S5700的dot1x问题

发布时间:  2017-03-24 浏览次数:  294 下载次数:  0
问题描述
拓扑:



客户需求是:IP电话机无需认证通过DHCP server获取voice vlan 200IP地址上线。客户PC通过dot1x认证获上线,也是通过DHCP serser获取ip地址。

配置完配置后,IP电话能获取到voice vlan 200ip上线,合法pc1也能获取date vlan 10ip地址上线。

问题:非法pc2客户端启用dot1x验证协议时,认证无法通过,无法获取ip地址上线,这是正常的。

但当非法pc2客户端不启用dot1x验证协议时,照样正常获取了data vlan 20 ip上线,这不应该出现。

主要配置如下(脚本详细见附件):

1)普通pc dot1x认证上线配置:

domain dot1x

dot1x enable 
dot1x authentication-method eap 
dot1x retry 3 


dhcp enable

#

radius-server template dot1x 
radius-server shared-key cipher XXX 
radius-server authentication X.X.X.13 1645 source ip-address X.X.X.237 weight 80 
radius-server accounting X.X.X.13 1646 source ip-address X.X.X.X.237 weight 80 
radius-server retransmit 2 
undo radius-server user-name domain-included

aaa

authentication-scheme dot1x 

authentication-mode radius none

accounting-scheme dot1x 
accounting-mode radius 
accounting start-fail online

domain dot1x 
authentication-scheme dot1x 
accounting-scheme dot1x 
radius-server dot1x

2)电话机通过mac 旁路认证如下:

mac-authen domain phone mac-address 000b-8200-0000 mask ffff-ff00-0000 

voice-vlan mac-address 000b-8200-0000 mask ffff-ff00-0000 description iphone

aaa

    authentication-scheme phone 

    authentication-mode none

domain phone 
authentication-scheme phone

3)其它配置如下:

vlan batch 10 20 100 200

interface GigabitEthernet0/0/2 (dot1x服务器)
port link-type access 
port default vlan 10 
multicast-suppression 5 
broadcast-suppression 5

interface GigabitEthernet0/0/6 (接客户电脑)
port link-type access 
port default vlan 10 
stp edged-port enable 
dot1x enable 
multicast-suppression 5 
broadcast-suppression 5

interface GigabitEthernet0/0/11 (IP电话)
voice-vlan 200 enable 
voice-vlan remark-mode mac-address 
voice-vlan legacy enable 
port hybrid pvid vlan 20 
port hybrid tagged vlan 200 
port hybrid untagged vlan 20 
dot1x mac-bypass 

interface GigabitEthernet0/0/24 (接dhcp server)
port link-type trunk 
port trunk allow-pass vlan 2 to 4094


告警信息

处理过程

1.查看log 日志

<Huawei_Test>

Sep 16 2015 14:45:54+08:00 Huawei_Test %%01RDS/4/RDAUTHDOWN(l)[17]:RADIUS authentication server ( IP: X.X.X.13 Vpn-Instance: -- )  is down!

并且通过捉包发现,交换机向服务器发送dot1x认证请求,没有收到有服务器的回应,认为dot1X服务器down.

S5700接口配置dot1x mac-bypass时认证过程如下:

1)PC先发免费ARP给交换机

2)交换机发eap包向电脑探测,如果客户PC端没有启用dot1x,MAC认证,跑phone域查MAC,

如果没有查找到,则发送用户名、密码都是MAC地址到dot1x服务器认证,发现服务器没有回应,则认为服务down,则跑none认证。

根因

交换机向服务器发送dot1x认证请求,发现服务器没有回应,则认为服务down,则跑none认证。

解决方案

1.增加如下命令:

mac-authen domain default


此时,S5700接口配置dot1x mac-bypass时认证过程如下:

1)PC先发免费ARP给交换机

2)交换机发eap包向电脑探测,如果客户PC端没有启用dot1x,MAC认证,跑phone域查MAC,

如果没有查找到对应的MAC地址,匹配default域,用匹配default域的方法上线(本地帐号里面有用户名、密码都是MAC也可以上线以,如果没有不能上线)。

 

3)交换机发eap给电脑探测,如果启用dot1x,则服务器认证;当服务down,none认证上线。

建议与总结
理解dot1x的认证过程很重要

END