Print

WA5320H 有线口做802.1x认证失败的解决办法

组网及说明

问题描述

客户网络内部署了无线网络,其中包含了部分WA5320H的面板AP,由于业务需求,需要对面板AP的有线口下连接的用户做802.1x准入认证,但是部署认证完毕后,终端无法正常通过认证。

过程分析

1.检查设备配置没问题:

radius scheme jstrp

 primary authentication 192.168.168.2

 primary accounting 192.168.168.2

key authentication cipher $c$3$MqpuUr9Pveys5Pc6Y7rX4Ziyo4Ky5Uwj

 key accounting cipher $c$3$EBOafkpk8DhAZOzCFkN6WMDoQPL8BnWD

 user-name-format without-domain

#

domain shbk

 authentication lan-access radius-scheme jstrp

 authorization lan-access radius-scheme jstrp

 accounting lan-access radius-scheme jstrp

 authentication default radius-scheme jstrp

 authorization default radius-scheme jstrp

 accounting default radius-scheme jstrp

#

 domain default enable shbk

#

 dot1x

 dot1x authentication-method eap

 dot1x retry 10

 dot1x timer handshake-period 120

 dot1x ead-assistant url http://192.168.168.2

 dot1x ead-assistant free-ip 192.168.168.0 255.255.255.0

2.设备配置没问题,收集802.1x的调试信息进一步分析:

%Dec  6 18:19:42:380 2019 jtsj-2207 DOT1X/6/DOT1X_LOGOFF: -IfName=GigabitEthernet1/0/2-MACAddr=54ee-75aa-554e-VLANId=14-UserName=test-ErrCode=5; Session of the 802.1X user was terminated.

*Dec  6 18:19:42:382 2019 jtsj-2207 DOT1X/7/EVENT: Interface GigabitEthernet1/0/2 received DOT1X_PSM_E_USER_UNAUTHORED event.

*Dec  6 18:19:42:384 2019 jtsj-2207 DOT1X/7/EVENT: Sent accounting-stop request: UserMAC=54ee-75aa-554e, VLANID=14, Interface=GigabitEthernet1/0/2.

*Dec  6 18:19:42:388 2019 jtsj-2207 DOT1X/7/ERROR: Failed to find user by MAC 54ee-75aa-554e and Interface GigabitEthernet1/0/2 when receiving accounting-start response.

*Dec  6 18:19:42:390 2019 jtsj-2207 DOT1X/7/EVENT: Received accounting-stop response with code 0: UserMAC=54ee-75aa-554e, Interface=GigabitEthernet1/0/2.

1   客户端主动下线 */

2   端口状态错误 */

3   客户端重启 */

4   重认证失败 */

5   设备强制去授权 */

6   端口重启 */

7   管理员将接口shutdown(公有最后一个) */

8   用户名和密码不对 */

9   握手失联 */

10  闲置切断 */

11  限制切断 */

12  服务器发起的切断 */

13  实时计费失败 */

14  缺省错误 */

3. 从调试信息来看,是授权有问题,将设备和服务器上的授权均删除后还是认证失败;由于AP的有线口做802.1x认证应用场景很少,所以与研发进一步确认。   

解决方法

AP有线口下增加dot1x port-method portbased配置后解决。

备注:当前仅WA5320H型号AP的有线口支持做802.1x认证。