关于业务软件产品与Quidway 2000系列交换机进行802.1X认证的注意事项
【产品型号】
CAMS,iNode,H3C iMC,Quidway 2000系列交换机
【涉及版本】
iMC UAM所有版本,及Quidway 2000系列交换机所有版本,CAMS V2.10-R0208以后版本,iNode V2.40-F0314以后版本。
【问题描述】
采用业务软件产品与Quidway 2000系列交换机进行802.1X认证,用户可以正常认证上线,但1分钟左右自动下线,认证服务器上的下线原因为lost carrior。
【原因分析】
Quidway 2000系列等交换机支持的EAP消息太短导致。
由于2403H等交换机规格限制,EAP报文字段最长只有54字节,如果收到超过54B的EAP消息则会提示
*0.294277792 Quidway 8021X/8/PACKET:Slot=1;Port:0,Received a EAPOL packet.
*0.294277874 Quidway 8021X/8/Error::Slot=1;Port:0,EAP packet size is wrong.
CAMS R0208以后的版本以及iMC新增加了防破解特性,与iNode V2.40-F0314以后的版本,交换机特定型号版本配合,主要用于屏蔽校园网中很常见的破解客户端。
CAMS启用“仅限CAMS配套客户端”(iMC中叫“仅限iNode客户端”)后,由于新版本的客户端支持客户端防破解特性,于是服务器会下发一个防破解特性。
客户端收到这一指令,会在交换机握手报文的用户名前面增加一个加密字符串,长度为41B左右。
当用户名加上加密字符串的长度超过54B时,就会出现错误。
这样,客户端发送的握手报文每次都会被交换机认为用户名超长而丢弃,1分钟后,交换机就会因为没有收到用户握手报文为由要求用户下线,服务器上的下线原因为lost carrior。
【规避措施/解决方案】
下列两种方式均可以解决,优先选择方式1,如1无法实施则考虑2:
1.升级CAMS到F0211 P04以上版本,在系统管理à系统配置à业务参数配置中,将“客户端报文是否加密”设为“否”。
对于iMC,需要将接入业务à系统配置à系统参数配置中的“客户端防破解”设为“禁止”。
2. iNode不要选择“上传客户端版本号”和“上传IP地址”,在交换机上配置dot1x version-check。
如有问题,请联系杭州华三通信技术有限公司服务热线:4008100504/8008100504
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作