公司人员长期出差后回到公司发现WIFI无法链接

近期发现一个比较奇怪的问题,有一直在外出差的员工或者是长期没有使用没有连接过wifi的终端在回到公司环境下,连接wifi时提示无法连接,终端也不弹出密码错误啥的,更神奇的是在AP下的其他SSID这个终端也无法链接,只有通过重置终端的wifi才可以连上,如果只是单个SSID无法连接还可以判断是终端问题,但是现在是AP下的ssid都不能连,而且不是一台终端出现该问题,,有没有大神遇到类似的问题,求助啊,,,,

说的都是现象,自己把Wi-Fi部分的配置贴上来……

提示:高级功能都不要瞎开,公司环境不是实验室 :crazy_face:

具体配置如下:麻烦查看下,谢谢Catseye!

07 08 09PNG 10

把第一个截图里的无线上行关闭掉。
没看到网络IP的分配,如果是USG分配IP的,把Release时间调整到5小时以内看看是否有改善。
同上如果USG分配IP地址,把IP地址池稍微开大一点,看上去是STA关联申请原来的IP地址被拒绝了,可能被占用了;
信道不要自动,自己按照地图覆盖做蜂窝覆盖,相邻的蜂窝格子不重复即可;

还有问题的可以在复现之前做空口截包+交换机端口镜像,看协议来回的时候哪个部分被阻碍了。

另,没看到AP的版本,请在4.13. xx的版本测试验证,谢谢

ip的是ad的DHCP进行分配的,地址池上254个,应该是满足的,信道我在下班后进行更改测试下,ap的版本如下
11
复现有点难,在我进行测试的时候,怎么测怎么好连,在用户手上就这么用这么有问题,,

AD域就更简单了,关联失败的时间上,自查域DHCP的记录就可以看到失败原因了,如果没有记录就说明申请都没到。解决的方向也就更明确了。

提示:bulb: 因为域是针对多个网段的,微软的域管理里对设备在两个段内都申请了IP地址且都有效的情况下怎么处理的机制也请自己明确化 :crazy_face:
按理说用户在任何地方出现应该都是在同一个网段里的,但是你的ssid上却有了VLAN的配置「看上去是VLAN5」这个是不符合AD域管理的宗旨的。

所以建议你对自己的基于AD域的802.1x无线认证环境做个网络规划梳理一下。

[quote=“catseye, post:6, topic:52567”]
如果没有记录就说明申请都没到。解决的方向也就更明确了
[/quote]这个是啥方向,现在就头疼在这里,我在ad服务器上没有看见关联失败的日志,应该就是说根本就没有信息到验证服务器,我这边的无线vlan是有划分的,是不是应该有线和无线在一个vlan内,这样可以减少地址冲突,
头大, :sob: :sob: :sob: :sob:

建议你看一下802.1x认证的部分,应该是动态VLAN的,由AD域决定一个用户得到什么VLAN,而不是你这样自己定义一个无线VLAN,那么在STA在多个VLAN间漫游的时候就明显会出现如下几个存在问题情况:

  • 跨网段漫游,STA申请原来的IP,「基本是失败的吧」
  • 跨网段漫游成功,不同的IP,一样的mac地址,交换机怎么处理?认为打环踢掉?
  • 同网段漫游成功,同一个IP,一样的mac地址,出现在不同的交换机端口上,交换机怎么处理?认为打环踢掉?

嗯,我仔细看了下我AD上的dhcp和UNifi的控制台,我DHCP上的有2个地址池划分的,一个是无线VLAN5,一个是有线VLAN10,如果我在控制台中去掉VLAN,我链接的设备就会拿到AP地址段,现有的问题应该可能是设备先链接了有线网,机器在VLAN10,然后切换到了无线网在VLAN5上,但是机器在连接WIFI的时候终端直接提示了连接失败,可能是win10的BUG,因为用户在一起连接过wifi且保存了密码,在重新连接的时候密码应该更换过,但是设备通过缓存的密码去验证,理论上应该弹出密码错误,请重新输入的,但是设备提示连接失败,也不让输入密码,这个就很难受了,我在Microsoft社区去咨询这个问题了,看看到底是那边的问题导致的。谢谢啦。Catseye,你的建议也很有用,我研究了一下午这个,

这个得看终端的软硬件机制的,有的廉价本子和Pad可能无线和有线都是同一个MAC地址的,这个肯定会有问题。
而高端的本子如MacBook Pro在无线端和有线端是2个MAC应该出不了太大问题。所以BYOD带来的问题是很深层次的。

所以一般企业级应用环境里都是802.1x认证配合动态VLAN分配来实施会比较合适,这样终端在公司内部任何地方上网都是相同的VLAN相同的IP地址,对应的权限管理也更为明晰;无线登录使用另外一套VLAN则可以避免上面讲到的同设备双链接的问题。