一、无线用户进行802.1x认证失败  

1、 故障可能原因  

1）AC和AP 版本不一致  

2）路由不通  

3）AC和服务器key配置错误  

4）终端设置错误  

5）服务器未开启兼容性组件  

6）终端和服务器路由不通  

7）服务器不支持无线802.1x认证  

2、故障处理步骤  

步骤1：确认AC和AP版本是否一致
    在AC上"show version" 和"show version all" 确认AC和AP的软件版本是否是稳定版本，如果不是请先升级，如果确认版本没有问题，则进入下一步排查。  

步骤2：排查AC和服务器是否路由可达
    在AC上“ping [服务器IP]”，如果不通则排查路由配置是否正确。如果AC和服务器路由可达还是认证失败则进入下一步排查。
注：如果AC 配置了“ip radius source-interface loopback 0”则需要加源进行ping 测试，例如"ping  x.x.x.x sour  xxxx"，radius源地址需要 根据实际情况调整，一般情况下是否默认路由对应的那个接口地址。
步骤3：排查AC和服务器key配置是否正确
    在AC上show run及登入服务器确认radius key、snmp community是否一致。
    AC查看方式：  

      radius-server host [服务器IP地址] key ruijie
      snmp-server community ruijie
    服务器查看方式：

    如果key已经配置正确仍认证失败则进入下一步排查。
步骤4：确认终端设置
    终端设置错误常见于用windows原生dot1x客户端。建议可以参考上个章节 "锐捷无线802.1x常见问题--11.X版本" 里面提到 window7 802.1x无线认证设置，如果终端设置没有问题仍认证失败则进入下一步排查。
步骤5：确认服务器是否开启兼容性组件（适用SU、SA客户端）
    登入SAM、SMP、ESS确认是否有开启兼容性组件：
 

步骤6：排查终端和服务器是否路由可达（适用SU、SA客户端）  

 在无线用户网关上带源ping 服务器“ping [服务器IP] source [网关IP]”，确认是否可以ping通，如果不通则排查路由。如果网关可以ping 通服务器，则进入下一步排查。

步骤7：确认服务器是否支持无线802.1x认证

   我司支持无线802.1x认证配套软件：SMP 2.54、SAM 3.5、su 4.63。其他经过验证厂商：windows2003、cisco ACS。如果已经确认服务器支持无线802.1x认证仍认证失败，则进入下一步排查。

  步骤8：收集信息后，请联系4008111000协助处理

拨打4008111000寻求技术支持，收集如下故障信息，进行故障进一步处理。  

需要收集的信息：  

  1）在AC上收集如下信息：  

     show version  

     show version all  

     show running  

     show ap-config run  

     show radius auth statistics  

     show radius acct statistics  

     show dot1x  

     show dot1x summary  

2）在ac上开启debug 并在客户端及服务器上进行触发认证并同步抓包：  

     debug aaa event  

     debug dot1x event  

     debug dot1x packet  

3）无线终端的操作系统：比如window xp、window 7、安卓、黑莓、iphone等  

4）无线终端使用的802.1x客户端：比如SU客户端、SA客户端、windows原生客户端  

需要收集的信息解释：  

    AC  

     show version：AC版本信息  

     show version all：AP版本信息  

     show running：AC配置信息  

     show ap-config run：AP配置信息  

     show radius auth statistics ：radius 认证统计  

     show radius acct statistics：radius 记账统计  

     show dot1x ：802.1x配置  

     show dot1x summary：802.1x用户信息  

     debug aaa event ：debug aaa事件信息  

     debug dot1x event ：debug dot1x 事件信息  

     debug dot1x packet ：debug dot1x 报文交互信息  

  如果配置正确仍认证失败则进入下一步排查。  

二、用户无法认证，AC没有任何认证log    

故障可能原因：    

1.终端关联后不发起认证；    

2.终端关联完成后发送的认证请求报文没有发到AC；    

故障排查方法：    

1.空口抓包，确认终端是否有发出认证请求报文（eapol-start）；    

2.AP上开启驱动的debug，过滤Eapol和终端MAC，确认AP是否有收到认证请求报文；    

3.AC开启dot1x的debug，确认AC是否有收到认证请求报文，debug命令如下：    

debug dot1x su add mac 0 H.H.H    

debug dot1x su ver    

    如果空口抓包确实没有发起认证请求，尝试其他终端是否有相同问题，故障终端也可以尝试重启、关闭并重新开启WiFi、忘记网络的方式尝试是否能够解决，这种情况一般是终端本身问题。如果是Windows系统，可以尝试安装微软的network monitor软件在终端抓包，确认终端关联完是否有发起认证。    

