Привет, сообщество!
Проблема довольно сложная, и мой английский не очень, но постараюсь объяснить.
У нас 10 UAP и UAP LR точек доступа на двух этажах офиса. Контроллер версии 3.2.10. У нас две сети:
- рабочая сеть — на половине AP с аутентификацией по RADIUS на основе сертификатов. Режим Zero-handoff.
- гостевая сеть — на отдельных точках доступа и VLAN.
Обычно всё работает нормально, но иногда клиент подключается к сети, Windows показывает, что всё в порядке, а трафик по беспроводной сети не идёт. Пользователь может отключить Wi-Fi на ноутбуке, подождать пару минут и переподключиться. Обычно это помогает, но иногда — нет. Такая ситуация повторяется на разных ноутбуках с разными Wi-Fi картами.
Странно то, что эти «сломанные» подключения не отображаются в логах контроллера, хотя процесс аутентификации фиксируется на сервере radius (Windows NPS). Например, вот что было в логе по одному клиенту вчера:
2015/03/17 12:59:42 User[Lenovo18] отключился с «WORK» (подключён 1 час 51 мин, 27,26 Мб, последняя AP [UAP_513])
2015/03/17 12:57:43 User[Lenovo18] переключился с AP AP[UAP_LR_416_Left] канал «channel 11(ng)» на AP AP[UAP_513] тот же канал
2015/03/17 12:57:02 User[Lenovo18] переключился с AP AP[UAP_513] на AP AP[UAP_LR_416_Left], канал «channel 11(ng)»
2015/03/17 11:08:23 User[Lenovo18] подключился к AP[UAP_513] на «channel 11(ng)»
Однако пользователь сообщил, что примерно в 16:00 он пришёл на своё место, включил ноутбук, а Wi-Fi не работал.
Я посмотрел логи NPS и нашёл это (сокращённая версия):
Источник: Microsoft-Windows-Security-Auditing
ID события: 6278
Время: 17.03.2015 16:08:32
Сервер политик сети предоставил полный доступ пользователю, потому что хост соответствовал заданной политике здоровья.
Security ID: DOMAIN\LENOVO18$
Имя аккаунта: host/Lenovo18.domain
Имя клиента в сети: UAP_513
IP клиента: 192.168.xx.xx
Как я понял, клиент подключается, проходит проверку безопасности по RADIUS, а потом не может использовать Wi-Fi сеть вообще. Думаю, что что-то в программном обеспечении AP мешает ему работать с сетью.
Надеюсь, вы поняли нашу проблему. Такое поведение наблюдается не только на последней версии контроллера, эти проблемы есть у нас уже давно.
UPD: забыл сказать, что что-то похожее случается и с клиентами гостевой сети, но не так часто (или гости просто не сообщают о проблемах, не знаю). Телефоны не могут подключиться к Wi-Fi и получить IP от DHCP. Обычно помогает перезагрузка AP.
Проблема довольно сложная, и мой английский не очень, но постараюсь объяснить.
У нас 10 UAP и UAP LR точек доступа на двух этажах офиса. Контроллер версии 3.2.10. У нас две сети:
- рабочая сеть — на половине AP с аутентификацией по RADIUS на основе сертификатов. Режим Zero-handoff.
- гостевая сеть — на отдельных точках доступа и VLAN.
Обычно всё работает нормально, но иногда клиент подключается к сети, Windows показывает, что всё в порядке, а трафик по беспроводной сети не идёт. Пользователь может отключить Wi-Fi на ноутбуке, подождать пару минут и переподключиться. Обычно это помогает, но иногда — нет. Такая ситуация повторяется на разных ноутбуках с разными Wi-Fi картами.
Странно то, что эти «сломанные» подключения не отображаются в логах контроллера, хотя процесс аутентификации фиксируется на сервере radius (Windows NPS). Например, вот что было в логе по одному клиенту вчера:
2015/03/17 12:59:42 User[Lenovo18] отключился с «WORK» (подключён 1 час 51 мин, 27,26 Мб, последняя AP [UAP_513])
2015/03/17 12:57:43 User[Lenovo18] переключился с AP AP[UAP_LR_416_Left] канал «channel 11(ng)» на AP AP[UAP_513] тот же канал
2015/03/17 12:57:02 User[Lenovo18] переключился с AP AP[UAP_513] на AP AP[UAP_LR_416_Left], канал «channel 11(ng)»
2015/03/17 11:08:23 User[Lenovo18] подключился к AP[UAP_513] на «channel 11(ng)»
Однако пользователь сообщил, что примерно в 16:00 он пришёл на своё место, включил ноутбук, а Wi-Fi не работал.
Я посмотрел логи NPS и нашёл это (сокращённая версия):
Источник: Microsoft-Windows-Security-Auditing
ID события: 6278
Время: 17.03.2015 16:08:32
Сервер политик сети предоставил полный доступ пользователю, потому что хост соответствовал заданной политике здоровья.
Security ID: DOMAIN\LENOVO18$
Имя аккаунта: host/Lenovo18.domain
Имя клиента в сети: UAP_513
IP клиента: 192.168.xx.xx
Как я понял, клиент подключается, проходит проверку безопасности по RADIUS, а потом не может использовать Wi-Fi сеть вообще. Думаю, что что-то в программном обеспечении AP мешает ему работать с сетью.
Надеюсь, вы поняли нашу проблему. Такое поведение наблюдается не только на последней версии контроллера, эти проблемы есть у нас уже давно.
UPD: забыл сказать, что что-то похожее случается и с клиентами гостевой сети, но не так часто (или гости просто не сообщают о проблемах, не знаю). Телефоны не могут подключиться к Wi-Fi и получить IP от DHCP. Обычно помогает перезагрузка AP.