• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S1850 802.1x 重复认证,等待重连

2022-11-30 发表
  • 0关注
  • 0收藏 1230浏览
粉丝:1人 关注:7人

组网及说明

设备型号:H3C S1850-52P
设备版本:Version 5.20.99, Release 1102
组网如下:


问题描述

现场终端进行1x认证,发现1x等待重连,最后提示“连接失败,请于管理员联系”


过程分析

1.排查配置发现无问题
#
radius scheme pd
primary authentication 172.16.20.240 key cipher $c$3$n8qzDyWpUIPDCPkXtkvetv74l/BrHA==
primary accounting 172.16.20.240 key cipher $c$3$1vqKY7buBmVCiPwx8k14Txg4Q/GJhw==
key authentication cipher $c$3$yaGOWMPtsdnewho4A1y8L/D+g9vnpg==
key accounting cipher $c$3$xW0sbNMIhC99nmBsLsQH9PU4OdAo9A==
user-name-format without-domain
nas-ip 172.16.98.131
#
domain pd
 authentication lan-access radius-scheme pd
 authorization lan-access radius-scheme pd
 accounting lan-access radius-scheme pd

2.让现场从新配置1850和IMC上radius的认证和计费密码
3.从debug dot1x all、debugging radius packet来看出现很多计费无响应报文。
(RADIUS计费开始报文中CODE值为4,计费结束报文中CODE值为5。)

[11:30:01]*Nov 11 11:30:00:322 2022 13-1 RDS/7/DEBUG: Recv MSG,[MsgType=PKT acct_timeout Index = 1048, ulParam3=0]
[11:30:01]*Nov 11 11:30:00:322 2022 13-1 RDS/7/DEBUG: [11:30:01]Error: Accounting server no response.(AAAID = 1048, Req-ID = 0)
[11:30:01]*Nov 11 11:30:00:323 2022 13-1 RDS/7/DEBUG: Recv MSG,[MsgType=Account off request Index = 1048, ulParam3=0]
[11:30:01]*Nov 11 11:30:00:324 2022 13-1 RDS/7/DEBUG: Send: IP=[172.16.20.240], UserIndex=[1048], ID=[66], RetryTimes=[0], Code=[4], Length=[226]
[11:30:01]*Nov 11 11:30:00:324 2022 13-1 RDS/7/DEBUG: [11:30:01]Event: Set socket VPN attribute, VPN index=0, Result=0!
[11:30:01]*Nov 11 11:30:00:325 2022 13-1 RDS/7/DEBUG: Send bufferred acct-stop packet.The Raw Packet is: [11:30:01]*Nov 11 11:30:00:325 2022 13-1 RDS/7/DEBUG:
从debug中可以分析出,设备已经发出了计费报文。但是未收到回复报文。

4.在内网汇聚上抓包也可以看到:
NO. 481513 是有抓到accept后的开始计费报文请求的, 但服务器未回应答
NO.490015 设备重传计费报文,仍未收到应答  
以此可以得出S1850设备上是没有问题的,内网汇聚也没有问题 ,需要排查imc侧是否有问题。





5.联系imc侧发现1x有请求报文,但是报文回应时被拒绝。排查配置发现接口配置1x认证和mac认证。
原因就是1x认证成功之后设备又发送了mac认证请求 然后Mac认证的话对应的mac在imc上又没有配置哑终端用户,所以有reject报文。
在端口及配置了1x又配置了mac时:
802.1X认证优先于MAC认证。端口上同时仅使能了802.1X和MAC地址认证的情况下,首次接入的802.1X用户将直接进行802.1X认证,非802.1X用户的报文将在30秒之后触发MAC地址认证。802.1X认证失败后可以通过MAC认证上线,所以该现象是正常现象。



查看imc侧抓包发现1x认证已经完成,但是并未收到设备侧发送过来的计费报文,所以有可能内网汇聚和imc之间还有其他设备。

解决方法

1.让现场重新梳理组网,排查发现在imc和内网汇聚之间还有一台深信服的检测设备,在认证出现问题时,发现深信服设备报如下日志。
让现场联系三方售后调整设备的相关配置,观察无相关日志后。终端再次再次进行现认证成功,imc成功收到计费报文。


2.如果客户不进行radius计费,可以把计费配置关闭掉测试,测试发现,终端也可以认证成功。
配置如下:
domain pd
authentication lan-access radius-scheme pd
authorization lan-access radius-scheme pd
accounting lan-access none

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作