常规组网,AC无线业务本地转发,结合IMC做MAC认证,本地启动PSK加密。
现场反馈所有终端无法接入无线网,输入密码后无法连接
首先检查配置,常规配置无异常地方,收集debug信息如下:
debug wlan access-sec all
debug wlan usersec all
debug mac-auth all
debugging wlan mac all
Debug wlan client all
debugging wlan client mac AAAA-BBBB-CCCC
debugging radius all
然后进行分析,从debug信息来看,终端已经完成了mac认证的过程:
%Mar 11 15:28:24:213 2023 OIS-WX3500-02 STAMGR/6/STAMGR_MACA_LOGIN_SUCC: -Username=xxxxxx-UserMAC=xxxxx-BSSID=xxxxx-SSID=xxxxxi-APName=xxxxxx-RadioID=1-VLANID=xxxx-UsernameFormat=MAC address; A user passed MAC authentication and came online.
紧接着进行psk阶段的四次我收阶段:
在四次握手阶段,4-Way Handshake Message 1,首先 Authenticator 向 Supplicant 发送一个携带 ANonce 的 EAPOL-Key frame
4-Way Handshake Message 2,一旦 Station 创建了自己的 PTK,它会立即响应一条 EAPOL 消息给 AP,包含了 SNonce 和 MIC。AP 用 SNonce 生成自己的 PTK,MIC 是用来校验 Station 发来的消息的完整性,除了 1/4, 从 2/4 报文开始,后面的每个报文都会有 MIC。 AP 收到 SNonce 之后,生成的 PTK 就可以用来加密后面两次握手的 key 了。现在我们能看到在message2阶段,收到了invalid MIC报错。而对于此报错就是收到终端回应密码错误的意思,可能现场管理员宣告了错误的密码给用户,所以造成大面积认证不成功。
将设备PSK密钥改写并正确的宣告给用户使用,最终认证成功。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作