所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

S5700配置802.1X联动ACS认证不通

发布时间:  2019-07-10  |   浏览次数:  1048  |   下载次数:  2  |   作者:  bWX466224  |   文档编号: EKB1000660633

目录

问题描述

组网:PC---S5700---ACS(RADIUS);
PC使用windows自带的8021x客户端去认证,无法认证成功;
关键配置如下:

#
domain 802.1x
#
dot1x enable
dot1x authentication-method eap
dot1x retry 3
#
radius-server template 802.1x
 radius-server authentication 192.168.253.100 1812 weight 80
 radius-server accounting 192.168.253.100 1812 weight 80
 radius-server retransmit 2
 undo radius-server user-name domain-included
 calling-station-id mac-format hyphen-split mode2 uppercase
radius-server authorization 192.168.253.100 shared-key cipher %@%@*1t|R$'oE~]vvr0V41BPV/bE%@%@ 
#
aaa
 authentication-scheme 802.1x
  authentication-mode radius
 accounting-scheme 802.1x
  accounting-mode radius
  accounting realtime 3
 domain 802.1x
  authentication-scheme 802.1x
  accounting-scheme 802.1x
  radius-server 802.1x

处理过程

1.检查radius模板配置是否正确:
 [NM-WH-WD-XXZX-H5700-L3-GigabitEthernet0/0/3]test-aaa test test radius-template 802.1x
 Info: Account test succeed.
test-aaa测试时succeed,说明对接参数没有问题;
2.在认证的时候开启trace信息,trace终端的mac地址,关键信息如下:
[BTRACE][2017/05/26 17:01:08][RADIUS][74d4-XXXX-922e]:Receive authentication request message from AAA module.
[BTRACE][2017/05/26 17:01:08][RADIUS][74d4-XXXX-922e]:
  Send a authentication request packet to radius server( server ip = 192.168.253.100).
[BTRACE][2017/05/26 17:01:08][RADIUS][74d4-XXXX-922e]:
  Server Template: 0
  Server IP   : 192.168.253.100
  Protocol: Standard
  Code    : 1
  Len     : 285
  ID      : 53
  [User-Name                          ] [6 ] [test]
  [NAS-Port                           ] [6 ] [12428]
  [Service-Type                       ] [6 ] [2]
  [Framed-Protocol                    ] [6 ] [4294967295]
  [Calling-Station-Id                 ] [19] [37 34 2D 44 34 2D 33 35 2D 43 37 2D 39 32 2D 32 45 ]
  [NAS-Identifier                     ] [24] [NM-WH-WD-XXZX-H5700-L3]
  [NAS-Port-Type                      ] [6 ] [15]
  [NAS-Port-Id                        ] [36] [slot=0;subslot=0;port=3;vlanid=140]
  [State                              ] [32] [27SessionID=acs/283426346/316;]
  [EAP-Message                        ] [8 ] [02 7c 00 06 03 19 ]
  [Message-Authenticator              ] [18] [47 c7 38 62 86 13 8c b9 4f 89 41 23 76 40 ac 9f ]
  [Login-IP-Host                      ] [6 ] [0]
[BTRACE][2017/05/26 17:01:08][EAPoL][74d4-XXXX-922e]:Receive a DHCP packet from user.
[BTRACE][2017/05/26 17:01:08][EAPoL][74d4-XXXX-922e]:User(MAC:74d4-XXXX-922e) existed in temp user table.
[BTRACE][2017/05/26 17:01:09][RADIUS][74d4-XXXX-922e]:
  [NAS-IP-Address                     ] [6 ] [192.168.253.254]
  [Framed-Mtu                         ] [6 ] [1500]
  [HW-NAS-Startup-Time-Stamp          ] [6 ] [1494605777]
  [HW-IP-Host-Address                 ] [35] [255.255.255.255 74:XX:XX:c7:92:2e]
  [HW-Connect-ID                      ] [6 ] [135]
  [HW-Version                         ] [14] [Huawei S5700]
  [HW-Product-ID                      ] [7 ] [S5700]
  [HW-Access-Type                     ] [6 ] [0]
[BTRACE][2017/05/26 17:01:10][RADIUS][74d4-XXXX-922e]:
 Received a authentication reject packet from radius server(server ip = 192.168.253.100).//radius服务器回了一个reject报文;
在认证的时候在PC和radius服务器同时开启报文头分析,关键报文如下:



终端使用的是EAP-PEAP认证,服务器使用的EAP-MD5认证,二者不匹配

根因

终端使用的是EAP-PEAP认证,服务器使用的EAP-MD5认证,二者不匹配

解决方案

radius服务器ACS上需要勾选支持EAP-PEAP认证;