问题描述
组网拓扑图: 版本信息: AgileController: V100R002C00SPC100 Cisco 2960: Version 15.0(2)EX5 故障描述: Agile Controller和Cisco交换机联动进行802.1X认证,配置完成后,交换机显示认证授权成功,AgileController上也显示认证与授权成功。但是AnyOffice上显示认证失败,报错误码204.
告警信息
AgileController上日志显示认证与授权成功: * | Authentication and Authorization Results: | | |
RadiusPacketType=AccessAccept Tunnel-Type(64)=13; Tunnel-Medium-Type(65)=802; Tunnel-Private-Group-ID(81)=117; State(24)=0x0152ad2d39f100000152ad2d39f1; Microsoft:MS-MPPE-Send-Key=0x21550e20d1b6f4b246f0a11b70dd96d1104072531646d88df2328fafc66c26ededdd6a1bb2887d4be677e0a8c432a7a71945; Microsoft:MS-MPPE-Recv-Key=0x21550ef85ec6d2857591f0d72c17ec82b3f5b1f0d3a4335030a988274e32907bec5751e76bcf3c1e34b46a8f7390c04a4795 备注:上面的117即为认证后终端应该加入的认证后域VLAN ID。
AnyOffice终端显示认证失败,错误码204:
处理过程
1 仔细查看AgileController,Cisco的802.1X配置,确认没有问题。 2 通过AgileController上面的认证授权成功日志可以看出,AgileController和Cisco交换机的802.1x认证交互是没有问题的。问题可能终端和交换机或者AgileController的交互上面。 3 AnyOffice的报错是说终端和AgileController的通信异常,但是实际上AnyOffice和AgileController的通信是没有问题的,AnyOffice一直可以ping通AgileController服务器。 4 于是在终端上抓包进行深入分析,发现终端从DHCP服务器获取地址要大约30S,相比于正常的1到2S的DHCP地址获取时间,这个时间太长了,于是怀疑可能是AnyOffice和AgileController通信超时导入AnyOffice异常。接下来就得找到为何DHCP获取地址时间这么长。 5 再次检查Cisco交换机的配置,发现交换机默认开启了STP, spanning-tree mode pvst
spanning-tree extend system-id
而接口默认情况下是参与STP计算的,联想到STP的默认收敛时间一般就是30S,所以初步可以判定DHCP地址获取慢是由于STP收敛造成,于是把接口配置成边缘接口,不参与STP的计算,如下: interface GigabitEthernet1/0/1
switchport access vlan 99
switchport mode access
authentication event no-response action authorize vlan 99
authentication order dot1x
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast 6 修改配置后,AnyOffice认证成功,同时接口也顺利加入到AgileController指定认证后域VLAN 117.
根因
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63415
发表于 2016-8-11 16:00:15
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2016-8-11 16:49:08
