锐捷S2928G-E下联终端802.1X认证失败
一、故障现象
S2928G-E交换机作为NAS,下联AP,终端连接在AP的有线口上,进行802.1x认证时会失败。 网络拓扑如下:
二、设备型号和版本
设备型号:RG-S2928G-E 软件版本:RGOS 10.4(2b12)p1 Release(160818)
三、故障排查步骤
-
首先在交换机上下行口抓包,看下具体是哪个报文交互过程出现了问题;
-
明确了具体哪个报文交互异常之后,再排查对应的原因;
四、故障排查过程
-
终端802.1x认证失败时,在交换机上抓包发现交换机有给终端发送EAP request报文,但是没有收到终端回复的EAP respone报文
-
在对应的终端上抓包,发现终端有发出EAPOL start报文,但是没有收到NAS回复的EAP request报文,说明交换机回复的EAP request报文被AP给过滤了
-
协调无线工程师协助排查,发现交换机发送的eap request报文的vlan id是1,而终端发送的eapol start报文vlan id是130,两者vlan id不一致,所以丢弃了
-
协调现场抓取交换机下联口带vlan tag的报文,发现终端上来的eapol start报文的vlan id是130
而交换机回复的eap request报文的vlan id是221
对应18口的native vlan是221,则交换机发出去的报文不带vlan tag,使得ap收到交换机给终端发的eap request报文不带vlan id,被识别为vlan 1
-
内部查询对应资料,了解到IEEE 802.1x 约定 EAPOL 报文不能加 VLAN TAG,所以交换机给终端回复的eap报文不带vlan tag,需要配置对应命令打开相应开关才能输出带vlan tag的报文。
故障原因总结:通过上述分析,定位故障原因为配置问题。由于交换机缺少打开输出带vlan tag的EAP报文的命令,导致交换机回复的EAP request报文被AP丢弃了,从而导致终端802.1x认证失败。
五、解决方案
在交换机全局配置模式下配置以下命令解决: (config)#dot1x eapol-tag
命令解释如下:
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4524.html
文章版权归作者所有,未经允许请勿转载。
THE END
