AP прекращает аутентификацию по dot1x в LAN
-
C9800-40 17.12.x, локальный режим C91xx, аутентификация EAP-FAST на C9300 с резервным вариантом MAB. Через несколько недель или месяцев некоторые точки доступа не смогли пройти аутентификацию в защищенной локальной сети dot1x. Обычно после обновления некоторые точки доступа теряются. ISE сообщает: Событие 5440 Конечная точка прервала сеанс EAP и запустила новый
Причина сбоя 22063 Неверный пароль У нас есть резервная конфигурация, поэтому все эти точки доступа проходят MAB и работают нормально. Это означает, что они получают новую конфигурацию от WLC во время присоединения. Но точки доступа остаются в состоянии неправильного пароля. AP#sho ap authentication status
key_mgmt=IEEE 802.1X (без WPA)
wpa_state=ASSOCIATED
address=ac:4a:56:00:00:00
Supplicant PAE state=HELD
suppPortStatus=Unauthorized
EAP state=FAILURE
selectedMethod=43 (EAP-FAST)
eap_tls_version=TLSv1.2
EAP TLS cipher=ADH-AES128-SHA
tls_session_reused=0
EAP-FAST Phase2 method=MSCHAPV2 Команда «clear authentication session» на switchport или «capwap ap reset» на AP не решают проблему. Единственное решение — полная перезагрузка точки доступа. После этого каждая точка доступа правильно аутентифицируется и повторно аутентифицируется в течение неизвестного периода времени. Я думаю, что это задача для TAC, но сначала попробую спросить здесь. -
Откройте дело TAC. Используйте мой номер TAC Case #699156079 в качестве ссылки.
-
С момента обновления до версий 17.12.4 и 17.12.5 мы заметили, что многие из наших точек доступа ведут себя именно так. Еще одно наблюдаемое явление — потеря точками доступа своих IP-адресов. Я подал заявку в службу технической поддержки (TAC) по поводу потери IP-адресов точками доступа и потребовал от них опубликовать APSP для устранения
CSCwp20385
. Наши точки доступа — 3700, 2800/3800/4800/1560, 9124, 9130, 9136 и 9166. -
Мы говорим об аутентификации AP, а не об аутентификации клиента Wi-Fi? MHM
-
@MHM Cisco World
написал:
Мы говорим об аутентификации AP, а не об аутентификации Wi-Fi-клиента? См.
CSCwp20385
. Проще говоря, AP принимает трафик, но блокирует весь исходящий трафик. Это включает трафик DHCP DORA и трафик, связанный с 802.1x. -
Извините, но Причина сбоя 22063 Неверный пароль <<- это означает, что ISE получил какой-то пакет MHM
-
@MHM Cisco World
написал:
это означает, что ISE получил некоторые пакеты ISE получил «поврежденные» или неполные пакеты и посчитал это «неверным паролем». -
Привет, Лео, спасибо, возможно, это имеет отношение к делу, но, к сожалению, в отчете об ошибке почти нет информации.
-
Точно, у нас нет проблем с клиентами. Мы говорим о защищенных портах LAN dot1x, соединяющих точки доступа.
-
Как добавить имя пользователя/пароль к AP? Думаю, для этого нужен WLC Таким образом, проблема заключается в WLC и ISE, а не в AP и ISE MHM
-
Здравствуйте, учетные данные находятся в тегах сайта на WLC. WLC обслуживает около 1000 точек доступа, но 400 из них получили ошибку, и ISE сообщает о неверном пароле. Проблема решается повторным подключением и перезагрузкой точки доступа без изменения конфигурации на WLC.
-
Я думаю, вам нужно только повторно подключиться, перезагрузка не требуется. В конце концов, ISE будет аутентифицировать устройство только после истечения времени повторной аутентификации, поэтому с точки зрения WLC/ISE точка доступа все еще аутентифицирована. Повторное подключение очистит сеанс аутентификации AP и заставит AP повторно пройти аутентификацию. MHM
-
Есть ли какие-нибудь новости от команды TAC? MHM
-
TAC хочет, чтобы мы выполнили захват пакетов с точки доступа. Как я уже сообщил TAC и разработчикам, наши точки доступа установлены на высоте 2,6 метра над землей. Выполнение захвата пакетов с лестницы — опасная задача. Поэтому мы ждем возможности найти точку доступа, где это можно сделать безопасно. А пока разработчики отказываются передать APSP для исправления этой ошибки.
-
Извините, у вас точно такая же проблема? AP авторизуется как supplicant? MHM
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти