提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

802.1x认证不成功排障概述

|

问题描述

本文主要解释802.1x的基本原理及排错思路

解决方案

原理流程图如下:
认证:
1.客户端发起开始认证请求(对于用户来说,这一步提交了用户名和密码,但是实际的报文交互是没有提交的,用户名密码暂时存在认证客户端中为下一步做准备)
2.交换机收到请求之后,要求客户端提交用户名(只有用户名)
3.客户端会提交用户名给到交换机(这个时候只传输用户名)
4.交换机收到用户名之后,将数据封装成RADIUS报文发送到AC,AC收到用户名,比对自己的数据库,找到密码之后,AC产生一个随机数A和密码做运算得到B,将B保留,将随机数A发给交换机
5.交换机收到随机数A,将随机数发给终端,终端收到A之后也和密码做一个运算,得到C之后发给交换机
6.交换机收到C,发给AC,AC对比B和C的值,如果一致,认为通过认证,发送认证成功报文给到交换机,交换机然后放通端口
上线:
1、交换机发送该用户的计费报文(accounting)给AC
2、AC收到计费报文后检查跨三层是否获取到对应的IP和MAC绑定关系然后上线并回复交换机上线成功。

排查内容

1、认证失败:
    1)、检查AC和交换机通讯是否正常
    2)、检查AC是否收到交换机发送的认证报文:
            未收到:检查交换机是否配置错误
            收到:检查AC配置(秘钥、绑定关系等)
2、认证成功不上线:
    1)、是否发送了计费报文或者流量经过设备(如果未发送计费报文但流量经过设备的情况,会存在用户注销不了了现象,需要依赖交换机发送注销报文AC才能注销用户)   
    2)、计费报文中是否携带客户端IP   
    3)、若第二点不携带确认是否配置跨三层且获取到ARP表(跨三层配置是必须的,纯二层环境也需要跨三层才能获取到ip并上线)。


我要分享
文档编号: 218187
作者: admin
更新时间: 2023-01-05 17:29
适用版本: