故障可能原因:
1.终端关联后不发起认证;
2.终端关联完成后发送的认证请求报文没有发到AC;
故障排查方法:
1.空口抓包,确认终端是否有发出认证请求报文(eapol-start);
2.AP上开启驱动的debug,过滤Eapol和终端MAC,确认AP是否有收到认证请求报文;
3.AC开启dot1x的debug,确认AC是否有收到认证请求报文,debug命令如下:
debug dot1x su
add mac 0 H.H.H
debug dot1x su
ver
如果空口抓包确实没有发起认证请求,尝试其他终端是否有相同问题,故障终端也可以尝试重启、关闭并重新开启WiFi、忘记网络的方式尝试是否能够解决,这种情况一般是终端本身问题。如果是Windows系统,可以尝试安装微软的network monitor软件在终端抓包,确认终端关联完是否有发起认证。
如果AP有收到eapol报文,但是AC没有收到,排查AP是否有送eapol报文到AC的ACE表项,查看方式是debug
su/exec ef_acl_ace,如果nsc里面没有mac且为permit表项,甚至没有任何表项,那可能是AC的配置没有下发到AP,或者AP、AC版本不一致,不兼容。如果表项正常,排查AP与AC的通路,确认报文丢在哪一阶段。
故障案例:
某银行AP与AC版本不一致,用户没法连接802.1X网络,经确认是版本不兼容,送eapol到AC的ACE表项未下发到AP,导致认证报文未送给AC处理,用户没法认证。