无
某局点AC型号为WX3520H,AP为WA6638,版本5452P08。该局点采用windows自带客户端带证书做远程802.1x认证,认证服务器为思科ise。
该局点使用无线网络过程中发现有部分终端使用无线期间突然掉线,查看云简网络智能运维数据,发现终端掉线期间802.1X重认证失败,导致终端掉线,终端掉线原因码为5030。
查看云简网络上终端深度解析数据,发现有如下过程:
正常来说终端收到来自服务器的challenge之后,会回复一个响应报文以此完成802.1X的证书鉴定。但是故障时刻没有走完这个交互流程,说明在证书交互的过程中发生了错误。无线控制器为802.1X中继模式,负责认证报文的转发,需要从AAA服务器上去查询具体的认证错误原因。在AAA服务器的日志中找到了错误,如下图:
通过AC----radius服务器有线侧抓包,也能发现类似现象: 终端重认证失败时,使用的用户名是电脑计算机默认系统名生成的值,并且服务器返回一个reject值,告诉AC终端认证被拒绝。
从AAA服务器上数据和抓包数据看,认证失败终端曾经使用一个非域名账号登陆,是电脑计算机的默认系统名生成的值;而服务器侧策略只允许域名账号登录,因此服务器返回一个Reject值,告诉无线设备终端认证被拒绝。
调查计算机名作为账号名登陆的原因,发现在电脑的无线配置中存在这样一个配置:802.1X设置-指定身份验证模式-用户名或计算机身份验证,如下图。
大部分win10的电脑,在初始设置时如果没有注意这个细节,默认会选择“用户或计算机身份验证”,而这个“用户或计算机身份验证”的设置在一些特殊情况下:比如休眠后唤醒,开机等情况下,选择电脑上的用户证书失败时,进而选择了本机计算机证书。显然AAA服务器上会认为这个是非法登陆账号ID。
该局点大部分WIN10机型的802.1X设置都是这种情况,WIN7电脑由于初始化的setup步骤规避了该问题。
解决手段:需要调整电脑网卡的wifi设置,修改802.1X的设置,调整为“用户身份验证”。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作