.75dd

He mirado varias opciones pero hasta el momento no ha funcionado y siguen apareciendo estos mensajes. Agradezco la ayuda que me puedan brindar. Mil gracias

eleitor07 · ‎02-20-2019

Buen dia Daniel,

El dia de hoy estuve haciendo un seguimiento a varios usuarios de la red, entontre que todos los que acceden a traves de sus celulares marca Huawei presentan la desconexion y conexion a la red de visitantes, en cambio de otro tipo de vendor no tienen problema de conexion, habra algun tema de incompatibilidad?

Adicional luego de la actualizacion de la version de los AP, la red esta estable de acuerdo a lo conversado con los funcionarios de la sede.

Podriamos realizar la sesion si lo ves conveniente de acuerdo a lo que te comente anteriormente.

Gracias y quedo atento.

Rafael E · ‎02-20-2019

Hola,

En que SSID(s) tienes el problema de desconexion?

Que dispositivos Huawei son los que tienen el problema?

Pudes reproducir la desconexion?

pasa cuando estan estatico usando la red?

cuando estas haciendo roaming?

cuando el dispositivo esta idle?

Este problema lo estas viendo en los 2 codigos verdad 8.5MR4 y 8.0MR5?

Saludos,

Rafael - TAC

Saludos,
Rafael - TAC

Daniel Ordóñez Flores · ‎02-20-2019

Hola @Rafael E

El problema lo se esta presentando en dos equipos el original dónde se desato el problema es un equipo 5508 y para tratar mi mitigar el problema @eleitor07 migro los APs a un equipo 3504.

El primer logs de desconexciones perteneciente a un AP mostraba el siguiente log:

*Feb 15 19:51:43.907: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth f00f.ec65.12ca
*Feb 15 20:02:51.851: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth f00f.ec65.12ca
*Feb 15 20:19:44.887: %DOT11-4-FLUSH_DEAUTH: Consecutive tx fail 500+: deauth ec89.1429.6310
*Feb 15 20:26:07.423: %WIDS-4-SIG_ALARM: Attack is detected on Sig:Standard Id:9 Channel:1 Source MAC:500f.8092.30a0

Pareciera que el el AP no recibe respuesta del cliente en 256 times, revise las mac vendor y todas son equipo cisco.

El segundo log que nos compartieron se el cliente en Run state y las desautenticaciones de deben a que el equipo esta dejando el área de cobertura.

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

Rafael E · ‎02-21-2019

Entendido, pasa en los 2 WLC.

Pueden responder lo siguiente?

En que SSID(s) tienes el problema de desconexion?
Que dispositivos Huawei son los que tienen el problema?
Pudes reproducir la desconexion?
pasa cuando estan estatico usando la red?
cuando estas haciendo roaming?
cuando el dispositivo esta idle?

Saludos,

Rafael - TAC

Saludos,
Rafael - TAC

eleitor07 · ‎02-21-2019

Buena tarde Rafael,

En que SSID(s) tienes el problema de desconexion?
R/ En el SSID de nombre visitantesec, ya que solo tienen acceso a esa por normas internas.
Que dispositivos Huawei son los que tienen el problema?
R/ Hasta donde tengo entendido, son todos sus telefonos corporativos.
Pudes reproducir la desconexion?
R/ Esta se evidencia en los logs que adjunte anteriormente, adicional hable con varios de ellos y el sintoma solamente ocurre con los celulares, las laptos no presentan este problema de desconexion.
pasa cuando estan estatico usando la red?
cuando estas haciendo roaming?
cuando el dispositivo esta idle?
R/ La desconexion es independiente, puede estar quieto o en movimiento, simepre hay desconexion.

Rafael E · ‎02-21-2019

Dudo mucho que estos logs estan relacionados con la desconexion de tu cliente.

Como es que estas haciendo la relacion de la desconexion con el log del AP?

Saludos,

Rafael -TAC

Saludos,
Rafael - TAC

eleitor07 · ‎02-21-2019

Buena tarde Rafael,

En los archivos esta el debug realizado en la WLC y tambien estan los logs de los AP, en el debug de la controladora se evidencia varias repeticiones de autenticacion a la red. Yo realice un debug con otro dispositivo de otro vendor y en este no se evidenciaban las autenticaciones constantes.

]Saludos

Rafael E · ‎02-21-2019

cual es el archivo que mencionas y cual es la mac address del cliente?

Saludos,
Rafael - TAC

eleitor07 · ‎02-21-2019

Rafael, estos son lo que habia agregado anterioremnte

Saludos

Daniel Ordóñez Flores · ‎02-21-2019

Hola @Rafael E

Aca estan los archivos que @eleitor07 nos ha compartido

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

Daniel Ordóñez Flores · ‎02-21-2019

Hola @eleitor07

En la configuración de la tu WLC he visto que tienes creados perfiles de RF, por que no pruebas dejando que el WLC asigne potencias de TX para los Aps que pertenecen a este grupo?

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

eleitor07 · ‎02-21-2019

Hola Daniel,

Los AP trabajan antes sin estos perfirles, yo se los agregue tratando de solventar el inconveniente antes de hacer el cambio de de controladora con la version mas reciente. Solo esta el problema con los celulares marca Huawei.

Gracias y quedo atento.

araceli ortega · ‎10-01-2020

hi i have the same issue and my user disconnecting frequently

Hilda Arteaga · ‎02-19-2019

@Daniel Ordóñez Flores muchas gracias por apoyar a @eleitor07 y por darle seguimiento