現(xiàn)場(chǎng)使用S5130S-HI系列交換機(jī)，結(jié)合第三方RADIUS服務(wù)器，進(jìn)行終端電腦的有線802.1X認(rèn)證，電腦直連交換機(jī)進(jìn)行認(rèn)證，但是發(fā)現(xiàn)認(rèn)證通過(guò)后電腦無(wú)法正常上網(wǎng)，電腦使用的是windows自帶的客戶端進(jìn)行的認(rèn)證

　　過(guò)程分析首先我們查看設(shè)備側(cè)802.1X相關(guān)配置，可以看到現(xiàn)場(chǎng)使用的是EAP中繼方式，但是配置上沒(méi)有什么明顯問(wèn)題，且交換機(jī)與RADIUS服務(wù)器互ping可以通信。因?yàn)楝F(xiàn)場(chǎng)處于開(kāi)局狀態(tài)，只使用一個(gè)口進(jìn)行測(cè)試，于是讓現(xiàn)場(chǎng)直接收集debugging dot1x all和debugging radius all的信息，查看一下debug信息，觀察是否是服務(wù)器的問(wèn)題導(dǎo)致認(rèn)證失敗。

　　#

　　dot1x

　　dot1x authentication-method eap

　　#

　　radius scheme sensetimeradius

　　primary authentication 10.151.1.248

　　primary accounting 10.151.1.248

　　key authentication cipher $c$3$VlUaBXvVhtV5Nna57g9popb7m+8SQ4MhU4Kxp8hnsQ==

　　key accounting cipher $c$3$DhTobwxPpFz1WP1ZPkMr5nrNt0XxWRUD64W0P+edAQ==

　　user-name-format without-domain

　　#

　　domain sensetimeradius

　　authentication lan-access radius-scheme sensetimeradius

　　authorization lan-access radius-scheme sensetimeradius

　　accounting lan-access radius-scheme sensetimeradius

　　#

　　interface GigabitEthernet1/0/6

　　stp edged-port

　　dot1x

　　dot1x mandatory-domain sensetimeradius

　　dot1x port-method portbased

　　#

　　查看debug信息，截取其中片段可以發(fā)現(xiàn)，交換機(jī)有發(fā)送EAP報(bào)文，并且有收到終端的響應(yīng)：

　　*Aug 19 16:58:09:617 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF DOT1X/7/EVENT: Sending EAP packet: Identifier=2, type=1.

　　*Aug 19 16:58:09:618 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF DOT1X/7/PACKET:

　　Transmitted a packet on interface GigabitEthernet1/0/6.

　　Destination Mac Address=c8f7-503f-f1be

　　Source Mac Address=743a-208a-f02f

　　VLAN ID=1

　　Mac Frame Type=888e

　　Protocol Version ID=1

　　Packet Type=0

　　Packet Length=5.

　　-----Packet Body-----

　　Code=1

　　Identifier=2

　　Length=5.

　　*Aug 19 16:58:17:134 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF DOT1X/7/PACKET:

　　Received a packet on interface GigabitEthernet1/0/6.

　　Destination Mac Address=0180-c200-0003

　　Source Mac Address=c8f7-503f-f1be

　　Mac Frame Type=888e

　　Protocol Version ID=1

　　Packet Type=0

　　Packet Length=15.

　　-----Packet Body-----

　　Code=2

　　Identifier=2

　　Length=15.

　　查看RADIUS交互，發(fā)現(xiàn)交換機(jī)是有將認(rèn)證請(qǐng)求報(bào)文成功發(fā)送至RADIUS服務(wù)器的：

　　*Aug 19 16:58:17:173 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/PACKET:

　　User-Name="zhangyibin"

　　NAS-Identifier="ASCNHZTR-AS-S5130S-29FA-02-IRF"

　　EAP-Message=0x0202000f017a68616e67796962696e

　　Message-Authenticator=0x00000000000000000000000000000000

　　Framed-MTU=1450

　　Framed-Protocol=PPP

　　Called-Station-

　　NAS-Port-Type=Ethernet

　　H3c-Ip-Host-Addr="0.0.0.0 c8:f7:50:3f:f1:be"

