城市里的游牧民族

Menu

【故障案例】H3C AC+FIT做无线802.1x认证和H3C CAMS配合

某局点客户,让我弄了两天的问题,终于还是在办事处哥们去搞定了,特记录下,备用待查。

【组网描述】H3C 无线控制器AC+FIT方式 和H3C CAMS结合做无线802.1x认证。前期客户局点结合cams做了无线portal相关测试,测试成功。现在客户要测试无线的802.1x,测试配置在前期portal配置上做一定修改。

【故障描述】按照配置案例进行一定修改后,在手机终端能链接无线SSID后弹出需要输入密码等窗口,但是验证死活通不过,cams上没有相关错误日记,AC上debug,有如下报错:

*Oct 10 19:53:51:952 2013 WX12508 8021X/7/EVENT: Auth:250,Processing node EAP relay...
*Oct 10 19:53:51:963 2013 WX12508 8021X/7/EVENT: Port:WLAN-DBSS4:234,Auth:250,Received Msg:0x105,Msg: Auth request ack for failure, ACM->1X., Current state:14
*Oct 10 19:53:51:983 2013 WX12508 8021X/7/EVENT: Auth:250,Processing node FAILURE...
*Oct 10 19:53:51:993 2013 WX12508 8021X/7/EVENT: Port:WLAN-DBSS4:234,Auth:250,Wbas->Wlan message(7) return 0.
%Oct 10 19:53:52:013 2013 WX12508 8021X/6/DOT1X_AUTH_FAILURE: -IfName=WLAN-DBSS4:234-UserName=cams; DOT1X authentication failed.
%Oct 10 19:53:52:034 2013 WX12508 PORTSEC/6/PORTSEC_DOT1X_LOGIN_FAILURE: -IfName=WLAN-DBSS4:234-MACAddr=AC:F7:F3:E6:A3:56-VlanId=1504-UserName=cams; The user failed the 802.1X authentication.
【故障排除】这次因为问题很多,就不写具体的排除步骤了,我就直接写配置的错误的地方
1、cams未导入证书
2、cams创建服务的时候未勾选授权信息里面的启用证书认证。
3、cams创建服务的时候填写了服务后缀
4、无线控制器里面的domain域的授权方法配置成了为portal用户,需要修改为默认的或者lan-access,这里的具体可以参加配置手册的AAA里面的介绍。
5、对无线控制器做了版本升级。
经过以上修改后问题排除,手机终端用户能使用802.1x通过认证上线,下线后不需要再次输入密码。电脑终端需要修改部分配置,详见配置手册。
<strong>下面我把配置案例里面需要特别注意的,或者说配置步骤简单写下。</strong>
首先保证AC到cams网络可达,保证AC软件版本最新
1、配置radius方案
2、配置domain域
(这里需要注意1:因为原来是做的portal,所以原来的配置是authentication portal这样的命令,需要修改为authentication lan-access )
3、全局使能802.1x以及用户认证方式为EAP
4、在WLAN-ESS接口上使能802.1x端口安全模式、并且修改密钥协商功能为11KEY
5、无线的服务模板的配置也是需要注意按照手册配置即可
如下

#

wlan service-template 10 crypto

ssid joe_dot1x

bind WLAN-ESS 10

authentication-method open-system

cipher-suite tkip

security-ie wpa

service-template enable

把无线控制器上其它配置按照正常配置做好,

接下来就是cams相关配置

1、cams导入证书,证书在控制器的dir里面可以看到,或者下载的软件版本里面有。

2、cams系统管理——系统配置——运行参数配置里面的是否勾选EAP认证需要选是,否则服务器会直接拒绝。

3、添加接入设备,cams系统管理——系统配置——接入设备在里面添加无线控制器需要认证的网段的网关,注意共享密钥是否一致,IP地址是否填对。

4、添加服务,cams 服务管理——服务配置里面进行添加,(这里需要注意:1、这里服务后缀不用填。2、勾选授权信息里面的启用证书认证)

5、创建用户账户并关联服务。

 

— 于 共写了1879个字
— 文内使用到的标签:
本作品采用知识共享署名-非商业性使用-禁止演绎 3.0 中国大陆许可协议进行许可。

评论已关闭。