小乔 发表于 2016-8-11 16:00:15

华为AC6605与cisco交换机802.1X认证失败解决方案

问题描述
组网拓扑图:http://support.huawei.com/enterprise/product/images/920ba12e480c49a994ccaf31f0b2494e版本信息:AgileController: V100R002C00SPC100Cisco 2960: Version 15.0(2)EX5故障描述:Agile Controller和Cisco交换机联动进行802.1X认证,配置完成后,交换机显示认证授权成功,AgileController上也显示认证与授权成功。但是AnyOffice上显示认证失败,报错误码204.


告警信息
AgileController上日志显示认证与授权成功:http://support.huawei.com/enterprise/product/images/e6d4644539644c5792adafdaa45de7bd
http://support.huawei.com/enterprise/product/images/4f28d085a8cf4a85bfb53c5cb1d15dab

*Authentication and Authorization Results:

RadiusPacketType=AccessAcceptTunnel-Type(64)=13;Tunnel-Medium-Type(65)=802;Tunnel-Private-Group-ID(81)=117;State(24)=0x0152ad2d39f100000152ad2d39f1;Microsoft:MS-MPPE-Send-Key=0x21550e20d1b6f4b246f0a11b70dd96d1104072531646d88df2328fafc66c26ededdd6a1bb2887d4be677e0a8c432a7a71945;Microsoft:MS-MPPE-Recv-Key=0x21550ef85ec6d2857591f0d72c17ec82b3f5b1f0d3a4335030a988274e32907bec5751e76bcf3c1e34b46a8f7390c04a4795备注:上面的117即为认证后终端应该加入的认证后域VLAN ID。


AnyOffice终端显示认证失败,错误码204:http://support.huawei.com/enterprise/product/images/c4b3bc63d62945689d81cade71bc77e6


处理过程
1 仔细查看AgileController,Cisco的802.1X配置,确认没有问题。2 通过AgileController上面的认证授权成功日志可以看出,AgileController和Cisco交换机的802.1x认证交互是没有问题的。问题可能终端和交换机或者AgileController的交互上面。3 AnyOffice的报错是说终端和AgileController的通信异常,但是实际上AnyOffice和AgileController的通信是没有问题的,AnyOffice一直可以ping通AgileController服务器。4 于是在终端上抓包进行深入分析,发现终端从DHCP服务器获取地址要大约30S,相比于正常的1到2S的DHCP地址获取时间,这个时间太长了,于是怀疑可能是AnyOffice和AgileController通信超时导入AnyOffice异常。接下来就得找到为何DHCP获取地址时间这么长。http://support.huawei.com/enterprise/product/images/bbfafb3bbeaa4122b12c358d2e5e602f5 再次检查Cisco交换机的配置,发现交换机默认开启了STP,spanning-tree mode pvst
spanning-tree extend system-id
而接口默认情况下是参与STP计算的,联想到STP的默认收敛时间一般就是30S,所以初步可以判定DHCP地址获取慢是由于STP收敛造成,于是把接口配置成边缘接口,不参与STP的计算,如下:interface GigabitEthernet1/0/1
switchport access vlan 99
switchport mode access
authentication event no-response action authorize vlan 99
authentication order dot1x
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast6 修改配置后,AnyOffice认证成功,同时接口也顺利加入到AgileController指定认证后域VLAN 117.

根因
**** Hidden Message *****


jackyduys 发表于 2016-8-11 16:49:08

{:6_290:}

bucket_99 发表于 2016-8-11 20:00:18

谢谢楼主分享了~

hyson 发表于 2016-8-11 20:30:32

谢谢分享{:6_265:}

sy7527951 发表于 2016-8-11 20:55:25

支持一下~~~

changlong852 发表于 2016-8-14 22:55:12

deqz

changlong852 发表于 2016-8-14 22:56:01

deqz

changlong852 发表于 2016-8-14 22:55:53

deqz

461346116 发表于 2016-8-15 11:59:52

666

461346116 发表于 2016-8-15 11:59:40

666

路·__赱远叻 发表于 2017-3-10 10:35:26

楼主能把设备的配置给我参考一下吗,最近也有遇到这样的问题。

龙_之_吻 发表于 2018-8-24 02:57:27

谢谢楼主分享了~

龙_之_吻 发表于 2018-8-24 02:57:38

谢谢楼主分享

黄昏美SKY 发表于 2020-3-23 00:26:13

来了

larry9017 发表于 2020-3-26 06:37:33

谢谢分享
页: [1] 2
查看完整版本: 华为AC6605与cisco交换机802.1X认证失败解决方案