j'ai compris

L'authentification 802.1x échoue

publié il y a  2021-1-18 13:29:30 90 0 0 0

Salut à tous,

Ce cas parle principalement de l'échec de l'authentification 802.1x.

Description du problème

Version de l'appareil: S5710-28X-LI V200R008C00SPC500.

Configurations clés:

#

radius-server template radius_huawei

radius-server shared-key cipher %^%#6-tBY5@m)-"u](H4(aJA;XT@2Qyr10vpUR%^%#

radius-server authentication 10.197.233.98 1812 weight 80

radius-server accounting 10.197.233.98 1813 source weight 80

radius-server authorization 10.197.233.98 shared-key cipher %^%#n[Y8KJgb4P1a=zL5iCRY%R,M!G!k~ '%^%#

#

aaa

authentication-scheme auth_scheme

authentication-mode radius

accounting-scheme acco_scheme

accounting-mode radius

accounting realtime 15

domain default

authentication-scheme auth_scheme

accounting-scheme acco_scheme

radius-server radius_huawei

#

interface Vlanif233

ip address 10.197.233.252 255.255.254.0

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 233

authentication dot1x

#

Handing Process

1. Check the user access information. The user access status is pre-authenticated.

<huawei> display access-user mac-address 286E-D488-C63C

Basic:

User ID: 26

Domain-name: -

User MAC                       : 286e-d488-c63c

User IP address: 10.197.233.2

User vpn-instance: -

User access Interface: GigabitEthernet0/0/8

User vlan event: Pre-authen

QinQVlan/UserVlan: 0/233

User access time               : 2020/12/02 11:38:20

Option82 information: -

User access type: None

Terminal Device Type: Data Terminal


AAA:

User authentication type: No authentication

Current authentication method: -

Current authorization method: Local

Current accounting method: None


2. Check the trace information. It is found that the device receives the EAP Challenge Response packet from the terminal.

[huawei] trace enable

[huawei] trace object mac-address 286e-d488-c63c

[BTRACE][2020/12/03 13:15:11][EAPoL][286e-d488-c63c]:Receive a ARP packet from user.

[BTRACE][2020/12/03 13:15:11][EAPoL][286e-d488-c63c]:User(MAC:) existed in temp user table.

[BTRACE][2020/12/03 13:15:11][EAPoL][286e-d488-c63c]:User(MAC:)  has been online.

[BTRACE][2020/12/03 13:15:21][EAPoL][286e-d488-c63c]:No response of request identity from user.

[BTRACE][2020/12/03 13:15:21][EAPoL][286e-d488-c63c]:Resend a EAPoL request identity packet to user.

[BTRACE][2020/12/03 13:15:21][EAPoL][286e-d488-c63c]:Receive a EAPoL response identity packet from user.

[BTRACE][2020/12/03 13:15:21][EAPoL][286e-d488-c63c]:Send a EAPoL request challenge packet to user.

[BTRACE][2020/12/03 13:15:21][EAPoL][286e-d488-c63c]:Receive a EAPoL response challenge packet from user.

[BTRACE][2020/12/03 13:15:26][EAPoL][286e-d488-c63c]:No response of request challenge from user.

[BTRACE][2020/12/03 13:15:26][EAPoL][286e-d488-c63c]:Resend a EAPoL request challenge packet to user.

[BTRACE][2020/12/03 13:15:26][EAPoL][286e-d488-c63c]:Receive a EAPoL response challenge packet from user.

[BTRACE][2020/12/03 13:15:31][EAPoL][286e-d488-c63c]:No response of request challenge from user.

[BTRACE][2020/12/03 13:15:31][EAPoL][286e-d488-c63c]:Resend a EAPoL request challenge packet to user.

[BTRACE][2020/12/03 13:15:31][EAPoL][286e-d488-c63c]:Receive a EAPoL response challenge packet from user.

[BTRACE][2020/12/03 13:15:32][EAPoL][286e-d488-c63c]:Receive a ARP packet from user.

[BTRACE][2020/12/03 13:15:32][EAPoL][286e-d488-c63c]:User(MAC:) existed in temp user table.

[BTRACE][2020/12/03 13:15:32][EAPoL][286e-d488-c63c]:User(MAC:)  has been online.

[BTRACE][2020/12/03 13:15:36][EAPoL][286e-d488-c63c]:No response of request challenge from user.

[BTRACE][2020/12/03 13:15:36][EAPoL][286e-d488-c63c]:Send EAP-Failure packet to user.


3. On soupçonne que le traitement des paquets EAP est anormal. Dans l'authentification 802.1X, l'appareil échange des informations d'authentification avec le serveur RADIUS dans l'un des modes suivants:

Résiliation du PAE: 

Le périphérique met fin aux paquets EAP. Le périphérique encapsule les informations d'authentification client dans des paquets RADIUS standard, qui sont ensuite authentifiés par le serveur RADIUS à l'aide du protocole PAP (Password Authentication Protocol) ou du Challenge Handshake Authentication Protocol (CHAP). Ce mode d'authentification est applicable car la majorité des serveurs RADIUS prennent en charge l'authentification PAP et CHAP et la mise à jour du serveur n'est pas nécessaire. Cependant, le traitement du périphérique est complexe et le périphérique prend uniquement en charge la méthode d'authentification MD5-Challenge EAP.

Relais EAP: 

L'appareil relaie les paquets EAP. Le périphérique encapsule les paquets EAP au format EAP sur RADIUS (EAPoR) et envoie les paquets au serveur RADIUS pour authentification. Ce mode d'authentification simplifie le traitement de l'appareil et prend en charge diverses méthodes d'authentification EAP, telles que MD5-Challenge, EAP-TLS et PEAP. Cependant, le serveur RADIUS doit prendre en charge les méthodes d'authentification correspondantes.

Reportez-vous à:  https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126530&id=EN-US_CONCEPT_0176369118&lang=en


4. Lorsque l'authentification RADIUS est utilisée, le mode de traitement des paquets 802.1X doit être défini sur Relais EAP. Dans V200R008, cependant, le périphérique utilise l'authentification CHAP de terminaison EAP par défaut. Par conséquent, le mode de traitement des paquets 802.1X doit être défini sur relais EAP globalement.

[huawei] dot1x authentication-method eap


Après la configuration, l'authentification réussit.

Cause première

Les paquets 802.1X ne sont pas traités correctement.

Solution

Lorsque l'authentification RADIUS est utilisée, définissez le mode de traitement des paquets 802.1X sur Relais EAP.

[huawei] dot1x authentication-method eap


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.