某局点反馈dot1x认证成功后ping网关规律性丢包,排除了有线侧和漫游影响的问题,但不认证或做mac认证成功后ping是正常的。
ping的现象如下:
正在 Ping 10.75.0.249 具有 32 字节的数据:
来自 10.75.0.249 的回复: 字节=32 时间=4ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
请求超时。
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=2ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=2ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
请求超时。
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
来自 10.75.0.249 的回复: 字节=32 时间=1ms TTL=254
请求超时。
无
理论上既然认证成功了,就和认证没关系了,进一步收集了debug radius packet和debug dot1x packet 分析:
发现从dot1x认证开始,到认证成功,radius报文都正常。但当认证成功后,AC发送计费报文时,却没有得到服务器的回应,过5秒左右,AC就会主动发起一个计费停止报文。{[40 Acct-Status-Type ] [6 ] [2]
表示是计费停止报文}
[1 User-name ] [13] [xujianghong]
[32 NAS-Identifier ] [25] [SX_JinZhong_WX_S3504E_1]
[5 NAS-Port ] [6 ] [16789544]
[87 NAS_Port_Id ] [35] [slot=1;subslot=0;port=3;vlanid=40]
[61 NAS-Port-Type ] [6 ] [19]
[31 Caller-ID ] [19] [37382D45342D30302D45452D42362D3039]
*Dec 14 12:54:11:250 2015 SX_JinZhong_WX_S3504E_1 RDS/7/DEBUG:
[30 Called-station-Id ] [31] [38-91-D5-8C-55-C0:Geely-Group]
[40 Acct-Status-Type ] [6 ] [2]
[45 Acct-Authentic ] [6 ] [1]
[44 Acct-Session-Id ] [25] [11512141253550430e6e3a3]
[4 NAS-IP-Address ] [6 ] [10.75.0.249]
[55 Event-Timestamp ] [6 ] [1450097651]
*Dec 14 12:54:11:250 2015 SX_JinZhong_WX_S3504E_1 RDS/7/DEBUG:
[25 Class ] [46] [69A906CD00000137000102000A565CEF00000000000000000000000001D12CCFB07713AE000000000003D25C]
[H3C-26 Connect_ID ] [6 ] [956]
[H3C-1 Input_Peak_Rate ] [6 ] [0]
[H3C-2 Input_Average_Rate ] [6 ] [0]
[H3C-4 Output_Peak_Rate ] [6 ] [0]
[H3C-5 Output_Average_Rate ] [6 ] [0]
进一步看配置:
radius scheme nps
server-type extended
primary authentication 10.86.92.239
primary accounting 10.86.92.239
key authentication cipher $c$3$pH4DOdrjEfEBGKoRuOKHKIW2f6Am9Sygg6KI7+I=
user-name-format without-domain
nas-ip 10.75.0.249
#
domain geely.auto
authentication default radius-scheme nps
authorization default radius-scheme nps
accounting default radius-scheme nps
配置本没问题,但由于服务器不具备计费功能,且AC侧没有配计费密钥,所以导致发送的计费报文没有得到回应,AC就认为应该计费停止。
结合现象分析得出结论:
认证的时候,可以接入成功,但总是计费失败。当接入成功时,ping网关是可以ping通的,但紧接着计费报文发送错误,导致又会下线,由于dot1x认证下线后会马上关联上,所以就会一直循环上线下线的过程,导致规律性丢包。
由于服务器不具备计费功能,所以需要把AC侧domain域下的计费配置也删掉,问题解决。
dot1x认证,分为认证部分和计费部分,当认证成功后,表示客户端可以接入通信,紧接着发计费报文,如果计费不通过,AC会马上把上线的客户端踢下线。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作