　　Calling-Station-

　　H3C-NAS-Port-Name="GigabitEthernet1/0/6"

　　NAS-Port=16801793

　　NAS-Port-

　　H3c-AVPair="nas:ifindex=6"

　　Acct-Session-

　　Service-Type=Framed-User

　　NAS-IP-Address=10.156.1.5

　　H3c-Product-

　　H3c-Nas-Startup-Timestamp=1597820936

　　*Aug 19 16:58:17:175 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF DOT1X/7/EVENT: AAA processed authentication request: Result=Processing, UserMAC=c8f7-503f-f1be, VLANID=1, Interface=GigabitEthernet1/0/6.

　　*Aug 19 16:58:17:175 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/EVENT: Sent request packet successfully.

　　后續(xù)設(shè)備有成功接收到RADIUS服務(wù)器的回應(yīng)報(bào)文：

　　*Aug 19 16:58:17:177 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/EVENT: Sent request packet and create request context successfully.

　　*Aug 19 16:58:17:177 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/EVENT: Added request context to global table successfully.

　　*Aug 19 16:58:17:177 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/EVENT: Processing AAA request data.

　　*Aug 19 16:58:17:211 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/EVENT: Reply SocketFd recieved EPOLLIN event.

　　*Aug 19 16:58:17:212 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/EVENT: Received reply packet succuessfully.

　　*Aug 19 16:58:17:212 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/EVENT: Found request context, dstIP: 10.151.1.248, dstPort: 1812, VPN instance: --(public), socketFd: 77, pktID: 127.

　　*Aug 19 16:58:17:212 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/EVENT: The reply packet is valid.

　　*Aug 19 16:58:17:213 2020 ASCNHZTR-AS-S5130S-29FA-02-IRF RADIUS/7/EVENT: Decoded reply packet successfully.

　　至此，發(fā)現(xiàn)debug信息中沒(méi)有明顯的報(bào)錯(cuò)信息，結(jié)合現(xiàn)場(chǎng)反饋的是認(rèn)證顯示的是通過(guò)，但是很快電腦就顯示“身份驗(yàn)證失敗”無(wú)法上網(wǎng)，懷疑跟認(rèn)證客戶端有關(guān)，于是讓現(xiàn)場(chǎng)使用inode客戶端進(jìn)行802.1X認(rèn)證來(lái)測(cè)試?，F(xiàn)場(chǎng)測(cè)試后反饋，使用inode客戶端可以正常進(jìn)行認(rèn)證，且終端能一直保持正常上網(wǎng)，因此可以斷定非設(shè)備配置問(wèn)題，而是windows自帶客戶端導(dǎo)致。

　　解決方法設(shè)備在配置802.1X認(rèn)證時(shí)，會(huì)缺省開(kāi)啟在線用戶握手功能， 開(kāi)啟設(shè)備的在線用戶握手功能后，設(shè)備會(huì)定期(時(shí)間間隔通過(guò)命令dot1x timer handshake-period設(shè)置)向通過(guò)802.1X認(rèn)證的在線用戶發(fā)送握手請(qǐng)求報(bào)文(EAP-Request/Identity)，以定期檢測(cè)用戶的在線情況。如果設(shè)備連續(xù)多次(通過(guò)命令dot1x retry設(shè)置)沒(méi)有收到客戶端的應(yīng)答報(bào)文(EAP-Response/Identity)，則會(huì)將用戶置為下線狀態(tài)。

　　讓現(xiàn)場(chǎng)undo dot1x handshake后，現(xiàn)場(chǎng)反饋使用windows客戶端可以正常通過(guò)認(rèn)證且用戶不會(huì)很快出現(xiàn)下線情況。這是因?yàn)椴糠?02.1X客戶端不支持與設(shè)備進(jìn)行握手報(bào)文的交互，因此建議在這種情況下，關(guān)閉設(shè)備的在線用戶握手功能，避免該類型的在線用戶因沒(méi)有回應(yīng)握手報(bào)文而被強(qiáng)制下線

• 上一篇：6種無(wú)線ap接入點(diǎn)類型
• 下一篇：企業(yè)Wi-Fi與家用Wi-Fi有哪些區(qū)別?