锐捷S2952G-E下联终端1X认证失败
一、故障现象
S2952G-E交换机下联的无线终端使用客户端认证出现连接服务器超时导致认证失败,NAS是核心18k。 网络拓扑如下:
二、设备型号和版本
设备型号:S2952G-E
软件版本号:10.4(2b12)p1T4 Release(164693)
三、故障排查步骤
-
通过终端的故障现象判断可能存在的原因
-
确定故障怀疑点后现场条件允许的情况下进行抓包分析
-
分析报文后确定故障设备,故障设备优先排查配置环境等非软件问题
-
确定配置或者异常点后进行验证,若非发现异常点需要进一步收集信息分析
-
最终确定机制逻辑和影响面定位故障原因
四、故障排查过程
-
在终端侧进行抓包以及认证客户端的提示:无法连接认证服务器,可以判断出终端正常发出EAP报文,但是没有收到NAS设备的EAP request报文,判断可能在中间链路上EAP报文异常被丢弃了。
-
继续通过该方式,在故障交换机2952G-E的下联口和上联口抓包分析,发现在下联口收到EAP报文后,上联口没有发出EAP报文,可以确定故障点为这台2952G-E交换机,需要进一步判断故障原因。
-
针对故障2952G-E交换机进行配置检查,发现残留一个21口上调用了1X受控功能,结合10.X平台特殊的1X报文处理机制,可以判断出该配置影响整体EAP报文透传,针对命令进行删除后验证能正常认证。
故障总结:由于10.X特殊的机制,交换机若开启的802.1X受控端口功能,其他非受控端口的EAP报文无法透传,交换机会送到CPU自身处理,导致用户的认证报文无法上送到核心设备,最终认证超时。
五、解决方案
针对10.X平台特殊机制,目前推荐的解决方案为:
设备端删除不需要的认证命令,实现EAP报文透传功能
六、故障总结
技术原理总结:
-
需要了解到10.X设备1认证机制,目前验证10.X均有该机制,若设备的角色是NAS设备也需要透传EAP报文的时候,无法满足透传功能,会将所有的EAP报文送到EAP进行处理;
-
针对该机制目前暂时无解,需要将设备的受控功能删除后才行。
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4525.html
文章版权归作者所有,未经允许请勿转载。
THE END
