某局点无线802.1x认证失败

无

802.1x认证，输入正确的用户名和密码，也认证不成功

1. 检查链路是否可通：

检验认证设备与服务器之间是否能ping通，检查相关VLAN是否放通。

2. 检查AC上的radius相关配置：

检查radius方案服务器的IP地址、秘钥

检查radius报文发送的源地址、以及关联的domain域配置是否有问题

3. 检查IMC服务器上相关配置：

检查接入设备的ip地址是否写错，共享秘钥是否与AC上配置的一致、

检查接入策略的证书类型与子类型是否有问题

检查接入服务调用的接入策略是否一致

核查接入用户的信息，账户名和密码

经过常规步骤的排查均没有发现错误。通过抓包发现报文终止在终端给认证服务器发送client hello报文，至于为什么终端发送client hello报文后服务器就拒绝还未可知。

于是从服务器侧的日志排查故障的原因，发现问题所在。

（1）服务器在同一时间收到了两个相同的eap 1号报文

%% 2021-08-19 10:50:23.456 ; [LDBG] ; [8048] ; LAN ; 123 ; 1 ; fa77ba6f8fe04fc6889b30aaa6453f59 ;  ; Received message from 192.168.133.251:

CODE = 1 ID = 11.

%% 2021-08-19 10:50:23.456 ; [LDBG] ; [8048] ; LAN ; 123 ; 1 ; df8826e19cab4c96897abbc3adc6744c ;  ; Received message from 192.168.133.251:

CODE = 1 ID = 11.

（2）服务器收到eap 2号报文的时间也有两个

%% 2021-08-19 10:50:23.483 ; [LDBG] ; [8048] ; LAN ; 123 ; 1 ; 24fce2346e594466baacb8a224a1cf50 ; 686c3682dB.e.k.. ; Received message from 192.168.133.251:

CODE = 1 ID = 12.

%% 2021-08-19 10:50:23.483 ; [LDBG] ; [8048] ; LAN ; 123 ; 1 ; 44a197d24baf479ba368af5ebd68266d ; 686c3682dB.e.k.. ; Received message from 192.168.133.251:

CODE = 1 ID = 12.

服务器在同一时间会收到两份完全相同的报文，会导致服务器认为报文异常回复reject。出现服务器同时间会收到两份相同的报文这种情况，可能是设备中配置有镜像，于是层层排查，发现在认证服务器相连交换机上配置有镜像组。该镜像组导致设备发送给服务器的认证报文会出现两份一样的，这对于服务器来说，认为是不正常的，所以会拒绝认证。

删除镜像组后，802.1x认证可以正常进行