    如果AP有收到eapol报文，但是AC没有收到，排查AP是否有送eapol报文到AC的ACE表项，查看方式是debug su/exec ef_acl_ace，如果nsc里面没有mac且为permit表项，甚至没有任何表项，那可能是AC的配置没有下发到AP，或者AP、AC版本不一致，不兼容。如果表项正常，排查AP与AC的通路，确认报文丢在哪一阶段。

故障案例：    

   某银行AP与AC版本不一致，用户没法连接802.1X网络，经确认是版本不兼容，送eapol到AC的ACE表项未下发到AP，导致认证报文未送给AC处理，用户没法认证。

三、故障现象：PC连接无线出现“身份验证出现问题”或者手机终端连接不上无线

故障可能原因：

（1）设备配置错误，或者配置不符合要求。    

（2）认证成功了，但是4次握手失败，而握手失败的原因可能是服务器有问题。    

（3）服务器的证书不是可信任的（windows 10系统需要可信任证书）    

（4）服务器不兼容tls 1.2协议。    

（5）服务器配置问题。    

（6）终端配置问题，或者终端有异常。

故障排查方法：

（1）show dot1x authmng ab收集信息

如果有author vlan fail，说明服务器有下发vlan授权，但是设备上用户所在的wlan没有映射到vlan-group；或者映射到vlan-group了，但是vlan-group里面没有服务器下发的vlan。请检查下配置。

（2）收集ac上的log。

       如果有DOT1X-6-WAIT: xxx online, yyy is waiting，说明认证过程中，终端变换了用户名，但是设备上默认只允许一个终端一个用户名；可以通过配置dot1x multi-account enable，允许终端变换用户名。

（3）收集ac上的wlog信息。     

Show wlan diag sta sta xxx(终端mac地址），wlog功能需要提前开（wlan diag enable）。       

 显示如下：     

STA-RECORD: 5844.9873.044e   

[STA-DOWN]STA UP Time: 2016-06-04 21:26:26 STA DOWN Time: 2016-06-04 21:27:59   

Time     IP Address      RSSI/Link Rate  AP MAC/SSID/Radio                Action               Result  Reason                 

-------- --------------- --------------- -------------------------------- -------------------- ---------------------

21:26:22 172.18.58.99    -85/6.5M      00ff.ffff.ff0c/ruijie-802.1x/1    STA DOWN BY USER   Handshake Fail

 这个说明是4次握手失败。此时了解下和AC设备直接通信的服务器是否是代理服务器，如果是代理服务器的话，确认下代理服务器收到服务器的报文是否直接透传给AC设备，还是解密服务器的报文，然后再加密发送给AC设备的。如果是透传，确保AC和代理服务器之间的key、代理服务器和服务器之间的key一致。     

（4）确认终端的系统类型。     

如果终端是win10系统，那么服务器证书一定要是可信任的，否则终端会不接受，导致认证失败。其他系统（如win7）可以通告配置选择不校验服务器证书。     

如果终端是win10系统或者andriod 6.0以上系统，那么终端默认用TLS1.2协议，而sam旧版本对该协议的兼容存在问题，会导致4次握手失败。需要升级到sam+版本，或向服务器端的人要补丁版本。     

（5）抓服务器报文或者设备上联口报文。     

如果报文看设备发送给服务器的报文，服务器一个都没有响应，那么可能是服务器上没有注册该设备。需要检查服务器的配置。     

（6）PC终端连接不上时，检查下终端的无线连接配置。     

       在市场支持过程中，出现某些pc连接不上无线网络，在网络设置里面勾选了“强制执行网络访问保护”后就可以连接上了。     

（7）开启PC端的debug，收集信息发送给后台分析。     

      debug开启命令：cmd在输入netsh ras set tracing * enable，收集的debug信息路径是：windows\tracing

具体例子：     

    （1）某银行无线1x认证与赛门铁克服务器对接，出现连接不上，排查发现赛门铁克是做为代理服务器，AC设备与赛门铁克对接，赛门铁克服务器再与微软服务器对接。认证成功后，微软服务器下发的access报文带mppe key属性，赛门铁克服务器直接透传，而AC设备和赛门铁克对接的key 与 赛门铁克服务器与微软服务器对接的key不一致导致的。     

   （2）某学校，win7系统的pc连接不上无线1x认证网络，从抓包和pc的debug来看是pc异常，收到服务器证书后，出现CertGetNameString for CERT_NAME_SIMPLE_DISPLAY_TYPE failed失败，而不回复报文。在网络设置里面勾选了“强制执行网络访问保护”后就可以连接上了。   

