问
imc部分终端准入
2小时前提问
- 0关注
- 0收藏,25浏览
802.1X吗,参考
某局点使用iMC-EIA进行802.1x EAP-MD5认证,终端使用iNode客户端,终端认证成功后会马上下线,iMC-EIA接入明细中显示的下线原因为“重复认证报文”
无
一、首先收集UAM调试日志,调试日志收集方法不在详述,针对复现问题账号0404进行分析如下:
CODE = 1. ID = 16. ATTRIBUTES: User-Name(1) = "..PmAIT0oCNiV8TBwxdVB5LAEHUqk= 0404".\\接入用户名0404 CHAP-Password(3) = "02708cfe96720f966f77d32f6ee6a64cb3". CHAP-Challenge(60) = "21f0a8d9cbce3bdf0dc665c203de2f6a". NAS-IP-Address(4) = 167972862. NAS-Identifier(32) = "........". NAS-Port(5) = 102401. NAS-Port-Id(87) = "slot=0;subslot=0;port=25;vlanid=1". NAS-Port-Type(61) = 15. Service-Type(6) = 2. Framed-Protocol(7) = 1. Calling-Station-Id(31) = "00-26-2D-35-16-72".\\终端MAC地址00-26-2D-35-16-72 Acct-Session-Id(44) = "117100914237420".\\计费会话标识,用来标识计费ID Framed-IP-Address(8) = 2886738698.\\用户IP地址,转换后为172.16.35.10 hw_Connect_ID(26) = 33.\\用户连接索引ID值 hw_Product_ID(255) = "H3C MSR30-11E". hw_IP_Host_Addr(60) = "172.16.35.10 00:26:2d:35:16:72". hw_Nas_Startup_Timetamp(59) = 1510170632. 设备正常发送RADIUS1号认证请求报文,紧接着iMC发送认证通过报文,如下所示: Code = 2ID = 16
ATTRIBUTES:
User-Name(1) = ..PmAIT0oCNiV8TBwxdVB5LAEHUqk= 0404
Service_Type(6) = 2
State(24) = O8dLZgKu
Class(25) = O8dLZgKu
Termination-Action(29) = 0
Session-Timeout(27) = 86400\\会话时长
Acct-Interim-Interval(85) = 600\\计费更新间隔
hw-Connect-Id(26) = 33\\连接索引
hw_User_Notify(61) =
IF_PROXY = 0
IF_DOUBLE_NETCARD = 0
IF_IE_PROXY = 0
FRAMED_IP_SET_MODE = 0
IF_CHECK_MODIFY_MAC = 0
IF_CHECK_SAME_MAC = 0
EIA_DETAIL_VERSION = V700R003B04D021
EAD_EVENT_SEQ_ID = O8dLZgKu %% 2017-11-09 14:34:41.897 ; [LDBG] ; [1212] ; LAN ; lanAuthMsgProc.exec: end with evntSeq O8dLZgKu, rtnVal 63000.
%% 2017-11-09 14:34:41.897 ; [LDBG] ; [8660] ; UsrOnline ; buildSql: insert [976].\\同时UAM插入在线表 紧接着设备也正常发送了RADIUS 4号计费开始报文,如下所示: CODE = 4. ID = 17. ATTRIBUTES: User-Name(1) = "..PmAIT0oCNiV8TBwxdVB5LAEHUqk= 0404". NAS-Identifier(32) = "........". NAS-Port(5) = 102401. NAS-Port-Id(87) = "slot=0;subslot=0;port=25;vlanid=1". NAS-Port-Type(61) = 15. Calling-Station-Id(31) = "00-26-2D-35-16-72".\\终端MAC地址 Acct-Status-Type(40) = 1.\\计费类型,1为计费开始报文 Acct-Authentic(45) = 1. Acct-Session-Id(44) = "117100914237420".\\计费标识,与RADIUS1号报文中一致 Framed-IP-Address(8) = 2886738698. NAS-IP-Address(4) = 167972862. Event-Timestamp(55) = 1510237405. Class(25) = "O8dLZgKu". hw_Connect_ID(26) = 33. hw_Input_Peak_Rate(1) = 0. hw_Input_Average_Rate(2) = 0. hw_Output_Peak_Rate(4) = 0. hw_Output_Average_Rate(5) = 0. hw_Priority(22) = 0. hw_IP_Host_Addr(60) = "172.16.35.10 00:26:2d:35:16:72". iMC正常回应RADIUS5号报文,如下所示: Code = 5
