• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点 S5570S-54S-EI 802.1X认证慢问题

2024-04-01 发表
  • 0关注
  • 0收藏 376浏览
粉丝:3人 关注:1人

问题描述

客户现场测试拨测1X认证,认证软件和认证系统都是深信服,我司设备做接入认证设备。在终端点击认证上线时,需要点击多次才能认证上线

 

过程分析

1、 查看交换机上debug,发现存在认证失败的记录,认证失败的原因是radius服务器恢复了03号认证拒绝报文:

 

*Mar 27 11:42:31:477 2024 BGL-1F-D02-OAES-S5570S-02 RADIUS/7/PACKET:

    Message-Authenticator=0x4c7664c7e60e7dbeb3f83a6714b5e252

*Mar 27 11:42:31:477 2024 BGL-1F-D02-OAES-S5570S-02 RADIUS/7/PACKET:

 03 fe 00 26 75 4f 12 68 73 29 5f 88 a6 3d 67 0d

 02 af 28 be 50 12 4c 76 64 c7 e6 0e 7d be b3 f8

 3a 67 14 b5 e2 52

*Mar 27 11:42:31:478 2024 BGL-1F-D02-OAES-S5570S-02 RADIUS/7/EVENT: Sent reply message successfully.

*Mar 27 11:42:31:478 2024 BGL-1F-D02-OAES-S5570S-02 RADIUS/7/EVENT: PAM_RADIUS: Processing RADIUS authentication.

%Mar 27 11:42:31:479 2024 BGL-1F-D02-OAES-S5570S-02 DOT1X/6/DOT1X_LOGIN_FAILURE: -IfName=GigabitEthernet1/0/5-MACAddr=e4a8-dfc8-f998-VLANID=42-Username=wujinlong_daz-ErrCode=8; User failed 802.1X authentication.

 

(1)     Code

长度为1个字节,用于说明RADIUS报文的类型,如1-1所示。

1-1 Code域的主要取值说明

Code

报文类型

报文说明

1

Access-Request认证请求包

方向Client->ServerClient将用户信息传输到Server,请求Server对用户身份进行验证。该报文中必须包含User-Name属性,可选包含NAS-IP-AddressUser-PasswordNAS-Port等属性

2

Access-Accept认证接受包

方向Server->Client,如果Access-Request报文中的所有Attribute值都可以接受(即认证通过),则传输该类型报文

3

Access-Reject认证拒绝包

方向Server->Client,如果Access-Request报文中存在任何无法被接受的Attribute值(即认证失败),则传输该类型报文

4

Accounting-Request计费请求包

方向Client->ServerClient将用户信息传输到Server,请求Server开始/停止计费。该报文中的Acct-Status-Type属性用于区分计费开始请求和计费结束请求

5

Accounting-Response计费响应包

方向Server->ClientServer通知Client已经收到Accounting-Request报文,并且已经正确记录计费信息

 

 

2、同时在PC上抓包确认,发现pc发送eapol-start后,设备并未进行响应:

 

 

3、了解到第三方认证软件的认证方式是由认证终端主动发起,查看交换机上配置,并配配置单播触发,而是定时周期发送的组播触发:

 

#

interface GigabitEthernet1/0/5

 port link-mode bridge

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 42 untagged

 port hybrid pvid vlan 42

 mac-vlan enable

 broadcast-suppression 5

 multicast-suppression 1

 unicast-suppression 1

 stp edged-port

 mac-address max-mac-count 1

 undo mac-address max-mac-count enable-forwarding

 dot1x

 dot1x mandatory-domain sangfor_ad

 dot1x critical vlan 42

 dot1x critical eapol

 undo dot1x unauthenticated-user aging enable

 mac-authentication

 mac-authentication domain sangfor_ad

 mac-authentication parallel-with-dot1x

#

 

4、因此建议现场修改配置,将接口上1x的认证触发方式修改为单播触发后测试正常:

 

1. 2. 设备端主动触发方式

设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:

·     组播触发:设备每隔一定时间(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。

·     单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。

 

解决方法

1、接口上1x的认证触发方式修改为单播触发

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作