某局点802.1x认证终端重认证失败导致终端掉线

无

某局点AC型号为WX3520H，AP为WA6638，版本5452P08。该局点采用windows自带客户端带证书做远程802.1x认证，认证服务器为思科ise。

 该局点使用无线网络过程中发现有部分终端使用无线期间突然掉线，查看云简网络智能运维数据，发现终端掉线期间802.1X重认证失败，导致终端掉线，终端掉线原因码为5030。

查看云简网络上终端深度解析数据，发现有如下过程：

       正常来说终端收到来自服务器的challenge之后，会回复一个响应报文以此完成802.1X的证书鉴定。但是故障时刻没有走完这个交互流程，说明在证书交互的过程中发生了错误。无线控制器为802.1X中继模式，负责认证报文的转发，需要从AAA服务器上去查询具体的认证错误原因。在AAA服务器的日志中找到了错误，如下图：

         通过AC----radius服务器有线侧抓包，也能发现类似现象： 终端重认证失败时，使用的用户名是电脑计算机默认系统名生成的值，并且服务器返回一个reject值，告诉AC终端认证被拒绝。

       从AAA服务器上数据和抓包数据看，认证失败终端曾经使用一个非域名账号登陆，是电脑计算机的默认系统名生成的值；而服务器侧策略只允许域名账号登录，因此服务器返回一个Reject值，告诉无线设备终端认证被拒绝。 

       调查计算机名作为账号名登陆的原因，发现在电脑的无线配置中存在这样一个配置：802.1X设置-指定身份验证模式-用户名或计算机身份验证，如下图。 

       大部分win10的电脑，在初始设置时如果没有注意这个细节，默认会选择“用户或计算机身份验证”，而这个“用户或计算机身份验证”的设置在一些特殊情况下：比如休眠后唤醒，开机等情况下，选择电脑上的用户证书失败时，进而选择了本机计算机证书。显然AAA服务器上会认为这个是非法登陆账号ID。 

      该局点大部分WIN10机型的802.1X设置都是这种情况，WIN7电脑由于初始化的setup步骤规避了该问题。 

解决手段：需要调整电脑网卡的wifi设置，修改802.1X的设置，调整为“用户身份验证”。