電腦終端安裝的安全軟件白名單BSSID異常導致終端頻繁主動離線

AC---FIT AC，服務模板為dot1x認證

無

某局點新開局測試，一個辦公室內多台辦公電腦可以正常連接測試AP的所有SSID，隻有其中一台在連接某個SSID的時候出現頻繁斷開（即連上之後過3~4秒就主動離線），在AC上通過[AC-Probe] display system internal wlan client history-record mac-address H-H-H查看離線原因碼是5025和5000，即終端主動發送deauth和disassociation幀離線。

當這台異常終端切換到同一個AP下其它的SSID時卻能正常保持連接。

1. 終端主動離線主要有以下幾種可能：① 終端連上wifi後偶發探測網關ARP得不到回複可能主動離線；② 部分終端（如windows PC）探測部分公網域名用於檢測網絡可達性，當這些探測失敗可能會導致終端主動離線；③ 終端接收到AP信號或AP上終端回傳信號比較弱可能導致終端離開；④ 環境中存在嚴重幹擾；⑤ 環境中存在WIDS反製。

其中①-③情況下，一般是終端連上SSID後過一會兒才會有反應，不會很快就離開，而本案例中終端連上後3~4秒就離開了，不太符合這種情況，且這種情況發生時周圍其它終端也會有類似情況，不會聚焦於一個終端，更何況這個終端連接同一個AP的其它SSID是正常的，於是④也可以排除。

2. 終端連接某個SSID不能穩定在線，這與WIDS反製的現象非常類似，但是檢查了AC上沒有相關配置，環境中也隻有一套友商AP環境但已經下電，另外通過AP上ardrv debug收集了下終端上線後離開的過程，發現終端連上後確實比較快下線，但是隻發了一兩個disassociation或deauth幀，這個與WIDS反製的報文特征不太相同，因為環境中存在WIDS反製情況時，AP會收到比較多仿冒故障終端為源mac地址發送的deauth幀。

此外，就近區域其它終端連接此SSID也能正常在線，排除了這種情況。

3. 最後經排查，這批電腦上安裝有擎天安全軟件和LDP控製軟件（上麵配置有BSSID白名單），如果終端連接某個BSSID不在白名單內，就會被踢掉。

但是現場檢查發現用於測試的電腦全部添加了這個測試AP的BSSID到白名單中，為何隻有這一台終端連接有問題呢？

對比發現這台電腦的軟件版本和其它的不同，懷疑是否軟件異常導致的判斷錯誤，因此暫時關閉了擎天安全軟件和LDP控製軟件，該PC就能正常連接這個SSID且維持穩定在線了。

聯係IT解決該電腦安全軟件問題。