S5700 dot1X与赛门铁克准入服务器,PC接入认证异常

发布时间:  2014-07-06 浏览次数:  139 下载次数:  0
问题描述
大致拓扑:


配置

dot1x enable
dot1x authentication-method eap
dot1x dhcp-trigger                       
dot1x timer client-timeout 10
mac-authen
mac-authen domain voice mac-address 0007-0000-0000 mask ffff-0000-0000
mac-authen domain voice mac-address a8b1-d400-0000 mask ffff-ff00-0000

radius-server template 802.1x
radius-server shared-key cipher %@%@nB6j2VCV'WfwVX.pry(KEuXp%@%@
radius-server authentication 10.90.245.7 1812 weight 80
radius-server authentication 10.90.245.8 1812 weight 40
radius-server retransmit 2
radius-server dead-time 1
radius-server detect-server interval 30
aaa
authentication-scheme default
authentication-scheme 802.1x            
  authentication-mode radius none
authentication-scheme noauth
  authentication-mode none
authorization-scheme default
accounting-scheme default
domain default
  authentication-scheme 802.1x
  radius-server 802.1x
domain default_admin
domain voice
  authentication-scheme noauth
local-user shautoit password cipher %@%@DzdG*Y%t"JqxBW!eqSdKrEd"%@%@
local-user shautoit privilege level 3
local-user shautoit service-type telnet terminal
undo local-user admin

interface GigabitEthernet0/0/33
voice-vlan 131 enable
voice-vlan legacy enable
port hybrid pvid vlan 101
undo port hybrid vlan 1
port hybrid tagged vlan 131
port hybrid untagged vlan 101
stp edged-port enable
dot1x mac-bypass mac-auth-first
dot1x mac-bypass
authentication guest-vlan 109
authentication restrict-vlan 108

故障现象:
没有安装802.1x插件的客户端在需认证端口能够直接获取vlan 101网段地址。
安装了802.1x插件的客户端在需认证端口被分配到vlan 108网段
告警信息
通过查看设备的debug信息,发现交换机和赛门铁克服务器之间的信息交互存在问题。设备一直在报Jun  3 2014 20:06:41-05:13 HZSWIDF-03 %%01RDS/4/RDAUTHDOWN(l)[271]:RADIUS authentication server ( IP: 10.90.245.7 Vpn-Instance: -- )  is down!

 
 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 
 

处理过程
修改配置如下:
aaa
authentication-scheme 802.1x           
  authentication-mode radius none ------去掉none
#
接口下增加 critical-vlan,作为服务器down掉以后的逃生通道
interface GigabitEthernet0/0/33
authentication critical eapol-success
authentication critical-vlan 101
#
2.赛门铁克认证服务器时添加华为交换机时,对应的版本修改为09年以后的版本。
根因
1.由于交换机启用了IP话机mac地址免认证功能,客户端接入后,交换机首先采用mac地址认证,查看mac地址是否属于IP话机的mac地址,检查后发现不在mac免认证表项里,所以客户端认证被分配domain default域里进行802.1x认证,但是未安装802.1x插件的客户端默认使用pap方式进行认证,而802.1x服务器使用eap方式进行认证,所以对于802.1x服务器来说不能识别pap方式认证,所以交换机会发现和802.1x服务器之间无法通信,提示802.1x服务器处于宕机状态,交换机默认会把所有未安装802.1x插件的客户端放入vlan 101网段。

2.安装了802.1x插件的客户端并且认证失败的原因为版本不匹配。

END