注:
1、本内容适用于有线802.1X认证和无线802.1X认证场景。通常情况下,802.1X认证会涉及多个第三方客户端和服务器,如果故障出现在第三方设备上,需要协同第三方设备供应商进行处理。
2、以华为S系列交换机V200R019C10版本为例
快速定位802.1X认证失败原因
802.1X用户上线过程包括认证和接入两部分,认证技术使用的是AAA功能,用的最多是RADIUS协议,接入技术就是802.1X协议。定位802.1X认证失败首先需要排除相关配置错误,然后根据命令或者Trace诊断功能定位具体失败原因。如下所示,通常分为三步:
1、确认AAA配置和802.1X配置是否正确。
2、查看用户上线失败原因。
执行命令display aaa online-fail-record,根据User online fail reason字段确认用户上线失败原因。
如果仅通过失败原因无法直接修复故障时,可以执行步骤3,根据用户的MAC地址或IP地址,输出指定用户在认证过程中的状态变化、协议处理结果等Trace诊断信息进行故障修复。
3、查看Trace诊断信息。开启Trace诊断功能的方法如下:
系统视图下,执行命令trace enable,开启Trace诊断功能。
系统视图下,执行命令trace object mac-address mac-address,根据用户的MAC地址创建诊断对象。
常见的802.1X认证失败原因如下图:
用户使用了错误的域
一、背景信息
设备基于域统一管理AAA配置信息(认证协议、授权协议、计费协议和认证服务器等),用户使用哪些AAA配置信息是由用户使用的域决定的。为保证用户能够使用预期的AAA配置信息,首先要保证用户使用正确的域。域分为强制域、用户自带域和默认域三大类,使用时有优先级顺序。
二、处理步骤
说明:
1、NAC配置模式分为统一模式和传统模式两种,不同模式下的故障处理方法有差异。故障处理前,请先执行命令display authentication mode确认NAC配置模式:
2、回显信息中显示Current authentication mode is unified-mode,表示当前为统一模式。
3、回显信息中显示Current authentication mode is common-mode,表示当前为传统模式。
三、统一模式下
用户使用域的优先级顺序如下:
1、认证模板下802.1X用户的强制域,通过命令access-domain domain-name dot1x force配置
2、认证模板下所有用户的强制域,通过命令access-domain domain-name force配置
3、用户自带域,由用户名携带,例如用户认证时输入的用户名为user1@huawei.com,设备配置的域名分隔符为@,则用户自带域为huawei.com
注:如果用户名中不携带域名或携带的域名不存在,用户将会在以下默认域中进行认证。
4、认证模板下802.1X用户的默认域,通过命令access-domain domain-name dot1x配置
5、认证模板下所有用户的默认域,通过命令access-domain domain-name force配置
6、全局默认域,系统视图下通过命令domain domain-name配置
依次检查认证模板下配置的强制域、默认域、用户自带域和全局默认域。并按照以上描述的域的优先级顺序,确定用户使用的域。找到用户使用的域后检查域内的AAA配置信息是否是预期的内容(例如是否是RADIUS认证、RADIUS服务器是不是要用的服务器等),如果是,则排除域配置错误的原因;如果不是,则需要修改域下的配置或重新指定域。
1、执行命令display authentication-profile configuration,确认认证模板下域的配置信息。
2、确认用户自带域,例如用户认证时输入的用户名为user1@huawei.com,设备配置的域名分隔符为@,则用户自带域为huawei.com。
3、执行命令display aaa configuration,确认全局默认域。
4、找到用户使用的域后,执行命令display domain name domain-name,确认该域下的AAA配置信息是否是预期的内容。
然后执行命令display authentication-scheme、display accounting-scheme、display radius-server configuration template确认配置是否正确。
四、传统模式下
用户使用域的优先级顺序如下:
1、802.1X用户认证接口下配置的域,通过命令dot1x domain domain-name配置。
2、用户自带域,由用户名携带,例如用户认证时输入的用户名为user1@huawei.com,设备配置的域名分隔符为@,则用户自带域为huawei.com
3、全局默认域,系统视图下通过命令domain domain-name配置
依次检查用户认证接口下配置的域、用户自带域和全局默认域。并按照以上描述的域的优先级顺序,确定用户使用的域。找到用户使用的域后检查域内的AAA配置信息是否是预期的内容(例如是否是RADIUS认证、RADIUS服务器是不是要用的服务器等),如果是,则排除域配置错误的原因;如果不是,则需要修改域下的配置或重新指定域。
先确认接口下是否指定了802.1X认证域,最后再确认全局默认域。可以执行以下步骤进行排查。
1、执行命令display current-configuration | include dot1x domain,确认802.1X用户认证接口下配置的域。
2、自带域、全局默认域和AAA配置的检查方法与统一模式下相同