无
802.1x认证,输入正确的用户名和密码,也认证不成功
1.
检验认证设备与服务器之间是否能ping通,检查相关VLAN是否放通。
2. 检查AC上的radius相关配置:
检查radius方案服务器的IP地址、秘钥
检查radius报文发送的源地址、以及关联的domain域配置是否有问题
3. 检查IMC服务器上相关配置:
检查接入设备的ip地址是否写错,共享秘钥是否与AC上配置的一致、
检查接入策略的证书类型与子类型是否有问题
检查接入服务调用的接入策略是否一致
核查接入用户的信息,账户名和密码
经过常规步骤的排查均没有发现错误。通过抓包发现报文终止在终端给认证服务器发送client hello报文,至于为什么终端发送client hello报文后服务器就拒绝还未可知。
于是从服务器侧的日志排查故障的原因,发现问题所在。
(1)服务器在同一时间收到了两个相同的eap 1号报文
%% 2021-08-19 10:50:23.456 ; [LDBG] ; [8048] ; LAN ; 123 ; 1 ; fa77ba6f8fe04fc6889b30aaa6453f59 ; ; Received message from 192.168.133.251:
CODE = 1 ID = 11.
%% 2021-08-19 10:50:23.456 ; [LDBG] ; [8048] ; LAN ; 123 ; 1 ; df8826e19cab4c96897abbc3adc6744c ; ; Received message from 192.168.133.251:
CODE = 1 ID = 11.
(2)服务器收到eap 2号报文的时间也有两个
%% 2021-08-19 10:50:23.483 ; [LDBG] ; [8048] ; LAN ; 123 ; 1 ; 24fce2346e594466baacb8a224a1cf50 ; 686c3682dB.e.k.. ; Received message from 192.168.133.251:
CODE = 1 ID = 12.
%% 2021-08-19 10:50:23.483 ; [LDBG] ; [8048] ; LAN ; 123 ; 1 ; 44a197d24baf479ba368af5ebd68266d ; 686c3682dB.e.k.. ; Received message from 192.168.133.251:
CODE = 1 ID = 12.
服务器在同一时间会收到两份完全相同的报文,会导致服务器认为报文异常回复reject。出现服务器同时间会收到两份相同的报文这种情况,可能是设备中配置有镜像,于是层层排查,发现在认证服务器相连交换机上配置有镜像组。该镜像组导致设备发送给服务器的认证报文会出现两份一样的,这对于服务器来说,认为是不正常的,所以会拒绝认证。
删除镜像组后,802.1x认证可以正常进行
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作