• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

某局点无线802.1x认证与第三方服务器对接失败问题处理经验案例

2019-03-19 发表
  • 1关注
  • 0收藏,1579浏览
殷俊 九段
粉丝:34人 关注:4人

组网及说明

AC与第三方认证服务器对接802.1x认证

问题描述

V7 AC(WX2540H  version 7.1.064, Release 5217与第三方服务器配置802.1X认证,测试发现终端认证不通过,AC侧有用户认证失败信息,但服务器侧有授权成功的信息,客户现场有V5 AC设备可以正常进行802.1X认证,经配置对比发现radius配置为缺省带域名方式,修改为不带域名后认证测试依然失败,收集日志排查发现有错误报文提示:

%Mar  6 17:17:57:359 2019 H3C DOT1X/5/DOT1X_WLAN_LOGIN_FAILURE: -Username=XXX-UserMAC=4c32-7599-XXXX-BSSID=dcda-809a-ce70-SSID=XXXX-VLANID=72; A user failed 802.1X authentication.


过程分析

收集AC配置,配置中客户未开启radius计费服务,只使用认证服务,查看AC配置发现服务模板下配置的1x认证密钥加密套件还配置了密钥,但实际1x认证时是不需要配置psk密钥的,删除PSK密钥配置:

wlan service-template lattebank 

 ssid XXXX 

 vlan 72 

 akm mode dot1x 

 preshared-key pass-phrase cipher $c$3$B6eoJ/L7cCmhXaRWNnQ6quKr3BtYlzSM+u9vLzohkw== 

 cipher-suite ccmp 

 cipher-suite tkip 

 security-ie rsn 

 security-ie wpa 

 client-security authentication-mode dot1x 

 dot1x domain dataseed 

 service-template enable 

 bonjour apply policy 1

PSK密钥配置删除后,认证依然失败,尝试收集debug信息和抓包信息分析,发现在认证时,radius恢复的access-accept报文中携带授权vlan信息,但实际设备上并没有配置该vlan,并且该授权vlan并不是客户需要使用的业务vlan,信息如下:

debug信息:

*Mar 6 17:17:38:635 2019 H3C RADIUS/7/PACKET: 

 Tunnel-Private-Group-Id:0="201"   //radius回复的access-accept报文中携带授权vlan下发,vlan id为201

 EAP-Message=0x030d0004 

 Class=0xc04e0b0200000137000102000a64019d0000000028fc5ff7f4f8697401d3a19a0e8d11b000000000015e9b12 

 Microsoft-Attr-10=0x014f41 

 MSCHAPv2_Success=0x01533d32414536413733324533343142443143343536434230363537434136313839374638343045354246 

 MS-MPPE-Send-Key=****** 

 MS-MPPE-Receive-Key=****** 

 Message-Authenticator=0x319c262f1d45d894ea7b781f5389e208 

抓包信息:



解决方法

协调服务器侧删除授权vlan下发配置解决

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作