ID = 17
ATTRIBUTES:
hw-Connect-Id(26) = 33
hw_User_Notify(61) =
EAD_EVENT_SEQ_ID = O8dLZgKu
EAD_PROXY_IP = 2886886480\\策略服务器IP地址
EAD_PROXY_PORT = 9019\\策略服务器端口号
EAD_PROXY_IP_PREFERENCE = 0
IF_DEPLOY_EMO = 0
ISP_EMO_UDP_PORT = 0
ISP_EMO_TCP_PORT = 0 但是紧接着从UAM日志又收到了如下认证请求报文: CODE = 1. ID = 18. ATTRIBUTES: User-Name(1) = "00262d351672".\\用户名为MAC地址 Password(2) = "$$$". NAS-IP-Address(4) = 167972862. NAS-Identifier(32) = "........". NAS-Port(5) = 102401. NAS-Port-Id(87) = "slot=0;subslot=0;port=25;vlanid=1". NAS-Port-Type(61) = 15. Service-Type(6) = 10. Framed-Protocol(7) = 1. Calling-Station-Id(31) = "00-26-2D-35-16-72".\\终端MAC地址 Acct-Session-Id(44) = "117100914237430". hw_Connect_ID(26) = 34. hw_Product_ID(255) = "H3C MSR30-11E". hw_Nas_Startup_Timetamp(59) = 1510170632. 仔细分析发现,该报文的接入用户为MAC地址,且MAC地址与之前接入账号0404的终端MAC地址是一样的,说明用户在完成了802.1x认证之后设备又发起了MAC认证请求,进一步继续分析如下: %% 2017-11-09 14:34:43.518 ; [LDBG] ; [6288] ; LAN ; stopOneUsrAtLocal: delete the online record(online-id 976).\\就在设备再次发来MAC认证请求之后,因为用户的MAC地址相同,NAS相同,USERID相同,因此UAM会认证该MAC已经在线,会把之前802.1x认证通过的在线记录清楚,同时接入明细中记录的下线原因为“重复认证”
%% 2017-11-09 14:34:43.518 ; [LDBG] ; [6288] ; LAN ; stopOrphans: the online record had been deleted, user: 0404. Code = 3
ID = 18
ATTRIBUTES:
Reply-Message(18) = E63100: The authentication client version is invalid.
hw-Connect-Id(26) = 34 而因为接入策略中勾选了“仅限iNode客户端”,而MAC认证接入请求中是没有携带iNode客户端版本,因此UAM会提示“无效的客户端版本”,携带iNode客户端版本号的日志如下: %% 2017-11-09 14:34:41.895 ; [LDBG] ; [1212] ; LAN ; parseVer: client ver iNode PC 7.3 (E0511), ClientOsType Windows. 而后续设备再次发计费更新报文是,发现802.1x的在线信息已经被清除,服务器就会在RADIUS 5号报文中下发session-time-out=0 Code = 5
ID = 8
ATTRIBUTES:
Session-Timeout(27) = 0 当设备收到此报文时,就会立即发送计费结束报文,下线原因为“Session-Timeout”,但实际上,由于之前EIA在收到MAC认证请求时已经将802.1x认证的在线信息清除,此时也就不会再在接入明细中记录“Session-Timeout”的相关信息。这也就解释了为何接入明细中只能看到“重复认证”的信息而看不到“Session-Timeout”的信息。 所以此问题的根本原因还是设备在完成802.1x认证之后继续发送MAC认证请求导致的。
有几种解决办法如下:
1、在接入策略管理-业务参数配置-系统配置-终端管理参数配置中,将“无感知认证”按钮关闭,该参数用来控制Portal无感知和MAC无感知的处理,由于该局点启用了MAC认证,如果开启该参数,那么终端完成802.1x认证之后,如果终端的无感知状态为“启用”,则当UAM再次受到MAC认证报文,终端会通过认证,会影响用户的正常上下线。
2、端口只启用MAC认证或802.1x认证
3、排查网络设备问题,该局点端口下同时开启了802.1X和MAC认证,正常情况下完成某种认证之后设备不会再次发送另一种认证请求,因此需要排查是否为设备配置不合理导致。
1、该问题分析需要对UAM认证流程较为清楚,且熟悉UAM的处理机制
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论