[Resolución de problemas de la serie] Caso 16 Las STA no pueden asociarse con una WLAN (autenticación 802.1X)

68 0 0 0

Las STA no se asocian con una WLAN (autenticación 802.1X)

Topología de la red

Topología de red física


Figura 1-1 Red donde las STA no pueden asociarse con una WLAN (autenticación 802.1X)


085932vennt8te17ex4xta.png

Descripción de la falla


Las STA no se asocian con el figo SSID, y se informa de un mensaje de error que indica un error de datos de Autorización.


Archivo de configuración

http secure-server ssl-policy default_policy 
 http server enable
authentication-profile name figo 
 dot1x-access-profile figo 
 authentication-scheme figo 
 accounting-scheme figo 
 radius-server figo 
#
radius-server template default 
radius-server template radius 
radius-server template figo 
 radius-server authentication 10.220.7.129 1812 weight 80 
 radius-server accounting 10.220.7.129 1813 weight 80 
#
interface Vlanif220 
 ip address 10.220.7.26 255.255.254.0 

interface GigabitEthernet0/0/1 
 port link-type trunk 
 port trunk pvid vlan 220 
 undo port trunk allow-pass vlan 1 
 port trunk allow-pass vlan 95 220 
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 

capwap source interface vlanif95 
capwap echo interval 20

wlan 
 ac protect enable protect-ac 192.168.95.2 priority 2 
 traffic-profile name default 
 security-profile name HR 
 security-profile name NOC 
  security wpa2 psk pass-phrase %^%#R/`*<=`b9&q*IE3~RMl+]o4`U"S8d6M#}^@`mdCM%^%# aes 
 security-profile name TAC 
  security wpa-wpa2 psk pass-phrase %^%#amhD<!7|CH~q=NPoQCwMy@{3%M[c8(5t[A+-b,w"%^%# aes 
 security-profile name figo 
  security wpa2 dot1x aes 

device-profile profile-name @default_device_profile 
 device-type default_type_phone 
 enable 
 rule 0 user-agent sub-match Android 
 rule 1 user-agent sub-match iPhone 
 rule 2 user-agent sub-match iPad 
 if-match rule 0 or rule 1 or rule 2 

dot1x-access-profile name dot1x_access_profile 
dot1x-access-profile name figo 

mac-access-profile name mac_access_profile 
mac-access-profile name test 
mac-access-profile name HR 
 mac-authen username macaddress format with-hyphen password cipher %^%#PbW@=jkQFP.wN\L+a)1NyU}F+,%o/;wOX&T`5V}U%^%# 
mac-access-profile name figo 
#


Localización de fallas



Paso 1 Verifique el perfil de autenticación en el perfil VAP.


Ejecute la configuración actual de la pantalla para verificar el perfil de autenticación en el perfil de VAP que asigna el figo SSID, y verifique el modo de autenticación en el perfil de autenticación.



wlan 
 vap-profile name figo 
   forward-mode tunnel 
   service-vlan vlan-id 201 
   ssid-profile figo 
   security-profile figo 
   authentication-profile figo 

authentication-profile name figo 
 dot1x-access-profile figo 
 authentication-scheme figo 
 accounting-scheme figo 
 radius-server figo


Como resultado, wo puede encontrar que el modo de autenticación es la autenticación 802.1X. En función del modo de autenticación que se muestra (autenticación 802.1X), busque en la documentación del producto el ejemplo de configuración: Ejemplo para configurar la autenticación 802.1X (AAA en modo RADIUS).


Paso 2 Verifique el motivo por el cual una STA no se conectó.


Ejecute el comando display station online-fail-record para visualizar los registros de falla en línea de STA.


<R1U38-AC6005> display station online-fail-record sta-mac 5068-0a10-46f6 


Rf/WLAN: Radio ID/WLAN ID 
------------------------------------------------------------------------------ 
STA MAC         AP ID Ap name  Rf/WLAN    Last record time 
                Reason 
------------------------------------------------------------------------------ 
5068-0a10-46f6  1     d4c8-b02b-5220 0/1  2018-01-09/04:42:56 
                Authorization data error 
                0     d4c8-b02b-5b80 0/1  2018-01-09/01:02:52 
                Authorization data error 
------------------------------------------------------------------------------ 
Total stations: 1 Total records: 2


Paso 3 Rastrea el STA que no pudo conectarse.


Habilite la prueba trace-aaa para probar la conectividad al servidor RADIUS y ejecute el comando del objeto trace para rastrear la STA que no se conectó.


[R1U38-AC6005] trace enable 
[R1U38-AC6005] trace object mac-address 5068-0a10-46f6

085959kein7izxx7wxn4sa.png


De acuerdo con la información de rastreo, el error de verificación de datos de autenticación se debe a la autorización VLAN 10 entregada por el servidor.


Solución: Crear VLAN 10 en la CA.


[R1U38-AC6005] vlan batch 10 
[R1U38-AC6005] interface Vlanif10 
[R1U38-AC6005-Vlanif10] ip address 192.168.10.1 255.255.255.0 
[R1U38-AC6005-Vlanif10] dhcp select interface


Asocie la STA con el SSID nuevamente y verifique el estado de la STA.


<R1U38-AC6005> display access-user 
 ---------------------------------------------------------------------------------------- 
 UserID Username                       IP address                MAC            Status  
 ---------------------------------------------------------------------------------------- 
 255    figo                           192.168.10.199            5068-0a10-46f6 Success 
 ---------------------------------------------------------------------------------------- 
 Total: 1, printed: 1


La STA está en línea en la CA, y la falla se corrige. Deshabilita la función de rastreo en la CA


[R1U38-AC6005] undo trace enable 
[R1U38-AC6005] undo trace object all


Causa principal


La autorización VLAN 10 está configurada en el servidor RADIUS, pero VLAN 10 no está configurada en el AC. Como resultado, la CA no puede verificar la VLAN de autorización entregada por el servidor RADIUS. La autenticación falla y las STA no se asocian con la WLAN.



  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje