??????

技术文档
当前位置:技术文档

华为S5700做802.1X认证失败

来源:未知 时间:2019-10-11 11:40
 

     网络结构:PC(WINDOWS 7)----------s5700(V100R005C00SPC100)-----------RADIUS 服务器

  PC用微软自带802.1X客户端认证,认证不通过,PC无法通信。

  交换机802.1X相关配置:

  #

  domain iwn

  domain iwn admin

  #

  dot1x enable

  dot1x authentication-method eap

  #

  radius-server template iwntemp

  radius-server shared-key simple 123

  radius-server authentication 192.168.100.1 1812

  radius-server accounting 192.168.100.1 1813

  undo radius-server user-name domain-included

  #

  aaa

  authentication-scheme default

  authentication-scheme iwn

  authentication-mode radius

  authorization-scheme default

  authorization-scheme iwn1

  accounting-scheme default

  accounting-scheme iwn1

  accounting-scheme iwn

  accounting-mode radius

  service-scheme iwn

  admin-user privilege level 15

??????  domain default

??????  domain default_admin

  domain iwn

  authentication-scheme iwn

  accounting-scheme iwn

  radius-server iwntemp

  local-user admin password simple admin

  local-user admin privilege level 3

  local-user admin service-type web http

  #

处理过程

 

  1、 ping radius 服务器地址192.168.100.1 ,能够ping通;

  2、 检查配置,配置为标准802?1X认证配置,没有发现异常。

  3、 用test-aaa测试:

  test-aaa lizl abc123 radius-template iwntemp chap

  test-aaa lizl@iwm abc123 radius-template iwntemp chap

  test-aaa lizl abc123 radius-template iwntemp pap

  test-aaa lizl@iwm abc123 radius-template iwntemp pap

  全部提示Info: Account test time out!

  客户反馈radius服务器还创建别的域,测试:

  test-aaa lizl@test abc123 radius-template iwntemp chap 通过

  4、 可以确认是客户服务器配置问题,客户修改服务器配置后,了解到客户客户端是windows自带客户端,关闭交换机握手功能(undo dot1x handshake),测试成功,问题解决。

  [802iwn]dis dot1x interface g 0/0/5

  GigabitEthernet0/0/5 status: UP 802.1x protocol is Enabled

??????  Port control type is Auto

  Authentication method is Port-based

  Reauthentication is disabled

??????  Maximum users: 1

  Current users: 1

??????  Guest VLAN is disabled

??????  Authentication Success: 1 Failure: 68

  EAPOL Packets: TX : 206 RX : 150

  Sent EAPOL Request/Identity Packets : 51

  EAPOL Request/Challenge Packets : 21

  Multicast Trigger Packets : 64

  EAPOL Success Packets : 1

  EAPOL Failure Packets : 69

  Received EAPOL Start Packets : 52

  EAPOL Logoff Packets : 0

  EAPOL Response/Identity Packets : 77

  EAPOL Response/Challenge Packets: 21

  Online user(s) info:

  UserId MAC/VLAN AccessTime UserName

  ------------------------------------------------------------------------------

  86 xxxx-xxxx-42f3/1 2008/10/01 06:14:13 lizl@test

  ------------------------------------------------------------------------------

  Total 1,1 printed

 根因

 

  802?1X认证通过不过,一般需要关注:

  1、交换机和radisu 服务器是否路由可达;

  2、认证相关配置是否正确;

  3、是否将创建的域指定为全局默认域(系统视图 domainXXX);

  4、客户端是否支持握手功能;

  5、radius 服务器是否下发私有属性,交换机不支持。

  

建议与总结

 

  802.1X认证通过不过,一般需要检查:

  1、交换机和radisu 服务器是否路由可达;

??????  2、认证相关配置是否正确(配置是否对,认证方式是否和服务器一致等);

  3、是否将创建的域指定为全局默认域(系统视图 domainXXX);

  4、客户端是否支持握手功能(windows自带客户端:交换机去使能dot1x_handshake;H3C客户端:交换机使能dot1x_handshake;中兴客户端:使能dot1x_handshake);

  5、radius 服务器是否下发私有属性,交换机不支持。

  如果还不能解决问题,建议

  1、如果可以报文头分析,进行交换机接客户端和服务器端报文头分析;

  2、如果不能报文头分析,debug相关报文分析(同时debugging cm、debugging radius all 、debugging aaa all、debugging dot1x all,不同版本,执行debug命令视图可能不同)

??????  然后在用户视图打开调试总开关打印信息:

  < Quidway>t d (中间有空格)

  Info: Current terminal debugging is on.

  < Quidway>t m (中间有空格)

  Info: Current terminal monitor is on.

??????  < Quidway>d t 0 (中间有空格)

  收集完之后关闭

  < Quidway>u t d (中间有空格)

  < Quidway>undo debugging all


上一篇:S7706交换机部署ipv6后用户终端地址冲突
下一篇:VLAN更改后话机无法自动获取IP地址
电子标识编号:20181009000069

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服
?????? ???3???? ???3???? ???3?????50? ?????? ????APP?? ????APP?? ???3??? ???3???? ???3????