Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Iniciar uma conversa
1107
Apresentações
0
Útil
2
Respostas

NM IDLE TIMEOUT

Ir para a Solução
mateus.schott
Level 1
Level 1

em ‎01-14-2016 11:30 AM

Boa tarde pessoal, estou precisando configurar uma rede guest para que não perca a sessão de quem esteja logado, exemplificando, se o cliente loga na Guest via web portal depois vai para casa com o notebook, quando volta no outro dia quando conecta na Guest ele pede a autenticação novamente, existe alguma forma de não precisar pedir a autenticação novamente? O mesmo que acontece PSK. Peguei um debug e encontrei algo, mudei algumas opções no controller mas não surtiram efeito. Se alguém já tiver passado por isso e possa dar um auxilio. Segue o debug:

(Cisco Controller) >*IPv6_Msg_Task: Jan 14 15:14:55.105: 5c:8d:4e:0a:ee:ec Link Local address fe80::8c2:d11:e7a3:a9b8 updated to mscb. Not Advancing pem state.Current state: mscb in apfMsMmInitial mobility state and client state APF_MS_STATE_ASS
*Apf Guest: Jan 14 15:15:08.704: Wired client head is NULL, no clients in the list. Number of clients = 0

*spamApTask0: Jan 14 15:16:00.022: 5c:8d:4e:0a:ee:ec Received DELETE mobile, reason MN_IDLE_TIMEOUT, from AP 38:ed:18:cc:ff:00, slot 0 ...cleaning up mscb
*spamApTask0: Jan 14 15:16:00.022: 5c:8d:4e:0a:ee:ec apfMsDeleteByMscb Scheduling mobile for deletion with deleteReason 4, reasonCode 4

*spamApTask0: Jan 14 15:16:00.022: 5c:8d:4e:0a:ee:ec Scheduling deletion of Mobile Station: (callerId: 30) in 1 seconds
*osapiBsnTimer: Jan 14 15:16:00.904: 5c:8d:4e:0a:ee:ec apfMsExpireCallback (apf_ms.c:634) Expiring Mobile!
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec apfSendDisAssocMsgDebug (apf_80211.c:3362) Changing state for mobile 5c:8d:4e:0a:ee:ec on AP 38:ed:18:cc:ff:00 from Associated to Disassociated

*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Sent Disassociate to mobile on AP 38:ed:18:cc:ff:00-0 (reason 4, caller apf_ms.c:7092)
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Sent Deauthenticate to mobile on BSSID 38:ed:18:cc:ff:01 slot 0(caller apf_ms.c:7214)
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Setting active key cache index 8 ---> 8
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Deleting the PMK cache when de-authenticating the client.
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Global PMK Cache deletion failed.
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec apfMsAssoStateDec
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec apfMsExpireMobileStation (apf_ms.c:7252) Changing state for mobile 5c:8d:4e:0a:ee:ec on AP 38:ed:18:cc:ff:00 from Disassociated to Idle

*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec pemApfDeleteMobileStation2: APF_MS_PEM_WAIT_L2_AUTH_COMPLETE = 0.
*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec 172.29.6.26 START (0) Deleted mobile LWAPP rule on AP [38:ed:18:cc:ff:00]
*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec Username entry 'mateus' is deleted for mobile from the UserName table
*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec Username entry mateus deleted for mobile
*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec Deleting mobile on AP 38:ed:18:cc:ff:00(0)
*pemReceiveTask: Jan 14 15:16:00.907: 5c:8d:4e:0a:ee:ec 172.29.6.26 Removed NPU entry.

Rótulos:
0 Útil
1 Soluções Aceita

Soluções aceites

Ir para a Solução
Felipe Rodrigues
Level 1
Level 1

em ‎02-04-2016 08:18 AM

Ola Matheus,.

Existem três valores configuráveis na controladora referente a time out:

Session Timeout
User Idle Timeout
Arp Timeout

O primeiro tipo de timeout é um valor configurável no próprio SSID:

O valor configurado em segundos começa a contagem no momento em que o usuário se conecta a rede. Quando o valor chega a 0 o usuário tem que passar pelo processo de autenticação novamente. Isso pode ser um dos motivos dos usuários serem obrigados a fornecer as credencias de autenticação novamente. Por boas praticas deixamos esse valor ativo por motivos de segurança afim de “girar” as chaves de criptografia principalmente se utilizarmos o método de autenticação EAP que renovaria as chaves a cada timeout. Como não estamos utilizando EAP para a autenticação dos usuários convidados podemos fazer um teste aumentando este valor ou desabilitando está configuração conforme imagem em anexo.

Os outros dois valores são configurados globalmente, ou seja, vai se aplicar a todos os serviços que existem na controladora. Esses valores estão associados aos usuarios que ficam um período de tempo sem enviar nenhum pacote para a controladora. Desta maneira a controladora exclui a entrada do usuário e teoricamente ele vai precisar autenticar novamente. Isso é feito para não deixar a tabela de usuários com entradas que teoricamente já não existem. Esses valores podem ser alterados conforme imagens em anexo.

Ver solução na publicação original

Pré-visualizar ficheiro
21 KB
Pré-visualizar ficheiro
21 KB
Pré-visualizar ficheiro
147 KB
0 Útil
2 RESPOSTAS 2

Ir para a Solução
Felipe Rodrigues
Level 1
Level 1

em ‎02-04-2016 08:18 AM

Ola Matheus,.

Existem três valores configuráveis na controladora referente a time out:

Session Timeout
User Idle Timeout
Arp Timeout

O primeiro tipo de timeout é um valor configurável no próprio SSID:

O valor configurado em segundos começa a contagem no momento em que o usuário se conecta a rede. Quando o valor chega a 0 o usuário tem que passar pelo processo de autenticação novamente. Isso pode ser um dos motivos dos usuários serem obrigados a fornecer as credencias de autenticação novamente. Por boas praticas deixamos esse valor ativo por motivos de segurança afim de “girar” as chaves de criptografia principalmente se utilizarmos o método de autenticação EAP que renovaria as chaves a cada timeout. Como não estamos utilizando EAP para a autenticação dos usuários convidados podemos fazer um teste aumentando este valor ou desabilitando está configuração conforme imagem em anexo.

Os outros dois valores são configurados globalmente, ou seja, vai se aplicar a todos os serviços que existem na controladora. Esses valores estão associados aos usuarios que ficam um período de tempo sem enviar nenhum pacote para a controladora. Desta maneira a controladora exclui a entrada do usuário e teoricamente ele vai precisar autenticar novamente. Isso é feito para não deixar a tabela de usuários com entradas que teoricamente já não existem. Esses valores podem ser alterados conforme imagens em anexo.

Pré-visualizar ficheiro
21 KB
Pré-visualizar ficheiro
21 KB
Pré-visualizar ficheiro
147 KB
0 Útil

Ir para a Solução
mateus.schott
Level 1
Level 1
Em resposta a Felipe Rodrigues

em ‎02-10-2016 07:29 AM

Muito bem explicada a sua resposta, irei realizar os testes e qualquer coisa informo. Grato!

0 Útil
Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Documentos de Ajuda sobre a Comunidade Vídeo dos últimos eventos Blogs de Wireless e Mobility
Customers Also Viewed These Support Documents