一、故障现象
使用原生1X进行认证,终端上网络连接失败
二、组网拓扑
(1)拓扑描述:
三、可能原因
1、配置问题:设备类型添加错误。
2、配置问题:SAM+配置与NAS配置冲突导致。
3、软件问题:SAM+上的无线1X证书到期
4、终端问题:终端的系统时间与正常时间相差太大(超过证书时间)
5、终端问题:终端不支持PEAP-MSCHPV2 PEAP-GTC PEAP-MD5 协议方法
6、方案限制:对接了第三方LDAP,首次认证场景
四、处理步骤
(每一个步骤都是一个解决方案,以下案例仅供参考)
步骤 1:检查SAM+添加设备的配置
1、无线设备添加无线设备
2、有线设备类型友商添加神码设备,锐捷添加设备类型为锐捷交换机,型号为N18K
3、所添加的nas设备信息中,radius key尤为重要,在出现认证失败时要首选去检查这个字段是否存在SAMS与NAS设备配置不一致的情况。(特别留意检查是否有存在空格)
步骤 2:检查SAM+配置与NAS配置是否冲突
1、无线设备没有做vlan跳转、但是SAM+上配置了(造成SAM+上认证成功了,但是AC上无法上线)
可以在AC上show 日志分析(show dot1x user diag mac h.h.h),发现accpet报文均是author fail,说明认证成功的报文中存在于配置冲突的内容
大概率是vlan下发,检查对应用户的详细信息与套餐使用的接入控制
如存在相关报错,但是非vlan下发导致的,请帮忙收集日志,发给二线进行分析
步骤 3:核查产品的无线1x证书是否到期、认证终端的系统时间是否正确
1、无线原生1x认证因PEAP的协议中使用了TLS的传输层加密隧道,所以认证过程会使用到CA证书,而CA证书受制于信息安全的要求,其有效期基本为1年,当证书超过有效期后将导致认证失败。
2、解决的方式:通常在证书过期的前2周,我司会提供新的ca证书用于导入系统,具体信息可以参见闪电兔或者技服的预警通告。
3、检查认证终端的系统时间,终端校验证书的时候会将系统时间和证书里的生效时间进行比较,当终端的时间非证书有效期的范围内则会认证失败。
步骤 4:确认终端是否支持PEAP-MSCHPV2GTC协议
1、上诉两种协议市场上95%以上的常用终端基本支持。
2、其中windows默认启用MSCHAP-V2,关闭GTC,IOS为默认GTC,而安卓类系统属于可手动设置。
3、如果windows系列较老的终端,比如winXP、及较早的win7系统,较为容易 出现因为网卡设置的问题导致的认证失败,且SAM上无任何认证失败日志记录
建议安装GTC认证方法,将网卡的1X认证配置中的协商协议改成GTC、或者反馈二线用户使用的SSID,让二线协助生成wifi小助手(非常规)
点击链接
步骤 5:检查所对接的第三方身份中心当前的配置和环境条件是否支持无线原生1x认证
1、LDAP的对接方案中,在LDAP服务器上用户密码为加密存储的情况下,首次认证只能支持PEAP-GTC协议认证的终端
因为使用PEAP-MSCHAPV2协议时,SAM+不知道用户的密码,LDAP侧密码也是加密的,SAM+无法将两者的密码进行对比,也无法解析用户输入的密码对LDAP进行登录校验。
规避方案:此场景下,需要使用web认证或者用户登录自助一次来使得SAM+学习到用户的密码。
2、只有当LDAP上用户密码为明文存储时,才可以支持首次PEAP-MSCHAPV2协议的认证终端接入。
如果您通过以上步骤依然无法解决问题,请收集上述步骤排查信息,联系400协助您排查。
五、信息收集
您通过以上步骤依然无法解决问题,请收集上述步骤排查信息,联系400协助您排查或点击进入:售后闪电兔 处理
六、总结与建议
1x认证失败多见于证书问题或者终端支持的协议问题
发布时间:2024-06-18
点击量:367
文档评价
