某局点客户，让我弄了两天的问题，终于还是在办事处哥们去搞定了，特记录下，备用待查。

【组网描述】H3C 无线控制器AC+FIT方式 和H3C CAMS结合做无线802.1x认证。前期客户局点结合cams做了无线portal相关测试，测试成功。现在客户要测试无线的802.1x，测试配置在前期portal配置上做一定修改。

【故障描述】按照配置案例进行一定修改后，在手机终端能链接无线SSID后弹出需要输入密码等窗口，但是验证死活通不过，cams上没有相关错误日记，AC上debug，有如下报错：

*Oct 10 19:53:51:952 2013 WX12508 8021X/7/EVENT: Auth:250,Processing node EAP relay...
*Oct 10 19:53:51:963 2013 WX12508 8021X/7/EVENT: Port:WLAN-DBSS4:234,Auth:250,Received Msg:0x105,Msg: Auth request ack for failure, ACM->1X., Current state:14
*Oct 10 19:53:51:983 2013 WX12508 8021X/7/EVENT: Auth:250,Processing node FAILURE...
*Oct 10 19:53:51:993 2013 WX12508 8021X/7/EVENT: Port:WLAN-DBSS4:234,Auth:250,Wbas->Wlan message(7) return 0.
%Oct 10 19:53:52:013 2013 WX12508 8021X/6/DOT1X_AUTH_FAILURE: -IfName=WLAN-DBSS4:234-UserName=cams; DOT1X authentication failed.
%Oct 10 19:53:52:034 2013 WX12508 PORTSEC/6/PORTSEC_DOT1X_LOGIN_FAILURE: -IfName=WLAN-DBSS4:234-MACAddr=AC:F7:F3:E6:A3:56-VlanId=1504-UserName=cams; The user failed the 802.1X authentication.

【故障排除】这次因为问题很多，就不写具体的排除步骤了，我就直接写配置的错误的地方

1、cams未导入证书

2、cams创建服务的时候未勾选授权信息里面的启用证书认证。

3、cams创建服务的时候填写了服务后缀

4、无线控制器里面的domain域的授权方法配置成了为portal用户，需要修改为默认的或者lan-access，这里的具体可以参加配置手册的AAA里面的介绍。

5、对无线控制器做了版本升级。

经过以上修改后问题排除，手机终端用户能使用802.1x通过认证上线，下线后不需要再次输入密码。电脑终端需要修改部分配置，详见配置手册。

<strong>下面我把配置案例里面需要特别注意的，或者说配置步骤简单写下。</strong>

首先保证AC到cams网络可达，保证AC软件版本最新

1、配置radius方案

2、配置domain域

（这里需要注意1：因为原来是做的portal，所以原来的配置是authentication portal这样的命令，需要修改为authentication lan-access ）

3、全局使能802.1x以及用户认证方式为EAP

4、在WLAN-ESS接口上使能802.1x端口安全模式、并且修改密钥协商功能为11KEY

5、无线的服务模板的配置也是需要注意按照手册配置即可

如下

#

wlan service-template 10 crypto

ssid joe_dot1x

bind WLAN-ESS 10

authentication-method open-system

cipher-suite tkip

security-ie wpa

service-template enable

把无线控制器上其它配置按照正常配置做好，

接下来就是cams相关配置

1、cams导入证书，证书在控制器的dir里面可以看到，或者下载的软件版本里面有。

2、cams系统管理——系统配置——运行参数配置里面的是否勾选EAP认证需要选是，否则服务器会直接拒绝。

3、添加接入设备，cams系统管理——系统配置——接入设备在里面添加无线控制器需要认证的网段的网关，注意共享密钥是否一致，IP地址是否填对。

4、添加服务，cams 服务管理——服务配置里面进行添加，（这里需要注意：1、这里服务后缀不用填。2、勾选授权信息里面的启用证书认证）

5、创建用户账户并关联服务。