CE5800(V100R003C10SPC100) 配置802.1X 终端认证失败

发布时间:  2015-03-28 浏览次数:  192 下载次数:  0
问题描述
客户网络中存在大量的S系列交换机如S7706等作为802.1X认证接入设备,运行稳定。由于网络规模扩大又采购了几台CE5800(V100R003C10SPC100)交换机作为802.1X接入设备,将原S系列交换机的配置翻译到CE5800上后测试客户端始终无法认证成功。
告警信息

在服务器后台查看一直报告错误:miss calling station

处理过程

1. 核对与其他S系列交换机的配置,没有发现有配置的差异;

2. 在交换机上打开debug抓包发现如下信息:

User name                      : SSA(XX-XX-XX-XX-XX-XX)   //MAC地址已经替换
Domain name                    : XXXX                     //域名已经替换
User access type               : VLAN-EAP
User IP address                : -
User ID                        : 11
User authen state              : Failed
User author state              : AuthorIdle
User login time                : 2015-03-17 14:28:24
Online fail reason             : Server no response

3. 到此怀疑是因为CE5800发送上去的radius报文没有携带calling-station属性,而上端服务器又必须要认证该属性,因而导致认证失败;

4. 通过抓包进一步确认CE5800 radius的request报文中不携带该参数,对比S7706的交换机发送的radius报文是携带了此参数。

根因
由于CE5800通过EAP-MD5进行802.1X认证时,在发送radius报文中不携带calling station参数,而服务器端又要强制进行认证因而认证不通过。
解决方案
由于CE5800交换机上无法修改calling sation属性,该环境中只能修改中心认证服务器解决问题。

END