Ошибка аутентификации 802.1x на AC6005

47 0 0 0

Ошибка аутентификации 802.1x на AC6005 (V200R006C10SPC100)

 

[Описание]

Аутентификация 802.1x, master-backup RADIUS и главный сервер RADIUS не работают, XXXX-XXXX-2cc0 и XXXX-XXXX-febe могут успешно пройти аутентификацию, но XXXX-XXXX-7581 не удалось.

 

[Процесс]

После того, как конфигурация сервера accounting удалена, AC не будет осуществлять учет для пользователей. Это предотвращает сбой в сети, вызванный отсутствием ответа от сервера учета.

1. Протестировано 3 терминала с MAC-адресом (XXXX-XXXX-2cc0 XXXX-XXXX-febe и XXXX-XXXX-7581). Только один терминал - XXXX-XXXX-7581 с этой проблемой.

 146190472137351753 - 副本.jpg

2. Когда клиент (MAC: XXXX-XXXX-7581) выполняет аутентификацию 802.1x, AC отправит пакет RADIUS на главный сервер, потому что AC не обнаружил его. Главный сервер не будет отвечать, потому что он действительно не работает, тогда AC будет повторять попытку через 5 секунд (по умолчанию время повторения равно 3, интервал повторения равен 5 секундам, общее время равно 3 * 5 = 15 с). Но клиент отправляет запрос на разъединение спустя 5 секунд после ответа EAP, поэтому процесс аутентификации прерывается, и клиент не может войти в систему.

Кажется, что проблема вызвана более коротким временем ожидания пакета EAP клиента.

3. Из информации трассировки время ожидания пакета EAP клиента составляет 5 секунд. Поскольку AC получил клиентский пакет ответа EAP в 14:52:06 и получил запрос на разъединение в 14:52:11, разница составляет 5 секунд.

 2.jpg

4. AC отправляет пакет Radius / Access-Request на главный сервер в 14:52:06.

AC повторно отправляет пакет Radius / Access-Request в 14:52:11 через 5 секунд.

AC получил клиентский запрос на разъединение в 14:52:11, процесс аутентификации 802.1x прерван, и клиент не смог войти в систему.

 

175424vaa5rqaonq7z1rfr.png

5. Проверка подлинности клиента (MAC: XXXX-XXXX-2cc0) выполнена успешно. AC получил пакет EAP / Indentity-Response в 14:34:10

 3.jpg

6. AC отправляет пакет Radius / Access-Request на главный сервер в 14:34:10.

 4.jpg

7. AC повторно отправляет пакет Radius / Access-Request через 5 секунд без получения ответа главного сервера. AC повторно отправляет пакет Radius / Access-Request в 14:34:15 и 14:34:20 соответственно.

 5.jpg

6.jpg

 

8. Повторите попытку три раза, AC попытается отправить пакет Radius / Access-Request на сервер резервного копирования в 14:34:25.

 7.jpg

9. AC получил пакет Radius / Access-Accept от сервера резервного копирования в 14:34:39 и клиент успешно вошел в систему.

 8.jpg

9.jpg

 

10. Настройте более короткое время повторения пакетов RADIUS и интервал повторной передачи.

# Установите время повторения пакета RADIUS на 1, интервал повторной передачи на 3

 

<AC6605> system-view

[AC6605] radius-server template Burger-King

[AC6605-radius- Burger-King] radius-server retransmit 1 timeout 3

 

Анализ:

После того, как конфигурация сервера учета удалена, AC не будет осуществлять учет для пользователей. Это предотвращает сбой в сети, вызванный отсутствием ответа от сервера учета.

 


  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход