S3700(V100R006)dot1x认证通过后反复重认证
问题描述
S3700和微软的NPS服务器对接做dot1x认证,认证通过后每隔30S会做一次重认证
告警信息
debugging信息如下:
May 24 2017 17:06:57.40.1-05:13 JSJS01 RDS/7/debug2:
Radius Received a Packet
Server Template: 0
Server IP : 10.6.96.20
Server Port : 1812
Protocol: Standard
Code : 11
Len : 239
ID : 70
[Session-Timeout ] [6 ] [30]
[EAP-Message ] [157] [01 66 00 9b 19 80 00 00 00 91 16 03 01 00 51 02 00 00 4d 03 01 59 25 4d 36 8b 3f 95 74 fc 94 35 50 73 59 37 fc 40 ef 58 df e6 24 63 f3 bc 0d 8e 4b 3f 8a 08 79 20 7b 22 00 00 ac 42 29 f6 4f 07 c6 1e d2 a7 fd d7 f9 57 7c 38 81 21 28 b5 e8 ec e9 3f ae a6 86 77 c0 14 00 00 05 ff 01 00 01 00 14 03 01 00 01 01 16 03 01 00 30 27 78 20 69 38 4c 74 d4 04 19 2c 79 b5 20 0e 52 2c ce e9 3d 3e ef e2 bb cb 8b 1c e0 c1 0e 8b 62 66 80 8d 68 57 ca e4 b4 03 ab 1b 3e a3 63 fb a2 ]
[State ] [38] [bp蒥
[Message-Authenticator ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
处理过程
1、检查交换机配置没有发现问题
2、分析debugging信息发现,用户认证通过后,每隔30S就会发起重认证,后经确认微软的NPS服务器默认在chanllenge请求报文携带了session-timeout属性,该属性值为30秒,导致终端dot1x认证成功后每隔30秒会进行重认证,频繁的重认证可能会导致终端重认证失败而下线。
根因
微软的NPS服务器在chanllenge请求报文携带了session-timeout属性,该属性值为30秒,导致终端dot1x认证成功后每隔30秒会进行重认证,频繁的重认证可能会导致终端重认证失败而下线。
解决方案
可以通过以下命令屏蔽设备收到的session-timeout属性:
[HUAWEI] radius-server template skylark
[HUAWEI-radius-skylark] radius-server attribute translate
[HUAWEI-radius-skylark] radius-attribute disable Session-Timeout receive
