S5700交换机和radius测试802.1x认证无法通过问题

发布时间:  2014-09-12 浏览次数:  561 下载次数:  0
问题描述
S5700和BXY radius服务器数据配置完成后,用户采用pc安装客户端软件方式接入认证正常。但ip话机通过mac地址认证无法通过。
告警信息
处理过程
1、在S5700设备上debug 802.1x all ,发现发送的用户名为xxxxxxxxxxxx 这种格式,不带-(中划线分隔符)。
2、检查radius数据配置,mac管理里面输入的mac地址格式要求带-分隔符的方式。
3、在S5700设备上通过命令mac-authen username format with-hyphen,执行后打开debug开关,发现送出的报文仍然是这种不带分隔符格式。
后确认该命令只对采用mac-auth方式下进行mac地址格式调整,在802.1x旁路模式下不生效。
4、查看radius服务器认证记录中看到ip话机的mac地址的认证记录提示认证类型为dot1X【PAP】,与radius服务器配置的EAP认证格式不匹配,认证失败原因提示“该用户不存在”,怀疑交换机的旁路认证发送的认证请求信息与radius服务器的添加白名单mac地址没有关系,是与服务器上创建的用户来匹配的遂在用户管理界面添加mac地址(不带—)的用户名密码,认证方式改为pap
5、使用ip话机和pc机安装客户端软件两种方式测试,认证都可以通过。
根因
1、S5700数据配置问题。
2、radius服务器问题。
建议与总结
和友商radius厂家对接时,出现业务不通情况,需要在我司和radius上分别仔细检查debug和日志,认证记录这些信息,对故障定位会有帮助。

END