一、故障现象：无线用户进行802.1x认证失败

1、 故障可能原因

1）AC和AP 版本不一致

2）路由不通

3）AC和服务器key配置错误

4）终端设置错误

5）服务器未开启兼容性组件

6）终端和服务器路由不通

7）服务器不支持无线802.1x认证

2、故障处理流程

3、 故障处理步骤
步骤1：确认AC和AP版本是否一致
在AC上"show version" 和"show version all" 确认AC和AP的软件版本是否一致。无线802.1x认证推荐使用10.4(1T10)及以上版本，确认版本没有问题，则进入下一步排查。
WS5708#show version
System description      : Ruijie 10G Wireless Switch(WS5708) By Ruijie Networks.
System start time       : 2012-12-04 13:2:37
System uptime           : 2:14:32:39
System hardware version : 1.01
System software version : RGOS 10.4(1b17), Release(144996)
System boot version     : 10.4.128107
System serial number    : 8652DHC460004
WS5708#show version all
AP(AP620H)'s version:
  Product ID          : AP220-I
  System uptime       : 2:14:32:19
  Hardware version    : 1.00
  Software version    : RGOS 10.4(1b17), Release(144996)
  Serial number       : 9059FM6070520
  MAC address         : 1414.4b13.c248
步骤2：排查AC和服务器是否路由可达
在AC上“ping [服务器IP]”，如果不通则排查路由配置是否正确。如果AC和服务器路由可达还是认证失败则进入下一步排查。
注：如果AC 配置了“ip radius source-interface loopback 0”则需要加源进行ping 测试，例如"ping  x.x.x.x sour  xxxx"
步骤3：排查AC和服务器key配置是否正确
在AC上show run及登入服务器确认radius key、snmp community是否一致。
AC查看方式：
radius-server host [服务器IP地址] key ruijie
snmp-server community ruijie
服务器查看方式：

如果key已经配置正确仍认证失败则进入下一步排查。
步骤4：确认终端设置
终端设置错误常见于用windows原生dot1x客户端。建议可以参考上个章节 " 锐捷无线802.1x常见问题--10.X软件版本" 里面提到  window7 802.1x无线认证设置， 如果终端设置没有问题仍认证失败则进入下一步排查。

步骤5：确认服务器是否开启兼容性组件（适用SU、SA客户端）
登入SAM、SMP、ESS确认是否有开启兼容性组件：

步骤6： 排查终端和服务器是否路由可达（适用SU、SA客户端）

在无线用户网关上带源ping 服务器“ping [服务器IP] source [网关IP]”，确认是否可以ping通，如果不通则排查路由。如果网关可以ping 通服务器，则进入下一步排查。
步骤7：确认服务器是否支持无线802.1x认证
我司支持无线802.1x认证配套软件：SMP 2.54、SAM 3.5、su 4.63。其他经过验证厂商：windows2003、cisco ACS。如果已经确认服务器支持无线802.1x认证仍认证失败，则进入下一步排查。
步骤8：收集信息后，请联系4008111000协助处理
拨打4008111000寻求技术支持，收集如下故障信息，进行故障进一步处理。
·    需要收集的信息：
1）在AC上收集如下信息：
show version
show version all
show running
show ap-config run
show radius auth statistics
show radius acct statistics
show dot1x
show dot1x summary
2）在ac上开启debug 并在客户端及服务器上进行触发认证并同步抓包：
debug aaa event
debug dot1x event
debug dot1x packet
3）无线终端的操作系统：比如window xp、window 7、安卓、黑莓、iphone等
4）无线终端使用的802.1x客户端：比如SU客户端、SA客户端、windows原生客户端
·    需要收集的信息解释：
AC
show version：AC版本信息
show version all：AP版本信息
show running：AC配置信息
show ap-config run：AP配置信息
show radius auth statistics ：radius 认证统计
show radius acct statistics：radius 记账统计
show dot1x ：802.1x配置
show dot1x summary：802.1x用户信息
debug aaa event ：debug aaa事件信息
debug dot1x event ：debug dot1x 事件信息
debug dot1x packet ：debug dot1x 报文交互信息
  如果配置正确仍认证失败则进入下一步排查。

二、故障现象：用户无法认证，AC没有任何认证log

故障可能原因：

1.终端关联后不发起认证；

2.终端关联完成后发送的认证请求报文没有发到AC；

故障排查方法：

1.空口抓包，确认终端是否有发出认证请求报文（eapol-start）；

2.AP上开启驱动的debug，过滤Eapol和终端MAC，确认AP是否有收到认证请求报文；

3.AC开启dot1x的debug，确认AC是否有收到认证请求报文，debug命令如下：

debug dot1x su add mac 0 H.H.H

debug dot1x su ver

    如果空口抓包确实没有发起认证请求，尝试其他终端是否有相同问题，故障终端也可以尝试重启、关闭并重新开启WiFi、忘记网络的方式尝试是否能够解决，这种情况一般是终端本身问题。如果是Windows系统，可以尝试安装微软的network monitor软件在终端抓包，确认终端关联完是否有发起认证。

