问题描述
客户使用自建的radius服务器和我司AC进行无线802.1X认证失败,但是客户反馈和两个友商的AC对接都可以正常上线。
过程分析
客户反馈在认证时先会打印user profile不存在的日志,然后就上线失败,因此让客户抓了一份EAP和radius交互的debug进行分析,发现在认证时radius 服务器下发了一个vlan name属性,该属性正常应该在radius 报文的64号属性为13且65号属性为6时,取81号属性中的值即为vlan name 的值
但是客户的radius服务器不仅下发了这三个属性的信息,还在11号属性filter-ID中下发了vlan name 的字段,如下图:
而对11号属性的定义为:
因此可以判断认证失败为11号属性的内容引起的。
解决方法
配置设备拒绝接受11号属性的参数后,终端上线正常。
attribute translate
attribute reject Filter-ld received