交换机S5700未修改默认域导致dot1x认证不通过

发布时间:  2014-09-12 浏览次数:  480 下载次数:  45
问题描述
用户反映原来dot1x在思科交换机做认证终结,下接pc机可以进行dot1x认证,但是当思科交换机下接s5700交换机后,在s5700交换机做认证终结,pc机无法通过认证
告警信息
处理过程
进行ping测试,在s5700交换机ping radius服务器,反馈无法ping通,但是用户表示可以通过telnet登录到radius服务器上,确认服务器启动禁ping功能。
在s5700交换机上进行test-aaa 用户名 密码  radius-template name  pap/chap 反馈为错误的用户名和密码,将pc接在思科交换机,在思科交换机做认证终结,认证成功,说明用户名以及密码正确,在s5700交换机进行抓包,发现在交换机上行口没有任何radius报文的交互,仅在下行口有交换机和pc的报文交互,说明交换机没有发送radius报文
反复检查用户的配置,最终确认用户没有配置默认域名,在全局视图下配置domain XXX
用户表示认证通过,问题解决
根因
根据用户的反馈,s5700交换机做认证报文的终结,由于s5700的交换机与radius服务器的通信出现问题导致终端认证的radius报文无法通过,也可能是终端认证出现问题,客户端不支持握手功能(windows自带客户端:交换机去使能dot1x_handshake;H3C客户端:交换机使能dot1x_handshake;中兴客户端:使能dot1x_handshake)
建议与总结
在进行dot1x认证过程时要注意域名的使用,交换机只有一个默认的域名,所以如果下接的用户只有一个域,那么交换机只要启动默认域就可以了,如果用户下面多个认证域,那么除了默认域用户外,在进行dot1x认证的用户需要在用户名后面加上域名,才能认证通过。

END