锐捷S29G-E V3 802.1X域认证异常
一、故障现象
客户方使用我司S2952 G-E V3交换机替换友商设备做接入开启802.1X域认证,替换之后发现对应部分认证终端无法正常认证使用。 网络拓扑如下:
二、设备型号和版本
设备型号:S2952 G-E V3
设备版本:11.4(1)B74P1
三、故障排查步骤
-
了解域认证的作用以及机制原理。
-
结合原理分析客户方架构使用上是否存在问题。
-
分析配置与架构是否与预期一致。
四、故障排查过程
-
替换友商设备后出现部分终端无法正常认证使用的情况,查看交换机上对应的认证日志,发现异常的认证终端有提示AAA reject日志;
-
根据日志判断是radius服务器拒绝导致,抓取对应上行口报文,发现对应用户的radius报文并未发起;
-
通过抓包明确为我司设备未正常向SAM发起认证导致,检查交换机相关配置,发现交换机有配置域认证。同时通过日志可以发现对应异常的用户均为未携带域名的认证用户,携带域名的认证用户均可正常认证;
-
内部核对相关域认证的处理逻辑,针对开启域认证的802.1X,未携带域名的会走default域,但是由于我司配置中并未配置default域,未配置default域认证失败。(友商设备默认有配置default域,所以可以正常使用)
故障原因总结:开启域认证未配置default域,从而导致被拒绝认证失败。
五、解决方案
增加default域认证配置即可,如下 aaa domain default authentication dot1x xxx accounting network xxx
aaa authentication dot1x default xxx aaa accounting network default xxx
六、故障总结
通过内部与研发核实,针对域认证处理逻辑如下:
-
在开启domain之后(配置aaa domain enable),支持domain认证的业务(如dot1x/web-auth认证)就必须domain认证。认证处理流程如下: 1.1 解析用户名中的域名,如果命中携带了域名,则将域名解析出来,如果没有携带域名,则使用default域 1.2 查找域,如果未配置,则认证失败。 1.3 找到域之后,在域中查找对应的方法名,如果没有配置方法名,则使用全局default方法。 1.4 如果配置域中引用的方法或全局default方法均未配置,则认证失败。配置则使用对应方法进行认证。
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4564.html
文章版权归作者所有,未经允许请勿转载。
THE END
