所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

Agile Controller结合any office 802.1x认证失败问题

发布时间:  2019-07-18  |   浏览次数:  763  |   下载次数:  25  |   作者:  cuijianzhe  |   文档编号: EKB1000906158

目录

问题描述

Agile Controller版本:V100R001C00SPC200

组网概述:

认证服务器ip地址:192.168.2.100

认证网段:192.168.0.0/24-192.168.1.0/24

网关:192.168.0.0192.168.1.0192.168.2.0网段网关都在路由器上设置。

接入交换机设备开启802.1x认证。

 

故障现象:

1、终端开启any office客户端进行1X认证,出现报错204信息,认证失败;

2、在Agile Controller上查看RADIUS日志发现认证成功;

3、      用户192.168.0.0网段认证失败,192.168.1.0网段认证成功;

4、交换机侧查看日志:

[Quidway]disp aaa online-fail-record all
  ------------------------------------------------------------------------------
  User name               : test
  Domain name             : default
  User MAC                : XXXX-XXXX-XXXX

User access type        : 802.1x
  User access interface   : GigabitEthernet0/0/1
  Qinq vlan/User vlan     : 0/1
  User IP address         : -
  User ID                 : 23
  User login time         : 2008/11/08 10:24:43
  User online fail reason : Authenticate fail
  Authen reply message    : -
  ------------------------------------------------------------------------------
服务器侧查看:
test test ROOT 44-37-E6-16-70-8D 192.168.2.6 192.168.2.100 2017-09-20 16:07:46 认证成功 缺省认证规则 缺省授权规则 未识别列表


处理过程

1.      查看服务器与认证设备参数对接正确、用户名密码正确、端口是否占用、以及认证规则的情况是否正确;

2.      192,168,1,0可以认证成功说明秘钥参数是正确的,并且认证网络设备与Agile Controller联动正常;

3.      经过层层排查,从终端、交换机、再到Agile Controller配置逐一查看都是不存在问题的;


4.      此时再查看服务器问题,发现服务器存在单个网卡配置两个ip地址(192.168.2.100以及192.168.0.2),此时,排查结果出来,网卡配置多个ip地址时配置了192.168.0.2ip地址,导致来回流量不一致,在Agile Controller认证成功之后,返回流量源ip变为192.168.0.2,导致接入设备没能接受认证服务器192.168.2.100发出的回应,导致终端认证失败;

5、而终端只知道192.168.2.100是认证服务器,如下接入交换机配置:

radius-server authentication 192.168.2.100 1812 weight 80

radius-server accounting 192.168.2.100 1813 weight 80


根因

由于用户在服务器的网卡配置多个ip地址,导致来回流量信息不一致,源ip在服务器你侧改变,致使终端认证失败;

解决方案

删除服务器上多余的ip地址,只保留认证使用的ip地址;

建议与总结

建议认证设备在作为认证使用时,不要盲目建立多个ip地址从而导致认证失败;