Wlan 终端访问受限问题处理

　　一. 【问题描述】

　　某市WLAN网络使用两台S9300作为核心层设备，S9300通过三层路由与两台WX6108的交换板互联，WX6108交换板通过万兆口与WX6108 AC板卡互联,S9300下联多台汇聚设备,汇聚下接AP设备。网络拓扑如下图所示：

　　问题的具体现象是：终端能够连接上SSID并获取地址，但打不开认证页面。

　　二. 【信息收集】

　　1. 收集终端的信息，如终端MAC地址、SN号码、IP地址和关联时间等。

　　2. 收集DHCP地址池信息。

　　3. 收集DNS信息。

　　4. 收集设备的Debuging信息。

　　三. 【问题分析】

　　1. 从收集到IP地址信息来看，终端获取的地址为DHCP所动态分配,并且在地址段范围内，排除地址因素导致的问题。

　　2. 根据DHCP的对应表找到终端MAC与认证信息表，并无发现异常。

　　3. 从AC上带上DHCP地址池网关PING所配置的DNS地址，并无发现异常。

　　4. 查看认证域中URL的IP地址是否设置正确，检查后并无发现异常。

　　5. 开启Debugging并抓取相应信息，在其中查找AP的SN号找到相应的信息并分析。

　　6. 根据抓取的信息，找到一个MAC地址在同一个时间内关联多个AP并出现多次关联失败，导致终端认证失败。

　　四. 【处理方法】

　　1. 采取静态黑名单，将问题MAC地址加入黑名单。命令如下：

　　wlan ids

　　dynamic-blacklist enable

　　static-blacklist mac-address XXXX-XXXX-XXXX

　　2. 开启动态黑名单。

　　五. 【结束语】

　　将问题MAC地址加入黑名单后，终端无法认证情况不在出现，保障了终端正常认证并上网，增强了用户体验。该类故障提醒我们在新用户大量增加的情况下，要多关注用户的实际使用情况，避免因个别问题设备影响有网络的可用性和稳定性。

2016年01月