无线网络漫游后出现叹号的问题分析

【问题现象】

笔记本电脑连接着802.1x 认证的WiFi 网络，在漫游过程中无线网卡出现叹号并且无法上网。

【详细分析】

以下抓包以无线网卡mac地址为D46D-6D49-86E4的笔记本电脑为例。

第一次上线

1、网卡第一次上线的时候，先进行802.11协议的接入协商

2、在接入协商中，网卡发送assoc Req报文，携带网卡的参数发送给接入点。网卡由于是第一次上线，因此网卡的参数中不携带认证信息，如下图，PMKID位置为空。

3、此时，接入点判定终端需要进行1x协商，因此接入点会发送EAP request报文，终端发送EAP start，双方开始1x认证协商，后续通过一系列EAP报文交互完成协商过程。

4、在1x认证协商通过之后，双方会通过EAPOL-Key报文进行密钥协商（如下图红框所示）。

5、密钥协商成功之后，终端数据开始放通，终端此时正式上线成功。

正常漫游时

1、当网卡漫游时，仍然需要先进行802.11协议的接入协商

2、在接入协商中，网卡发送reassoc Req报文，携带网卡的参数发送给接入点。由于网卡判定前次上线时进行过1x认证，因此网卡在本次报文中携带了上一次认证时协商的关键信息PMKID（见下图红框）。

3、接入点获取到终端携带的PMKID信息后，通过一系列计算，可以直接验证终端的身份，如果身份验证ok，接入点会跳过1x认证协商过程，直接跟给终端发起密钥协商。如下图，reassoc rsp之后紧跟着就是EAPOL-Key过程。

4、密钥协商成功之后，终端流量可以正常放通，终端此时漫游成功。

终端漫游时出现叹号的情况

1、终端漫游的时候，同样进行了802.11协议的接入协商

2、但在接入协商时，终端在reassoc Req报文中携带的认证参数为空。

3、此时，接入点无法判断终端的身份，因此发送EAP request报文，要求终端进行1x认证。但网卡没有任何反应，导致1x认证过程始终无法完成。如下图所示，接入点连续3次重传EAP Request报文，终端都没有发送任何报文，导致终端上线超时，接入点发送deauth踢终端下线。

4、出现问题时持续进行抓包发现，终端由于漫游失败，实际上存在多次反复重新上线过程，但每一次终端既没有携带认证信息，也不重新进行认证过程，导致终端一段时间内持续处于叹号无法上网状态。

【建议】
方法一：应排查笔记本电脑的操作系统中对1x认证的相关处理。
1、正常漫游应该携带PMKID信息；
2、如果不携带PMKID信息，应该正常进行1x认证交互。

方法二：检查笔记本电脑的无线网卡驱动，升级到最新的无线网卡驱动版本。

关注公众号：网络技术平台，回复“资料”获取视频、培训教程、实验手册、电子书。