    （3）某医院，部门pc（windows 10系统）连接不上无线1x认证网络，sam服务器上导入了可信任证书以及打了兼容tls 1.2的补丁版本后问题解决。     

    （4）某公司，连接不上无线1x认证网络，排查是服务器没有注册AC设备，注册后问题解决。

四、无线无法关联到HUST_WIRELESS_AUTO    

   1、故障现象 

西五老师反馈无线无法关联到HUST_WIRELESS_AUTO    

2、网络环境    

简化：AP530-----POE交换机-------中间设备------WS卡     

3、处理步骤

（1） 终端关联到HUST_WIRELESS，正常弹出网页，输入用户名和密码正常上网；

（2）终端关联到HUST_WIRELESS_AUTO上，输入用户名和密码后，无法认证成功；

（3）同一台终端由于web认证可正常上网，1x认证无法通过，同时同样的账号和密码在其他终端1x认证可以通过；

（4）如上说明，非账号问题，而是终端设置问题；

（5）检查终端设置后，发现改用户的终端设置为默认方式；

（6）重新修改设置，故障解除；

（7）并输出文档给西五楼管理员，后续由她解决类似问题（详细见故障解决）。

4、故障解决    

     Win7客户端，参考上个章节 "锐捷无线802.1x常见问题--10.X软件版本" 里面提到 window7 802.1x无线认证设置，调整终端设置后问题解决。

5、故障总结及注意事项

    1x认证情况下，需要修改终端设置，否则无法认证成功。

五、故障现象：终端掉线    

故障可能原因：    

    设备处理异常，导致终端掉线。    

故障排除方法：    

（1）收集设备wlog信息    

    Show wlan diag sta sta xxx（终端mac地址）。常见原因如下：    

    Supplicant restart 表示漫游重认证失败    

    User request 表示终端主动下线    

    Lost carrier 表示终端没有snooping表项，被1x踢下线    

    Admin reset表示被服务器踢下线    

    sta Offline 表示认证过程中终端解关联了    

（2）空口抓包    

    空口抓包异常终端所关联信道的报文，发给后台分析。    

具体例子：    

    某公司某个终端经常掉线，设备版本是B4的，比较旧，之前有个终端漫游时漫出端发送解关联报文导致终端下线的问题。猜测可能跟此有关。现场升级了B8版本，情况有所改善。    

六、故障现象：终端认证成功后无法上网    

【故障现象】    

    1x认证，用户通过认证并获取到IP地址后，网络仍然不通。    

【故障分析】    

    1、show dot1x summary查看dot1x认证表项，发现用户已经认证成功；    

    2、确认用户地址为自动获取并且地址段正确后检查配置发现AC上配置了aaa authorization ip-auth-mode mixed，该命令为交换的ip授权命令，在无线上无需配置，删除该配置后网络恢复正常。    

【故障总结】    

    aaa athorization ip-auth-mode mixed，该命令为交换的ip授权命令，是交换机的授权逻辑，无线没有这个逻辑，配置该命令后无线没有对应ip，授权后用户就不通了，在无线上无需配置(在B9P5版本中该命令已做隐藏)。

七、1x认证成功了，网络不通定位(假设用户的mac地址是0001.0001.0001）

1、查看1x表项是否存在（在AC上查看）

show dot1x user mac 0001.0001.0001

如果存在的话，继续往下，否则将信息发送给后台排查

2、查看scc表项是否存在

debug scc user filter mac 0001.0001.0001

如果存在的话，继续往下，否则将信息发送给后台排查

3、查看aclk表项是否存在

term mon（先要执行这个）

debug acl efacl nac-show filter mac 0001.0001.0001

如果存在的话，继续往下，否则将信息发送给后台排查

 4、打开快转和acl debug定位

先开启term mon和debug syslog limit reset

debug efmp packet ping sip 源ip地址 smac 源mac地址 dip 目的ip地址 dmac 目的mac地址 counter 5(地址不知道的，可以用any替代）

debug acl efacl ef-packet srcip 源ip地址 dstip 目的ip地址 count 5（地址不知道，就不要加）

打开以上两个debug后，终端ping下设备或者设备ping下终端，把debug信息收集下，如果有出现drop的字眼，那么把debug信息发给后台进 一步分析，否则不是设备丢包，排查其他原因。

集中转发：2、3、4步骤在ac上操作。

本地转发：2、3、4步骤在ap上操作。