S5700 802.1X认证失败

发布时间:  2014-09-12 浏览次数:  1286 下载次数:  0
问题描述
PC(WINDOWS 7)----------s5700(V100R005C00SPC100)-----------RADIUS  服务器

PC用微软自带802.1X客户端认证,认证不通过,PC无法通信。

交换机802.1X相关配置:
#
domain iwn
domain iwn admin
#
dot1x enable
dot1x authentication-method eap
#
radius-server template iwntemp
radius-server shared-key simple 123
radius-server authentication 192.168.100.1 1812
radius-server accounting 192.168.100.1 1813
undo radius-server user-name domain-included
#
aaa
authentication-scheme default
authentication-scheme iwn
  authentication-mode radius
authorization-scheme default
authorization-scheme iwn1
accounting-scheme default
accounting-scheme iwn1
accounting-scheme iwn
  accounting-mode radius
service-scheme iwn
  admin-user privilege level 15
domain default
domain default_admin
domain iwn
  authentication-scheme iwn
  accounting-scheme iwn
  radius-server  iwntemp
local-user admin password simple admin
local-user admin privilege level 3
local-user admin service-type web http
#
告警信息
处理过程
1、 ping  radius 服务器地址192.168.100.1 ,能够ping通;
2、 检查配置,配置为标准802.1X认证配置,没有发现异常。
3、 用test-aaa测试:
          test-aaa lizl abc123  radius-template iwntemp chap
          test-aaa lizl@iwm abc123  radius-template iwntemp chap
          test-aaa lizl abc123  radius-template iwntemp pap
          test-aaa lizl@iwm abc123  radius-template iwntemp pap
       全部提示Info: Account test time out!

       客户反馈radius服务器还创建别的域,测试:
       test-aaa lizl@test abc123  radius-template iwntemp chap 通过
4、 可以确认是客户服务器配置问题,客户修改服务器配置后,了解到客户客户端是windows自带客户端,关闭交换机握手功能(undo dot1x handshake),测试成功,问题解决。

       [802iwn]dis dot1x interface g 0/0/5

        GigabitEthernet0/0/5 status: UP  802.1x protocol is Enabled
            Port control type is Auto
            Authentication method is Port-based
           Reauthentication is disabled
           Maximum users: 1
           Current users: 1
           Guest VLAN is disabled

           Authentication Success: 1          Failure: 68
           EAPOL Packets: TX     : 206        RX     : 150
           Sent      EAPOL Request/Identity Packets  : 51
            EAPOL Request/Challenge Packets : 21
            Multicast Trigger Packets       : 64
            EAPOL Success Packets           : 1
            EAPOL Failure Packets           : 69
           Received  EAPOL Start Packets             : 52
            EAPOL Logoff Packets            : 0
            EAPOL Response/Identity Packets : 77
            EAPOL Response/Challenge Packets: 21

         Online user(s) info:
         UserId   MAC/VLAN            AccessTime              UserName
         ------------------------------------------------------------------------------
         86       f0de-f111-42f3/1    2008/10/01 06:14:13     lizl@test
         ------------------------------------------------------------------------------
         Total 1,1 printed



根因
802.1X认证通过不过,一般需要关注:
1、交换机和radisu 服务器是否路由可达;
2、认证相关配置是否正确;
3、是否将创建的域指定为全局默认域(系统视图 domainXXX);
4、客户端是否支持握手功能;
5、radius  服务器是否下发私有属性,交换机不支持。
建议与总结
802.1X认证通过不过,一般需要检查:
1、交换机和radisu 服务器是否路由可达;
2、认证相关配置是否正确(配置是否对,认证方式是否和服务器一致等);
3、是否将创建的域指定为全局默认域(系统视图 domainXXX);
4、客户端是否支持握手功能(windows自带客户端:交换机去使能dot1x_handshake;H3C客户端:交换机使能dot1x_handshake;中兴客户端:使能dot1x_handshake);
5、radius  服务器是否下发私有属性,交换机不支持。

如果还不能解决问题,建议
1、如果可以抓包,抓交换机接客户端和服务器端报文分析;
2、如果不能抓包,debug相关报文分析(同时debugging cm、debugging radius all 、debugging aaa all、debugging dot1x all,不同版本,执行debug命令视图可能不同)                                
然后在用户视图打开调试总开关打印信息:                                                        
<Quidway>t  d    (中间有空格)                                                              
Info: Current terminal debugging is on.                                        
<Quidway>t  m     (中间有空格)                                                               
Info: Current terminal monitor is on.                                          
<Quidway>d  t  0     (中间有空格)   

收集完之后关闭 
<Quidway>u t d  (中间有空格)   
<Quidway>undo  debugging all

END