    如果AP有收到eapol报文，但是AC没有收到，排查AP是否有送eapol报文到AC的ACE表项，查看方式是debug su/exec ef_acl_ace，如果nsc里面没有mac且为permit表项，甚至没有任何表项，那可能是AC的配置没有下发到AP，或者AP、AC版本不一致，不兼容。如果表项正常，排查AP与AC的通路，确认报文丢在哪一阶段。

故障案例：

    某银行AP与AC版本不一致，用户没法连接802.1X网络，经确认是版本不兼容，送eapol到AC的ACE表项未下发到AP，导致认证报文未送给AC处理，用户没法认证。

三、故障现象：PC连接无线出现“身份验证出现问题”或者手机终端连接不上无线

故障可能原因：

（1）设备配置错误，或者配置不符合要求。

（2）认证成功了，但是4次握手失败，而握手失败的原因可能是服务器有问题。

（3）服务器的证书不是可信任的（windows 10系统需要可信任证书）

（4）服务器不兼容tls 1.2协议。

（5）服务器配置问题。

（6）终端配置问题，或者终端有异常。

故障排查方法：

（1）收集ac上的log。

如果有DOT1X-6-WAIT: xxx online, yyy is waiting，说明认证过程中，终端变换了用户名，但是设备上只允许一个终端一个用户名。

（2）收集ac上的wlog信息。

Show wlan diag sta sta xxx(终端mac地址），wlog功能需要提前开（wlan diag enable）。

显示如下：

STA-RECORD: 5844.9873.044e [STA-DOWN]STA UP Time: 2016-06-04 21:26:26STA DOWN Time: 2016-06-04 21:27:59 TimeIP Address      RSSI/Link Rate  AP MAC/SSID/Radio                                   Action               Result  Reason              -------- --------------- --------------- --------------------------------------------------- -------------------- ------- -------------------- 21:26:22 172.18.58.99    -85/6.5M        00ff.ffff.ff0c/ruijie-802.1x/1                      STA DOWN BY USER            Handshake Fail

    这个说明是4次握手失败。此时了解下和AC设备直接通信的服务器是否是代理服务器，如果是代理服务器的话，确认下代理服务器收到服务器的报文是否直接透传给AC设备，还是解密服务器的报文，然后再加密发送给AC设备的。如果是透传，确保AC和代理服务器之间的key、代理服务器和服务器之间的key一致。

（3）确认终端的系统类型。

    如果终端是win10系统，那么服务器证书一定要是可信任的，否则终端会不接受，导致认证失败。其他系统（如win7）可以通告配置选择不校验服务器证书。

    如果终端是win10系统或者andriod 6.0以上系统，那么终端默认用TLS1.2协议，而sam旧版本对该协议的兼容存在问题，会导致4次握手失败。需要升级到sam+版本，或向服务器端的人要补丁版本。

（4）抓服务器报文或者设备上联口报文。

    如果报文看设备发送给服务器的报文，服务器一个都没有响应，那么可能是服务器上没有注册该设备。需要检查服务器的配置。

（5）PC终端连接不上时，检查下终端的无线连接配置。

    在市场支持过程中，出现某些pc连接不上无线网络，在网络设置里面勾选了“强制执行网络访问保护”后就可以连接上了。

（6）开启PC端的debug，收集信息发送给后台分析。

    debug开启命令：cmd在输入netsh ras set tracing * enable，收集的debug信息路径是：windows\tracing

    具体例子：

    （1）某银行无线1x认证与赛门铁克服务器对接，出现连接不上，排查发现赛门铁克是做为代理服务器，AC设备与赛门铁克对接，赛门铁克服务器再与微软服务器对接。认证成功后，微软服务器下发的access报文带mppe key属性，赛门铁克服务器直接透传，而AC设备和赛门铁克对接的key 与 赛门铁克服务器与微软服务器对接的key不一致导致的。

    （2）某学校，win7系统的pc连接不上无线1x认证网络，从抓包和pc的debug来看是pc异常，收到服务器证书后，出现CertGetNameString for CERT_NAME_SIMPLE_DISPLAY_TYPE failed失败，而不回复报文。在网络设置里面勾选了“强制执行网络访问保护”后就可以连接上了。

    （3）某医院，部门pc（windows 10系统）连接不上无线1x认证网络，sam服务器上导入了可信任证书以及打了兼容tls 1.2的补丁版本后问题解决。

    （4）某公司，连接不上无线1x认证网络，排查是服务器没有注册AC设备，注册后问题解决。

 

四、故障现象：终端掉线

故障可能原因：

（1）设备处理异常，导致终端掉线。

故障排除方法：

（1）收集设备wlog信息

Show wlan diag sta sta xxx（终端mac地址）。常见原因如下：
Supplicant restart   表示漫游重认证失败
User request     表示终端主动下线
Lost carrier        表示终端没有snooping表项，被1x踢下线
Admin reset      表示被服务器踢下线
sta Offline           表示认证过程中终端解关联了

（2）空口抓包

空口抓包异常终端所关联信道的报文，发给后台分析。

具体例子：

（1）某公司，某个终端经常掉线，设备版本是比较旧，之前有个终端漫游时漫出端发送解关联报文导致终端下线的问题，猜测可能跟此有关。现场升级了最新版本，情况有所改善。