AC --- 核心sw --- XX服务器 ——出口—— 省服务器
现场为MAC Portal 认证,第一次终端认证获取地址慢,需等待十几秒以上
1、经过分析发现第一次认证中 MAC认证的radius报文交互过程未完成,导致终端接入异常,且AC上radius状态显示为block。
2、对MAC认证过程进行debug信息收集,发现相同终端认证,服务器回复的大部分reject报文AC密钥解析为无效,同时存在少部分报文解析正常,并能被正确识别。(AC若识别服务器发送报文为无效报文,会持续发送request请求共三次,三次无有效报文响应后会将radius状态置为block)
*May 26 15:02:01:240 2024 WX3520X RADIUS/7/ERROR: The response packet has an invalid Response Authenticator value.
*May 26 15:02:01:240 2024 WX3520X RADIUS/7/ERROR: The reply packet is invalid.
识别为无效报文
识别为有效报文
3、收集AC对端的radius报文交互,对比分析,我司发起相同终端的request请求,服务器回复reject报文内容有差异,具体内容如下:
识别为无效报文
报文中相比能正常被识别的reject报文多出部分Attribute Value Pairs字段信息
识别为有效报文
4、由于现场组网认证模式是有AC发送报文至XX服务器,再由XX服务器发送至省服务器。对比服务器侧抓包:
AC-XX服务器以及XX服务器-省服务器:相同终端认证,Authenticator皆为5efb1fa084c8954df78d6a0409791c79
省服务器-XX服务器:相同终端认证,Authenticator为60fe404986951d9584c520d0eb5f1a34
XX服务器-AC:相同终端认证,Authenticator为90bd2ade80a3c207999310eea47e866d
进行第二次MAC无感知认证,radius交互无异常,能认证成功。AC对radius报文进行处理,首先需要检测密钥是否正常,是否为设备可处理的报文,再对其中内容进行判断。综合以上信息分析,AC对服务器发送的部分报文能进行解析并识别处理,无法识别处理报文的原因皆为密钥解析无效,初步分析可能服务器回复过程中对密钥进行MD5计算时或者传递转发过程中存在异常。
还需明确XX服务器角色:与省服务器radius密钥不一致情况下,XX服务器是否会对报文密钥做进一步解密加密处理;还是无论密钥是否一致的情况下,仅对AC和省服务器发送的报文做单纯转发;
还需明确access-reject内容差异原因:从radius access-reject报文分析,从省服务器发送的初始报文中就会携带上述描述多出的Attribute Value Pairs信息字段,导致两者报文携带内容不一致的原因是什么
由于省服务器侧排查进展缓慢,现场临时修改为Portal Mac-trigger认证规避
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作