S5700做802.1x无盘终端准入认证不成功

发布时间:  2016-12-19 浏览次数:  234 下载次数:  9
问题描述
现网版本:交换机S5700-SI: V200R002C00SPC100
802.1x准入认证后有部分无盘终端认证不成功。
处理过程
1、 查看用户认证状态:

认证不通过状态:
<S5700>display dot1x interface GigabitEthernet  0/0/2
  Silent MAC info:
    d4be-d9c6-8c7f
  1 silent mac address(es) found, 1 printed.

发现用户认证未通过,被加入到了静默周期中,为防止用户频繁认证对系统造成冲击,在静默期间,S5700交换机会丢弃该用户的802.1x认证请求。

经过分析,需要关闭静默功能,配置undo dot1x quiet-period后,发现用户认证可以通过,但通过DHCP获取IP地址时间超过1分钟。

认证通过状态:
< S5700 > display dot1x interface GigabitEthernet  0/0/2                                                                                                                                                                                                                      
                                                                  
  Sent      EAPOL Request/Identity Packets  : 4                                                                                   
            EAPOL Request/Challenge Packets : 5                                                                                   
            Multicast Trigger Packets       : 0                                                                                   
            EAPOL Success Packets           : 4                                                                                   
            EAPOL Failure Packets           : 0                                                                                   
  Received  EAPOL Start Packets             : 4                                                                                   
            EAPOL Logoff Packets            : 0                                                                                   
            EAPOL Response/Identity Packets : 4                                                                                   
            EAPOL Response/Challenge Packets: 4                                                                                                                                                                                                                     
Online user(s) info:                                                                                                             
UserId   MAC/VLAN            AccessTime              UserName                                                                    
------------------------------------------------------------------------------                                                   
317      d4be-d9c6-8c7f/311  2008/10/09 06:27:06     d4bed9c68c7f                                                                
------------------------------------------------------------------------------                                                   
Total 1,1 printed

2、   通过抓包分析:

在终端接口镜像抓包后,当终端发出4个DHCP DISCOVER报文后才有DHCP服务器回复的OFFER报文,在交换机上行出口处抓包只有1个DISCOVER报文被转发,说明前3个DISCOVER报文并没有被转发出去。通过抓包的对比D厂家-X机型与D厂家-XX机型用户的认证状态,观察在第一次发送DHCP DISCOVER广播报文认证过程中,网卡端口DOWN时间过长,导致认证不通过,端口UP后交换机检测为用户MAC认证失败,将用户MAC加入静默周期等待10s后重新认证,D厂家-X机型后续第二、三个DHCP报文将不处理认证。10s后续静默结束,第四个DHCP DISCOVER包正常认证完成,即获取到地址。

不正常D厂家-X机型终端的DHCP抓包:



正常D厂家-XX机型终端的DHCP抓包:



通过抓包分析,由于D厂家-X机型的DHCP DISCOVER报文发送的时间间隔长,且前两个DHCP DISCOVER报文没有触发MAC认证,最后通过在S5700交换机上dot1x timer tx-period 1配置修改了发送认证请求的时间间隔为1s,解决了前面所遇到的4次DHCP DISCOVER报文才能获取到地址的问题。

修改配置后的D厂家-X机型终端的DHCP抓包:



这样的触发认证及获取地址的过程是正常的,但未能解决IP地址获取时间长的问题,可以看出终端在收到DHCP服务器回复的OFFER报文后,经过32s后才发送REQUEST报文来请求需要分配IP地址,所以才导致用户认证通过后,获取IP地址时间很长的原因。
根因
部分终端可以认证通过,说明802.1x配置是正确的,但还是有少部分终端认证不通过,可能问题还是终端配置。需要通过抓包来进一步分析,确定问题的根本原因。
建议与总结
后续涉及此类对接,注意早期网卡兼容性问题,避免问题再次发生。

END