802.1X业务因为客户端配置“上传IP”导致在MA5200F上认证不通过问题

发布时间:  2012-07-26 浏览次数:  85 下载次数:  2
问题描述

版本:MA2.130-7135(与版本无关)
客户端版本:HUAWEI 2.10(与版本无关)
问题现象:在PC上安装HUAWEI 802.1x拔号客户端,拔号认证,总是提示认证失败,用户无法上线



告警信息

打开MA5200F的debug radius packet开关,当域下配置为eap-end pap时显示用户名为不可识别的字符,如下所示
* [2005/08/02 19:55:22-] RDS-8-02033000:
  Radius Sent a Packet
  Server Group: 1
  Server IP   : 10.219.250.5
  Protocol: IPhotel
  Code    : 1
  Len     : 203
  ID      : 17
  [User-name(1)                       ] [4 ] []
  [Password(2)                        ] [18] [0ab541de64bebb4d6f06e15f08246a3b]
  [NAS-Port(5)                        ] [6 ] [102420]

当域下配置为eap-end chap时,能看到正确的用户名,但是提示认证失败被RADIUS拒绝



处理过程
1、打开MA5200F的debug radius packet开关,用户认证时发现当使用PAP验证时,MA5200上看到RADIUS中的用户名为不可识别的字符;
2、在客户端抓包,发现从客户端送上一的用户名就是不可识别的,确认是客户端的问题;
3、检查客户端的选项,发现选择了“上传客户端IP”这个选项(见1x client.rar),去掉这个选项后,业务正常。

根因
产生这个问题的根本原因在于客户端选择了“上传客户端IP”这个选项,从而导致客户端在使用PAP验证时,上送用户名出错(见dot1x-name-error.rar),MA5200认为用户名不是ASCII字符,导致用户认证失败。可能是客户端不同的选项和操作系统配合存在一定的问题,从而导致客户端上送的用户名出错。

END