cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
Comunicados
Bem-vindo à Comunidade de Suporte da Cisco, gostaríamos de ter seus comentários.
New Member

NM IDLE TIMEOUT

Boa tarde pessoal, estou precisando configurar uma rede guest para que não perca a sessão de quem esteja logado, exemplificando, se o cliente loga na Guest via web portal depois vai para casa com o notebook, quando volta no outro dia quando conecta na Guest ele pede a autenticação novamente, existe alguma forma de não precisar pedir a autenticação novamente? O mesmo que acontece PSK. Peguei um debug e encontrei algo, mudei algumas opções no controller mas não surtiram efeito. Se alguém já tiver passado por isso e possa dar um auxilio. Segue o debug:

(Cisco Controller) >*IPv6_Msg_Task: Jan 14 15:14:55.105: 5c:8d:4e:0a:ee:ec Link Local address fe80::8c2:d11:e7a3:a9b8 updated to mscb. Not Advancing pem state.Current state: mscb in apfMsMmInitial mobility state and client state APF_MS_STATE_ASS
*Apf Guest: Jan 14 15:15:08.704: Wired client head is NULL, no clients in the list. Number of clients = 0

*spamApTask0: Jan 14 15:16:00.022: 5c:8d:4e:0a:ee:ec Received DELETE mobile, reason MN_IDLE_TIMEOUT, from AP 38:ed:18:cc:ff:00, slot 0 ...cleaning up mscb
*spamApTask0: Jan 14 15:16:00.022: 5c:8d:4e:0a:ee:ec apfMsDeleteByMscb Scheduling mobile for deletion with deleteReason 4, reasonCode 4

*spamApTask0: Jan 14 15:16:00.022: 5c:8d:4e:0a:ee:ec Scheduling deletion of Mobile Station: (callerId: 30) in 1 seconds
*osapiBsnTimer: Jan 14 15:16:00.904: 5c:8d:4e:0a:ee:ec apfMsExpireCallback (apf_ms.c:634) Expiring Mobile!
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec apfSendDisAssocMsgDebug (apf_80211.c:3362) Changing state for mobile 5c:8d:4e:0a:ee:ec on AP 38:ed:18:cc:ff:00 from Associated to Disassociated

*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Sent Disassociate to mobile on AP 38:ed:18:cc:ff:00-0 (reason 4, caller apf_ms.c:7092)
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Sent Deauthenticate to mobile on BSSID 38:ed:18:cc:ff:01 slot 0(caller apf_ms.c:7214)
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Setting active key cache index 8 ---> 8
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Deleting the PMK cache when de-authenticating the client.
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec Global PMK Cache deletion failed.
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec apfMsAssoStateDec
*apfReceiveTask: Jan 14 15:16:00.905: 5c:8d:4e:0a:ee:ec apfMsExpireMobileStation (apf_ms.c:7252) Changing state for mobile 5c:8d:4e:0a:ee:ec on AP 38:ed:18:cc:ff:00 from Disassociated to Idle

*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec pemApfDeleteMobileStation2: APF_MS_PEM_WAIT_L2_AUTH_COMPLETE = 0.
*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec 172.29.6.26 START (0) Deleted mobile LWAPP rule on AP [38:ed:18:cc:ff:00]
*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec Username entry 'mateus' is deleted for mobile from the UserName table
*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec Username entry mateus deleted for mobile
*apfReceiveTask: Jan 14 15:16:00.906: 5c:8d:4e:0a:ee:ec Deleting mobile on AP 38:ed:18:cc:ff:00(0)
*pemReceiveTask: Jan 14 15:16:00.907: 5c:8d:4e:0a:ee:ec 172.29.6.26 Removed NPU entry.

1 SOLUÇÃO ACEITE

Soluções aceites
New Member

Ola Matheus,.

Ola Matheus,.

Existem três valores configuráveis na controladora referente a time out:

Session Timeout
User Idle Timeout
Arp Timeout

O primeiro tipo de timeout é um valor configurável no próprio SSID:

O valor configurado em segundos começa a contagem no momento em que o usuário se conecta a rede. Quando o valor chega a 0 o usuário tem que passar pelo processo de autenticação novamente. Isso pode ser um dos motivos dos usuários serem obrigados a fornecer as credencias de autenticação novamente. Por boas praticas deixamos esse valor ativo por motivos de segurança afim de “girar” as chaves de criptografia principalmente se utilizarmos o método de autenticação EAP que renovaria as chaves a cada timeout. Como não estamos utilizando EAP para a autenticação dos usuários convidados podemos fazer um teste aumentando este valor ou desabilitando está configuração conforme imagem em anexo.

Os outros dois valores são configurados globalmente, ou seja, vai se aplicar a todos os serviços que existem na controladora. Esses valores estão associados aos usuarios que ficam um período de tempo sem enviar nenhum pacote para a controladora. Desta maneira a controladora exclui a entrada do usuário e teoricamente ele vai precisar autenticar novamente. Isso é feito para não deixar a tabela de usuários com entradas que teoricamente já não existem. Esses valores podem ser alterados conforme imagens em anexo.


2 RESPOSTAS
New Member

Ola Matheus,.

Ola Matheus,.

Existem três valores configuráveis na controladora referente a time out:

Session Timeout
User Idle Timeout
Arp Timeout

O primeiro tipo de timeout é um valor configurável no próprio SSID:

O valor configurado em segundos começa a contagem no momento em que o usuário se conecta a rede. Quando o valor chega a 0 o usuário tem que passar pelo processo de autenticação novamente. Isso pode ser um dos motivos dos usuários serem obrigados a fornecer as credencias de autenticação novamente. Por boas praticas deixamos esse valor ativo por motivos de segurança afim de “girar” as chaves de criptografia principalmente se utilizarmos o método de autenticação EAP que renovaria as chaves a cada timeout. Como não estamos utilizando EAP para a autenticação dos usuários convidados podemos fazer um teste aumentando este valor ou desabilitando está configuração conforme imagem em anexo.

Os outros dois valores são configurados globalmente, ou seja, vai se aplicar a todos os serviços que existem na controladora. Esses valores estão associados aos usuarios que ficam um período de tempo sem enviar nenhum pacote para a controladora. Desta maneira a controladora exclui a entrada do usuário e teoricamente ele vai precisar autenticar novamente. Isso é feito para não deixar a tabela de usuários com entradas que teoricamente já não existem. Esses valores podem ser alterados conforme imagens em anexo.


New Member

Muito bem explicada a sua

Muito bem explicada a sua resposta, irei realizar os testes e qualquer coisa informo. Grato!

158
Apresentações
0
Útil
2
Respostas
CriarFaça o para criar o conteúdo