客戶配置802.1x后通過第三方客戶端認(rèn)證失敗���,另外一臺我司交換機(jī)S5560及另一臺華為交換機(jī)同樣配置情況下能正常使用�����?��?蛻舻牡谌娇蛻舳藷o法進(jìn)行什么設(shè)置����,通過debug及客戶描述認(rèn)證用戶名是通過識別PC的mac地址生成��,在客戶端部分只需要輸入密碼�����??蛻羰褂玫谌娇蛻舳藀c在接入s5120v2上認(rèn)證失敗。(無法抓包)
過程分析1�����、在認(rèn)證失敗debug信息中, 是因?yàn)檎也坏椒?wù)器無法發(fā)出報(bào)文才失敗的, 但這個(gè)是設(shè)備給服務(wù)器發(fā)的第2個(gè)報(bào)文, 第一次交互是正常收發(fā)的,所以這里很奇怪�����。
*Jan 1 01:21:25:178 2013 h3c_14#_09 RADIUS/7/EVENT:
Processing AAA request data.
*Jan 1 01:21:25:178 2013 h3c_14#_09 RADIUS/7/EVENT:
Got request data successfully, primitive: authentication.
*Jan 1 01:21:25:178 2013 h3c_14#_09 RADIUS/7/EVENT:
Getting RADIUS server info.
*Jan 1 01:21:25:178 2013 h3c_14#_09 RADIUS/7/ERROR:
Failed to get server info.
*Jan 1 01:21:25:178 2013 h3c_14#_09 RADIUS/7/EVENT:
Sent reply message successfully.
*Jan 1 01:21:25:179 2013 h3c_14#_09 RADIUS/7/EVENT:
Processing AAA request data.
*Jan 1 01:21:25:179 2013 h3c_14#_09 RADIUS/7/EVENT:
PAM_RADIUS: Sent authentication request successfully.
*Jan 1 01:21:25:179 2013 h3c_14#_09 DOT1X/7/EVENT: AAA processed authentication request: Result=Processing, UserMAC=0023-9e04-1764, VLANID=123, Interface=GigabitEthernet1/0/1.
*Jan 1 01:21:25:180 2013 h3c_14#_09 RADIUS/7/EVENT:
PAM_RADIUS: Processing RADIUS authentication.
*Jan 1 01:21:25:180 2013 h3c_14#_09 RADIUS/7/EVENT:
PAM_RADIUS: Fetched authentication reply-data successfully, resultCode: 3
*Jan 1 01:21:25:180 2013 h3c_14#_09 DOT1X/7/EVENT: Received authentication response with code 8: UserMAC=0023-9e04-1764, VLANID=123, Interface=GigabitEthernet1/0/1.
*Jan 1 01:21:25:181 2013 h3c_14#_09 DOT1X/7/EVENT: BE is in Fail state: UserMAC=0023-9e04-1764, VLANID=123, Interface=GigabitEthernet1/0/1.
*Jan 1 01:21:25:181 2013 h3c_14#_09 DOT1X/7/PACKET:
Transmitted a packet on interface GigabitEthernet1/0/1
2��、懷疑是在認(rèn)證第二階段服務(wù)器不可達(dá)導(dǎo)致的(服務(wù)器端問題)�,通過以下操作在實(shí)驗(yàn)室復(fù)現(xiàn),打開debug信息,現(xiàn)場反饋的debug信息一致�����,在進(jìn)行第二次認(rèn)證的時(shí)候獲取服務(wù)器失敗��,導(dǎo)致認(rèn)證失敗�����。
(1)1x EAP認(rèn)證方式���,并可以radius認(rèn)證成功����。
(2)通過down端口或者down服務(wù)器����,認(rèn)證一次將服務(wù)器狀態(tài)置為block。
(3)再打開端口����、服務(wù)器,再認(rèn)證一次并收集debug信息觀察是否跟現(xiàn)場debug一致
3�����、以上實(shí)驗(yàn)確認(rèn)服務(wù)器block引起的認(rèn)證失敗���,但是服務(wù)器為什么會block呢�,前期已排查鏈路問題��。因此對客戶設(shè)備進(jìn)行遠(yuǎn)程�����,通過state primary authentication active將服務(wù)器狀態(tài)保證為active后進(jìn)行認(rèn)證��,依舊認(rèn)證失敗�����。
[h3c_14#_09]display radius scheme
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: rds
Index: 0
Primary authentication server:
Host name: Not Configured
IP : 10.152.255.47 Port: 1812
VPN : Not configured
State: Active
Test profile: Not configured
Weight: 0
Primary accounting server:
Host name: Not Configured
IP : 10.152.255.47 Port: 1813
VPN : Not configured
State: Active
Weight: 0
4�����、經(jīng)過上述修改服務(wù)器狀態(tài)��,但是也無法認(rèn)證成功的現(xiàn)象���,認(rèn)為有以下兩種可能:
(1)802.1X在5130通過RADIUS認(rèn)證�����,RADIUS報(bào)文在發(fā)送時(shí)會根據(jù)MTU(Framed-MTU=1450)做IP分片�����,如果設(shè)備和服務(wù)器之間有互備防火墻且防火墻是逐包策略��,2個(gè)分片報(bào)文可能會送到2個(gè)不同的防火墻上���,防火墻無法收齊重組失敗而丟棄報(bào)文�����,設(shè)備上會因收不到應(yīng)答而認(rèn)證失敗�。
分析:
*Jan 1 07:17:43:710 2013 h3c_14#_09 RADIUS/7/PACKET:
H3c-Nas-Startup-Timestamp=1356998378
*Jan 1 07:17:43:711 2013 h3c_14#_09 RADIUS/7/EVENT:
Sent request packet successfully.
