ME60做802.1X认证中继,客户端已发送EAP response,ME60未接收到

发布时间:  2017-03-30 浏览次数:  229 下载次数:  1
问题描述

ME60802.1X认证中继,客户端已发送EAP  responseME60未接收到。

ME60SAM路由可达;核心交换机S12708和接入交换机透传VLANME60子接口;SAM上添加ME60信任。

ME60配置参考产品文档,链接如下:

http://support.huawei.com/ehedex/hdx.do?lib=DOC100003434930003808&docid=DOC1000034349&v=01&tocLib=DOC100003434930003808&tocV=01&id=30003808_01_18817&tocURL=resources%2FPublic_me60%2528all%2529%2Fne%2Fdc_ne_cfg_013593.html&p=t&fe=1&ui=3&keyword=1x&clientWidth=1350&browseTime=1490863578850

组网图如下所示:


告警信息

在ME60上采用debug信息如下:

<HUEL-A-MC-BAS01-ME60>

Mar  8 2017 14:42:18.350.3 HUEL-A-MC-BAS01-ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=0][UCM][user info:

  MAC Address    : 0026-2DF6-4E0B

  IP Address     : 255.255.255.255 

  Interface      : GigabitEthernet2/0/1.2001

  PE VLAN ID     : 2001]

[trace info:[CM State]Cib:59688 Event:CONN_REQ State From IDLE BUTT To ALLOC BUTT]

<HUEL-A-MC-BAS01-ME60>

Mar  8 2017 14:42:18.350.4 HUEL-A-MC-BAS01-ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=0][UCM][user info:

  MAC Address    : 0026-2DF6-4E0B

  IP Address     : 255.255.255.255 

  Interface      : GigabitEthernet2/0/1.2001

  PE VLAN ID     : 2001]

[trace info:UCM send a connection ACK to Channel:221.]

<HUEL-A-MC-BAS01-ME60>

Mar  8 2017 14:42:18.350.5 HUEL-A-MC-BAS01-ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=2][EAPOL][user info:

  MAC Address    : 0026-2DF6-4E0B

  Interface      : GigabitEthernet2/0/1.2001

  CE VLAN ID     : 2001]

[trace info:EAPoL receive CIB ack message from CM and request CIB successfully(Dot1x index = 47797)]

<HUEL-A-MC-BAS01-ME60>

Mar  8 2017 14:42:18.350.6 HUEL-A-MC-BAS01-ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=2][EAPOL][user info:

  MAC Address    : 0026-2DF6-4E0B

  Interface      : GigabitEthernet2/0/1.2001

  CE VLAN ID     : 2001]

[trace info:EAPoL send EAPOL-request/id packet to PAE and set timer(Dot1x index = 47797)]

<HUEL-A-MC-BAS01-ME60>

Mar  8 2017 14:42:38.350.1 HUEL-A-MC-BAS01-ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=2][EAPOL][user info:

  MAC Address    : 0026-2DF6-4E0B

  Interface      : GigabitEthernet2/0/1.2001

  CE VLAN ID     : 2001]

[trace info:EAPoL resend EAPOL_request packet to PAE and set timer(Dot1x index = 47797)]


<HUEL-A-MC-BAS01-ME60>

Mar  8 2017 14:42:58.350.1 HUEL-A-MC-BAS01-ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=2][EAPOL][user info:

  MAC Address    : 0026-2DF6-4E0B

  Interface      : GigabitEthernet2/0/1.2001

  CE VLAN ID     : 2001]

[trace info:EAPoL resend EAPOL_request packet to PAE and set timer(Dot1x index = 47797)]

<HUEL-A-MC-BAS01-ME60>

Mar  8 2017 14:43:18.350.1 HUEL-A-MC-BAS01-ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=0][UCM][user info:

  MAC Address    : 0026-2DF6-4E0B

  IP Address     : 255.255.255.255 

  Interface      : GigabitEthernet2/0/1.2001

  PE VLAN ID     : 2001]

[trace info:[CM State]Cib:59688 Event:CONN_DOWN State From ALLOC BUTT To DELETING BUTT]

<HUEL-A-MC-BAS01-ME60>

Mar  8 2017 14:43:18.350.2 HUEL-A-MC-BAS01-ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=2][EAPOL][user info:

  MAC Address    : 0026-2DF6-4E0B

  Interface      : GigabitEthernet2/0/1.2001

  CE VLAN ID     : 2001]

[trace info:EAPoL resend EAPOL_request packet to PAE and set timer(Dot1x index = 47797)]

<HUEL-A-MC-BAS01-ME60>

Mar  8 2017 14:43:18.350.3 HUEL-A-MC-BAS01-ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=2][EAPOL][user info:

  MAC Address    : 0026-2DF6-4E0B

  Interface      : GigabitEthernet2/0/1.2001

  CE VLAN ID     : 2001]

[trace info:EAPoL send cutting user request to CM and set timer(Dot1x index = 47797)]

客户端抓包如下所示:



处理过程

1,首先在客户端进行抓包,对抓包结果进行分析,抓包结果见告警信息中的客户端抓包结果截图,从抓包信息中可以看出,可以端是发送了EAP信息,客户端发送EAP认证报文是正常的。

2,在ME60上开启debug信息,查看ME60的debug报文,对debug报文进行分析,可以看出ME60没有收到EAP response信息。

 

根因

ME60没有收到EAP报文信息,可以看出问题是出在中间链路中而且是问题在中间链路中的S12708上。

查看S12708的文档之后有这样的一段话:

802.1X认证过的EAP协议报文,是一种BPDU报文。对于BPDU报文,华为公司的交换机设备当前缺省是不做二层转发的。因此如果使能802.1x的设备和用户之间还存在二层交换机,就必须在其上配置二层透明传输,否则用户发送的EAP报文将无法到达认证设备,用户自然无法通过认证。

参考链接:

http://support.huawei.com/ehedex/hdx.do?lib=DOC100005799331188138&docid=DOC1000057993&v=04&tocLib=DOC100005799331188138&tocV=04&id=dc_cfg_nac_2003u_5&tocURL=resources%2Fdc%2Fdc_s_fuc_nac_003.html&p=t&fe=1&ui=3&keyword=1x&clientWidth=1350&browseTime=1490867576990

解决方案

1,在S12708系统视图下执行命令:

l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002

2,S12708到接入交换机的下行接口下面配置命令:

l2protocol-tunnel user-defined-protocol dot1x enable



建议与总结

用户的802.1X认证调测过程中,需要了解华为的设备的特性,特别是了解认证报文经过的设备的特性。这样问题就会很容易的解决。

END