交换机认证报文mac地址格式不一致导致认证失败

发布时间:  2015-06-29 浏览次数:  294 下载次数:  0
问题描述
在典型的认证场景,认证服务器---S5700交换机----IP话机,交换机上部署802.1X认证,认证服务器预设IP的用户名为mac地址。配置完成后发现PC认证不通过;
告警信息
处理过程

1、由于相同的接口和配置,PC使用普通的用户名和密码可以认证通过,IP话机使用mac地址认证不通过,那么问题在于mac认证;
2、从服务器端抓包,发现已经收到认证报文请求;
3、从交换机下行抓包,没有发现认证服务器的应答报文;
4、继续分析服务器端的认证请求报文,对比每一个字段是否符合预期,发现终端主机标识中mac地址的格式为XXXX-XXXX-XXXX,从服务器厂商得知,此服务器只能识别的格式是XX-XX-XX-XX-XX-XX;
5、在交换机上配置calling-station-id mac-format将默认的格式修改为XX-XX-XX-XX-XX-XX
<HUAWEI> system-view
[HUAWEI] radius-server template huawei
[HUAWEI-radius-huawei] calling-station-id mac-format hyphen-split mode2 //此处的mode2就是服务器要求的格式
6、保存配置,重新认证通过

根因
802.1X认证交互中,各个厂家在某些字段的格式默认设置上不统一,导致无法识别;
解决方案

在交换机上配置calling-station-id mac-format将默认的格式修改为XX-XX-XX-XX-XX-XX
<HUAWEI> system-view
[HUAWEI] radius-server template huawei
[HUAWEI-radius-huawei] calling-station-id mac-format hyphen-split mode2

建议与总结

碰到此类问题,可以采用替代法先排除基本的配置问题,若还是无法解决,需要抓包看看问题出在哪里,如果是服务器没有响应,就要分析服务器收到的报文能否满足服务器的要求,如果是类似mac地址格式的问题,可以通过命令行修改,匹配后解决。

END