• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点MAC认证失败

2021-08-23 发表
  • 0关注
  • 0收藏 3228浏览
张燃
张燃 九段
粉丝:39人 关注:3人

组网及说明

传统组网


问题描述

某局点PSK+MAC认证失败


过程分析

首先,PSK+MAC认证是比较简单的组合认证,如果出现认证失败的情况,一般是要检查设备和服务器的配置是否正确,需要两方配合的部分配置是否一致。或者可通过去掉PSK or MAC认证,只采用单一的认证方式时测试是否有故障存在,来确认问题出在PSK还是MAC认证。

对于MAC认证需要在设备侧着重注意的配置点如下:

1、#设备上配置MAC地址认证用户的帐号格式要与服务器侧统一。

[AC] mac-authentication user-name-format mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ] } 

缺省情况下使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。

mac-address:表示使用用户的MAC地址作为用户名和密码。  

with-hyphen [ six-section | three-section ]:带连字符“-”的MAC地址格式,six-section表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX;three-section表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。如果不指定任何参数,缺省采用六段式MAC地址格式。

 without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。

 lowercase:MAC地址中的字母为小写。 

 uppercase:MAC地址中的字母为大写。 

2、domain域配置,MAC认证应该是lan-access

[AC] domain office1

[AC-isp-office1] authentication lan-access radius-scheme office

[AC-isp-office1] authorization lan-access radius-scheme office

[AC-isp-office1] accounting lan-access radius-scheme office

[AC-isp-office1] authorization-attribute idle-cut 15 1024

[AC-isp-office1] quit

3、radius配置,设置发送给RADIUS服务器的用户名格式,需要和服务器侧配置统一。

[AC-radius-office] user-name-format without-domain

with-domain:发送给RADIUS服务器的用户名携带ISP域名。

without-domain:发送给RADIUS服务器的用户名不携带ISP域名。

在保证配置无问题的情况下,可以采用抓包或者在AC上debug 信息来进一步判断问题根因。v7的设备可debug 如下信息。

debugging wlan client  all 

debugging wlan access-security all 

debugging wlan usersec all 

debugging mac-authentication all 

debugging radius  all  

该局点PSK+MAC认证失败,通过debug 信息可知,问题出在3A认证阶段。

         Line 252: %Jul  2 10:41:08:285 2021 Zxxx STAMGR/5/STAMGR_MACA_LOGIN_FAILURE: -Username=xxxxcf-UserMAC=xxxxf-8xxf-BSSID=3cd2-xxxx-df56-SSID=mac-APName=test-RadioID=2-VLANID=1191-UsernameFormat=MAC address; A user failed MAC authentication.Reason:AAA processed authentication request and return 26.

         Line 253: *Jul  2 10:41:08:285 2021 Zxxxx STAMGR/7/Event: [MAC: xxxx-xxxf-xxxf, BSSID: 3cd2-xxxx-df56]Can not parse 185 attribute

         Line 254: *Jul  2 10:41:08:286 2021 xxxxx STAMGR/7/Event: [MAC: xxxx-xxx-xxxf, BSSID: 3cd2-xxxx-df56]Started processing L2 authentication: Result=1, Authentication status=1, Reply-Message=E63018: The user does not exist or has not subscribed to this service.

通过radius 报文:发现设备发包用户名带了域名后缀,而服务器拒绝,认为该用户名不存在,怀疑是服务器上设置的用户名没有带后缀。

*Jul  2 11:28:19:036 2021 Zxxxxx1 RADIUS/7/PACKET:

    User-Name="4xxxxx5fxxxxx@mac-psk"

    User-Password=******

   Service-Type=Call-Check

    Framed-Protocol=PPP

........................................................

........................................................

*Jul  2 11:28:19:108 2021 Zxxxxx RADIUS/7/PACKET:

    Reply-Message="E63018: The user does not exist or has not subscribed to this service."

*Jul  2 11:28:19:108 2021 Zxxxxxx RADIUS/7/PACKET:

03 4e 00 5c b3 20 34 a3 1b f6 80 ec 23 88 d6 ff   //03号服务器拒绝报文


经确认,服务器侧用户名没有带域名后缀,而在设备上设置的命令要求用户名带域名后缀,是两端配置不一致导致故障,修改一致后问题解决。


解决方法

设备和服务器配置一致

AC上可设置成不带域名后缀

[AC-radius-office] user-name-format without-domain          


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2021-09-24对此案例进行了修订
1 个评论
拜拜了您嘞
拜拜了您嘞 一段
粉丝:0人 关注:0人

优秀如你

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作