某局点无线dot1x认证成功后ping丢包的经验案例

某局点反馈dot1x认证成功后ping网关规律性丢包，排除了有线侧和漫游影响的问题，但不认证或做mac认证成功后ping是正常的。

ping的现象如下：

正在 Ping 10.75.0.249 具有 32 字节的数据:
来自 10.75.0.249 的回复: 字节=32 时间=4ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
请求超时。
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=2ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=2ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
请求超时。
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
请求超时。

无

理论上既然认证成功了，就和认证没关系了，进一步收集了debug radius  packet和debug  dot1x packet 分析：

发现从dot1x认证开始，到认证成功，radius报文都正常。但当认证成功后，AC发送计费报文时，却没有得到服务器的回应，过5秒左右，AC就会主动发起一个计费停止报文。{[40 Acct-Status-Type            ] [6 ] [2]
表示是计费停止报文}

[1  User-name                   ] [13] [xujianghong]
[32 NAS-Identifier              ] [25] [SX_JinZhong_WX_S3504E_1]
[5  NAS-Port                    ] [6 ] [16789544]
[87 NAS_Port_Id                 ] [35] [slot=1;subslot=0;port=3;vlanid=40]
[61 NAS-Port-Type               ] [6 ] [19]
[31 Caller-ID                   ] [19] [37382D45342D30302D45452D42362D3039]
*Dec 14 12:54:11:250 2015 SX_JinZhong_WX_S3504E_1 RDS/7/DEBUG:
[30 Called-station-Id           ] [31] [38-91-D5-8C-55-C0:Geely-Group]
[40 Acct-Status-Type            ] [6 ] [2]

[45 Acct-Authentic              ] [6 ] [1]
[44 Acct-Session-Id             ] [25] [11512141253550430e6e3a3]
[4  NAS-IP-Address              ] [6 ] [10.75.0.249]
[55 Event-Timestamp             ] [6 ] [1450097651]
*Dec 14 12:54:11:250 2015 SX_JinZhong_WX_S3504E_1 RDS/7/DEBUG:
[25 Class                       ] [46] [69A906CD00000137000102000A565CEF00000000000000000000000001D12CCFB07713AE000000000003D25C]
[H3C-26 Connect_ID               ] [6 ] [956]
[H3C-1  Input_Peak_Rate          ] [6 ] [0]
[H3C-2  Input_Average_Rate       ] [6 ] [0]
[H3C-4  Output_Peak_Rate         ] [6 ] [0]
[H3C-5  Output_Average_Rate      ] [6 ] [0]

进一步看配置：

radius scheme nps
 server-type extended
 primary authentication 10.86.92.239
 primary accounting 10.86.92.239
 key authentication cipher $c$3$pH4DOdrjEfEBGKoRuOKHKIW2f6Am9Sygg6KI7+I=
 user-name-format without-domain
 nas-ip 10.75.0.249
#
domain geely.auto
 authentication default radius-scheme nps
 authorization default radius-scheme nps
 accounting default radius-scheme nps

配置本没问题，但由于服务器不具备计费功能，且AC侧没有配计费密钥，所以导致发送的计费报文没有得到回应，AC就认为应该计费停止。

结合现象分析得出结论：

认证的时候，可以接入成功，但总是计费失败。当接入成功时，ping网关是可以ping通的，但紧接着计费报文发送错误，导致又会下线，由于dot1x认证下线后会马上关联上，所以就会一直循环上线下线的过程，导致规律性丢包。

由于服务器不具备计费功能，所以需要把AC侧domain域下的计费配置也删掉，问题解决。

dot1x认证，分为认证部分和计费部分，当认证成功后，表示客户端可以接入通信，紧接着发计费报文，如果计费不通过，AC会马上把上线的客户端踢下线。