故障可能原因:
(1)设备配置错误,或者配置不符合要求。
(2)认证成功了,但是4次握手失败,而握手失败的原因可能是服务器有问题。
(3)服务器的证书不是可信任的(windows 10系统需要可信任证书)
(4)服务器不兼容tls 1.2协议。
(5)服务器配置问题。
(6)终端配置问题,或者终端有异常。
故障排查方法:
(1)show dot1x authmng ab收集信息
如果有author vlan
fail,说明服务器有下发vlan授权,但是设备上用户所在的wlan没有映射到vlan-group;或者映射到vlan-group了,但是vlan-group里面没有服务器下发的vlan。请检查下配置。
(2)收集ac上的log。
如果有DOT1X-6-WAIT:
xxx online, yyy is waiting,说明认证过程中,终端变换了用户名,但是设备上默认只允许一个终端一个用户名;可以通过配置dot1x multi-account enable,允许终端变换用户名。
(3)收集ac上的wlog信息。
Show wlan diag sta sta xxx(终端mac地址),wlog功能需要提前开(wlan
diag enable)。
显示如下:
STA-RECORD: 5844.9873.044e
[STA-DOWN]STA UP Time: 2016-06-04 21:26:26STA DOWN Time: 2016-06-04 21:27:59
TimeIP Address RSSI/Link Rate AP MAC/SSID/Radio Action Result Reason
-------- --------------- ---------------
--------------------------------------------------- --------------------
------- --------------------
21:26:22 172.18.58.99 -85/6.5M 00ff.ffff.ff0c/ruijie-802.1x/1 STA DOWN BY USER Handshake
Fail
这个说明是4次握手失败。此时了解下和AC设备直接通信的服务器是否是代理服务器,如果是代理服务器的话,确认下代理服务器收到服务器的报文是否直接透传给AC设备,还是解密服务器的报文,然后再加密发送给AC设备的。如果是透传,确保AC和代理服务器之间的key、代理服务器和服务器之间的key一致。
(4)确认终端的系统类型。
如果终端是win10系统,那么服务器证书一定要是可信任的,否则终端会不接受,导致认证失败。其他系统(如win7)可以通告配置选择不校验服务器证书。
如果终端是win10系统或者andriod 6.0以上系统,那么终端默认用TLS1.2协议,而sam旧版本对该协议的兼容存在问题,会导致4次握手失败。需要升级到sam+版本,或向服务器端的人要补丁版本。
(5)抓服务器报文或者设备上联口报文。
如果报文看设备发送给服务器的报文,服务器一个都没有响应,那么可能是服务器上没有注册该设备。需要检查服务器的配置。
(6)PC终端连接不上时,检查下终端的无线连接配置。
在市场支持过程中,出现某些pc连接不上无线网络,在网络设置里面勾选了“强制执行网络访问保护”后就可以连接上了。
(7)开启PC端的debug,收集信息发送给后台分析。
debug开启命令:cmd在输入netsh ras set tracing * enable,收集的debug信息路径是:windows\tracing
具体例子:
(1)某银行无线1x认证与赛门铁克服务器对接,出现连接不上,排查发现赛门铁克是做为代理服务器,AC设备与赛门铁克对接,赛门铁克服务器再与微软服务器对接。认证成功后,微软服务器下发的access报文带mppe key属性,赛门铁克服务器直接透传,而AC设备和赛门铁克对接的key 与 赛门铁克服务器与微软服务器对接的key不一致导致的。
(2)某学校,win7系统的pc连接不上无线1x认证网络,从抓包和pc的debug来看是pc异常,收到服务器证书后,出现CertGetNameString
for CERT_NAME_SIMPLE_DISPLAY_TYPE failed失败,而不回复报文。在网络设置里面勾选了“强制执行网络访问保护”后就可以连接上了。
(3)某医院,部门pc(windows 10系统)连接不上无线1x认证网络,sam服务器上导入了可信任证书以及打了兼容tls 1.2的补丁版本后问题解决。
(4)某公司,连接不上无线1x认证网络,排查是服务器没有注册AC设备,注册后问题解决。