*Jan 1 07:17:43:712 2013 h3c_14#_09 RADIUS/7/PACKET:
01 fb 05 9f 33 0a 0b 7f fa cd e7 23 8d 26 51 60
debug信息中可以看到失敗的radius報(bào)文長度為0x59f(1439)加上報(bào)文頭長度一定大于1450會IP分片�。
解決方法:
這種情況可以通過調(diào)大MTU處理,interface Vlan-interface123視圖下配置mtu�����,如果mtu無法配置更大���,可以通過radius方案下的attribute translate和attribute reject命令減少發(fā)送的屬性減短報(bào)文長度�,與S5560能認(rèn)證的debug對比裁剪報(bào)文。
(2)如果僅調(diào)大5130的MTU���,防止發(fā)送時(shí)IP分片,仍然失敗���,曾經(jīng)遇到過Cisco ISE服務(wù)器只能處理1200以下的報(bào)文����,長度超過這個(gè)的RADIUS報(bào)文 ISE處理不了�,所以還是會認(rèn)證失敗,現(xiàn)場的服務(wù)器處理S5560的報(bào)文長度1266成功的��。
解決方法通過dot1x eap-tls-fragment to-server命令設(shè)置分片多次發(fā)送����,命令是18年7月份支持的,命令不支持���,可以通過裁剪屬性減短報(bào)文長度�,參考長度1266裁剪���。
*Apr 1 18:19:10:758 2013 sw3 RADIUS/7/EVENT:
Sent request packet successfully.
*Apr 1 18:19:10:761 2013 sw3 RADIUS/7/PACKET:
01 f8 04 f2 e2 e4 85 43 70 d6 ec 7e 71 2a 52 64
配置radius屬性禁用規(guī)則��,減短報(bào)文長度
radius scheme rds
primary authentication 10.152.255.47
primary accounting 10.152.255.47
key authentication cipher $c$3$pkxbyG1MlmlwiHQsXPbBW0IFxuBCZ8iO1Q==
key accounting cipher $c$3$3kdoIs2BwYdmlP611Edh6TyUFrcuXncGzQ==
attribute translate
attribute reject H3C-NAS-Port-Name access-request
attribute reject H3c-AVPair access-request
attribute reject H3c-Ip-Host-Addr access-request
attribute reject H3c-Nas-Startup-Timestamp access-request
attribute reject H3c-Product-Id access-request
attribute reject (RADIUS scheme view)
attribute reject命令用來配置RADIUS屬性禁用規(guī)則����。
undo attribute reject命令用來刪除RADIUS屬性禁用規(guī)則。
【命令】
attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
【使用指導(dǎo)】
當(dāng)設(shè)備發(fā)送的RADIUS報(bào)文中攜帶了RADIUS服務(wù)器無法識別的屬性時(shí)�����,可以定義基于發(fā)送方向的屬性禁用規(guī)則�,使得設(shè)備發(fā)送RADIUS報(bào)文時(shí),將該屬性從報(bào)文中刪除�����。
當(dāng)RADIUS服務(wù)器發(fā)送給設(shè)備的某些屬性是不希望收到的屬性時(shí)�,可以定義基于接收方向的屬性禁用規(guī)則,使得設(shè)備接收RADIUS報(bào)文時(shí)�����,不處理報(bào)文中的該屬性�。
當(dāng)某些類型的屬性是設(shè)備不希望處理的屬性時(shí),可以定義基于類型的屬性禁用規(guī)則��。
只有在RADIUS屬性解釋功能開啟之后,RADIUS屬性禁用規(guī)則才能生效����。
一個(gè)屬性只能按照一種方式(按報(bào)文類型或報(bào)文處理方向)進(jìn)行禁用。
執(zhí)行undo attribute reject命令時(shí)���,如果不指定屬性名稱���,則表示刪除所有RADIUS屬性禁用規(guī)則���。
