无
客户网络内部署了无线网络,其中包含了部分WA5320H的面板AP,由于业务需求,需要对面板AP的有线口下连接的用户做802.1x准入认证,但是部署认证完毕后,终端无法正常通过认证。
1.检查设备配置没问题:
radius scheme jstrp
primary authentication 192.168.168.2
primary accounting 192.168.168.2
key authentication cipher $c$3$MqpuUr9Pveys5Pc6Y7rX4Ziyo4Ky5Uwj
key accounting cipher $c$3$EBOafkpk8DhAZOzCFkN6WMDoQPL8BnWD
user-name-format without-domain
#
domain shbk
authentication lan-access radius-scheme jstrp
authorization lan-access radius-scheme jstrp
accounting lan-access radius-scheme jstrp
authentication default radius-scheme jstrp
authorization default radius-scheme jstrp
accounting default radius-scheme jstrp
#
domain default enable shbk
#
dot1x
dot1x authentication-method eap
dot1x retry 10
dot1x timer handshake-period 120
dot1x ead-assistant url http://192.168.168.2
dot1x ead-assistant free-ip 192.168.168.0 255.255.255.0
2.设备配置没问题,收集802.1x的调试信息进一步分析:
%Dec 6 18:19:42:380 2019 jtsj-2207 DOT1X/6/DOT1X_LOGOFF: -IfName=GigabitEthernet1/0/2-MACAddr=54ee-75aa-554e-VLANId=14-UserName=test-ErrCode=5; Session of the 802.1X user was terminated.
*Dec 6 18:19:42:382 2019 jtsj-2207 DOT1X/7/EVENT: Interface GigabitEthernet1/0/2 received DOT1X_PSM_E_USER_UNAUTHORED event.
*Dec 6 18:19:42:384 2019 jtsj-2207 DOT1X/7/EVENT: Sent accounting-stop request: UserMAC=54ee-75aa-554e, VLANID=14, Interface=GigabitEthernet1/0/2.
*Dec 6 18:19:42:388 2019 jtsj-2207 DOT1X/7/ERROR: Failed to find user by MAC 54ee-75aa-554e and Interface GigabitEthernet1/0/2 when receiving accounting-start response.
*Dec 6 18:19:42:390 2019 jtsj-2207 DOT1X/7/EVENT: Received accounting-stop response with code 0: UserMAC=54ee-75aa-554e, Interface=GigabitEthernet1/0/2.
1 客户端主动下线 */
2 端口状态错误 */
3 客户端重启 */
4 重认证失败 */
5 设备强制去授权 */
6 端口重启 */
7 管理员将接口shutdown(公有最后一个) */
8 用户名和密码不对 */
9 握手失联 */
10 闲置切断 */
11 限制切断 */
12 服务器发起的切断 */
13 实时计费失败 */
14 缺省错误 */
3. 从调试信息来看,是授权有问题,将设备和服务器上的授权均删除后还是认证失败;由于AP的有线口做802.1x认证应用场景很少,所以与研发进一步确认。
在AP有线口下增加dot1x port-method portbased配置后解决。
备注:当前仅WA5320H型号AP的有线口支持做802.1x认证。
该案例对您是否有帮助:
您的评价:1
若您有关于案例的建议,请反馈:
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作