金融客户终端机接入S5700接入交换机时启用802.1X自动使用系统用户名/密码登陆时失败

发布时间:  2014-12-18 浏览次数:  192 下载次数:  0
问题描述
终端接入设备单独测试802.1X认证功能测试成功。
但由于客户要求,要求在其操作系统设置里配置开机时自动使用系统登陆用户名/密码认证802.1X。
即在终端系统中的网卡设置中将802.1X配置选项中的使用登陆用户名/密码自动认证勾选上后
测试失败。
告警信息
终端认证失败
无法获取地址
处理过程
检查配置。如下
domain ccbuk
dot1x enable
dot1x authentication-method eap
dot1x retry 3

radius-server template radius1
radius-server shared-key cipher 3333333333333333333333
radius-server authentication xxx.xxx.xxx yyy weight 80
radius-server authentication xxx.xxx.xxx yyy weight 40
radius-server accounting xxx.xxx.xxx yyy weight 80
radius-server accounting xxx.xxx.xxx yyy weight 40
radius-server retransmit 2

aaa
authentication-scheme dotx
  authentication-mode radius
accounting-scheme dotx
  accounting-mode radius
domain ccbuk
  authentication-scheme dotx
  accounting-scheme dotx
  radius-server radius1

interface GigabitEthernet0/0/1
  dot1x enable
且当终端将802.1X配置选项中的使用登陆用户名/密码自动认证勾选取消后并单独测试802.1X时可以成功认证。
后在客户radius服务器上发现:
但单独测试802.1X时可以在radius服务器日志中看到成功日志;
在勾选使用登陆用户名/密码自动认证802.1X后,重新开机启动后。认证失败,但日志中看不到任何成功或失败的记录。
说明认证报文没有到达radius服务器设备。
根因
由于华为设备默认使用标准的MSTP生成树协议,从端口down大概需要2×15s进入转发状态。
而客户的设备迅速开机后登陆时,端口尚未进入转发状态。
导致认证报文没有到达radius服务器设备。
解决方案
在端口上加配命令:stp edged-port enable
指定当前的端口为边缘端口。
测试成功。
建议与总结
建议在工程中将需要对接终端或三层接口的等提前配置为边缘端口。以免出现这种不必要的故障。

END