一、故障現象
使用原生1X進行認證,終端上網絡連接失敗
二、組網拓撲
(1)拓撲描述:
三�����、可能原因
1���、配置問題:設備類型添加錯誤�。
2、配置問題:SAM+配置與NAS配置沖突導致�。
3����、軟件問題:SAM+上的無線1X證書到期
4�、終端問題:終端的系統時間與正常時間相差太大(超過證書時間)
5、終端問題:終端不支持PEAP-MSCHPV2 PEAP-GTC PEAP-MD5 協議方法
6��、方案限制:對接了第三方LDAP�,首次認證場景
四、處理步驟
(每一個步驟都是一個解決方案��,以下案例僅供參考)
步驟 1:檢查SAM+添加設備的配置
1�、無線設備添加無線設備
2、有線設備類型友商添加神碼設備����,銳捷添加設備類型為銳捷交換機����,型號為N18K
3����、所添加的nas設備信息中,radius key尤為重要��,在出現認證失敗時要首選去檢查這個字段是否存在SAMS與NAS設備配置不一致的情況����。(特別留意檢查是否有存在空格)
步驟 2:檢查SAM+配置與NAS配置是否沖突
1���、無線設備沒有做vlan跳轉���、但是SAM+上配置了(造成SAM+上認證成功了�����,但是AC上無法上線)
可以在AC上show 日志分析(show dot1x user diag mac h.h.h)�����,發現accpet報文均是author fail,說明認證成功的報文中存在于配置沖突的內容
大概率是vlan下發�,檢查對應用戶的詳細信息與套餐使用的接入控制
如存在相關報錯�,但是非vlan下發導致的����,請幫忙收集日志,發給二線進行分析
步驟 3:核查產品的無線1x證書是否到期��、認證終端的系統時間是否正確
1、無線原生1x認證因PEAP的協議中使用了TLS的傳輸層加密隧道�,所以認證過程會使用到CA證書����,而CA證書受制于信息安全的要求��,其有效期基本為1年�,當證書超過有效期后將導致認證失敗�。
2、解決的方式:通常在證書過期的前2周���,我司會提供新的ca證書用于導入系統,具體信息可以參見閃電兔或者技服的預警通告���。
3��、檢查認證終端的系統時間��,終端校驗證書的時候會將系統時間和證書里的生效時間進行比較,當終端的時間非證書有效期的范圍內則會認證失敗���。
步驟 4:確認終端是否支持PEAP-MSCHPV2GTC協議
1、上訴兩種協議市場上95%以上的常用終端基本支持����。
2�、其中windows默認啟用MSCHAP-V2��,關閉GTC���,IOS為默認GTC�����,而安卓類系統屬于可手動設置。
3���、如果windows系列較老的終端,比如winXP���、及較早的win7系統,較為容易 出現因為網卡設置的問題導致的認證失敗��,且SAM上無任何認證失敗日志記錄
建議安裝GTC認證方法�,將網卡的1X認證配置中的協商協議改成GTC、或者反饋二線用戶使用的SSID���,讓二線協助生成wifi小助手(非常規)
點擊鏈接
步驟 5:檢查所對接的第三方身份中心當前的配置和環境條件是否支持無線原生1x認證
1、LDAP的對接方案中���,在LDAP服務器上用戶密碼為加密存儲的情況下,首次認證只能支持PEAP-GTC協議認證的終端
因為使用PEAP-MSCHAPV2協議時����,SAM+不知道用戶的密碼,LDAP側密碼也是加密的����,SAM+無法將兩者的密碼進行對比��,也無法解析用戶輸入的密碼對LDAP進行登錄校驗。
規避方案:此場景下�,需要使用web認證或者用戶登錄自助一次來使得SAM+學習到用戶的密碼��。
2、只有當LDAP上用戶密碼為明文存儲時��,才可以支持首次PEAP-MSCHAPV2協議的認證終端接入�����。
如果您通過以上步驟依然無法解決問題��,請收集上述步驟排查信息,聯系400協助您排查。
五、信息收集
您通過以上步驟依然無法解決問題�����,請收集上述步驟排查信息��,聯系400協助您排查或點擊進入:售后閃電兔 處理
六����、總結與建議
1x認證失敗多見于證書問題或者終端支持的協議問題
發布時間:2024-06-18
點擊量:367
文檔評價
