关于业务软件产品与Quidway 2000系列交换机进行802.1X认证的注意事项

关于业务软件产品与Quidway 2000系列交换机进行802.1X认证的注意事项

【产品型号】

CAMS，iNode，H3C iMC，Quidway 2000系列交换机

【涉及版本】

iMC UAM所有版本，及Quidway 2000系列交换机所有版本，CAMS V2.10-R0208以后版本，iNode V2.40-F0314以后版本。

【问题描述】

采用业务软件产品与Quidway 2000系列交换机进行802.1X认证，用户可以正常认证上线，但1分钟左右自动下线，认证服务器上的下线原因为lost carrior。

【原因分析】

Quidway 2000系列等交换机支持的EAP消息太短导致。

由于2403H等交换机规格限制，EAP报文字段最长只有54字节，如果收到超过54B的EAP消息则会提示

*0.294277792 Quidway 8021X/8/PACKET:Slot=1;Port:0,Received a EAPOL packet.     

*0.294277874 Quidway 8021X/8/Error::Slot=1;Port:0,EAP packet size is wrong.

 

CAMS R0208以后的版本以及iMC新增加了防破解特性，与iNode V2.40-F0314以后的版本，交换机特定型号版本配合，主要用于屏蔽校园网中很常见的破解客户端。

CAMS启用“仅限CAMS配套客户端”（iMC中叫“仅限iNode客户端”）后，由于新版本的客户端支持客户端防破解特性，于是服务器会下发一个防破解特性。

客户端收到这一指令，会在交换机握手报文的用户名前面增加一个加密字符串，长度为41B左右。

当用户名加上加密字符串的长度超过54B时，就会出现错误。

这样，客户端发送的握手报文每次都会被交换机认为用户名超长而丢弃，1分钟后，交换机就会因为没有收到用户握手报文为由要求用户下线，服务器上的下线原因为lost carrior。

【规避措施／解决方案】

下列两种方式均可以解决，优先选择方式1，如1无法实施则考虑2：

1.升级CAMS到F0211 P04以上版本，在系统管理à系统配置à业务参数配置中，将“客户端报文是否加密”设为“否”。

对于iMC，需要将接入业务à系统配置à系统参数配置中的“客户端防破解”设为“禁止”。

2. iNode不要选择“上传客户端版本号”和“上传IP地址”，在交换机上配置dot1x version-check。

 

如有问题，请联系杭州华三通信技术有限公司服务热线：4008100504/8008100504