AR路由器(qì)作(zuò)為AC并且使用WPA或WPA2安全認證方式時(shí)終端無法上(shàng)線

2014/10/12 13:46:51點擊:
問題描述
1,簡單組網如下:
AR(G0/0/1)----------------- AP 5010DN-AGN
2,AR上(shàng)關鍵配置如下:
#
dot1x enable
dhcp enable
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/0.100
dot1q termination vid 100
ip address 172.16.1.1 255.255.255.0    
dhcp select interface
#
interface GigabitEthernet0/0/0.101
dot1q termination vid 101
ip address 172.16.2.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Wlan-Ess1
port hybrid pvid vlan 101
port hybrid tagged vlan 101
#
wlan ac
wlan ac source interface loopback0
ap-region id 10
ap-auth-mode no-auth
ap id 0 type-id 30 mac XXXX-XXXX-XXXX sn YYYYYYYYYYYYYYYYYY
  region-id 10
wmm-profile name w1 id 0
traffic-profile name t1 id 0
security-profile name s1 id 1
  wep authentication-method share-key
  wep key wep-40 pass-phrase 0 simple ********
security-profile name s2 id 2
  security-policy wpa2
  wpa authentication-method psk pass-phrase cipher ********** encryption-method ccmp
……
service-set name test id 0
  wlan-ess 1
  ssid HWtest
  traffic-profile id 0
  security-profile id 1
  service-vlan 101
radio-profile name r1 id 0
  wmm-profile id 0
ap 0 radio 0
  radio-profile id 0
  service-set id 0 wlan 1
#
3,AR上(shàng)執行(xíng)commit ap all成功後,查詢到AP狀态正常。終端可(kě)以搜索到SSID“HWtest”。
4,使用終端進行(xíng)關聯時(shí)發現:如果安全認證方式為WEP,則終端可(kě)以順利關聯上(shàng);如果安全認證方式為WPA/WPA2時(shí),則終端無法關聯上(shàng)。
告警信息
當終端無法關聯上(shàng)時(shí),AR上(shàng)面出現如下告警:
AC WLAN/4/STA_AUTH_ERROR:OID 1.3.6.1.4.1.2011.6.139.6.9.1.1 Station author is error notify.(APID=0, APID=0,RadioID=0, ESSName=, StaMAC=[e4.ce.8f.ba.81.fe (hex)], APMAC=[10.47.80.07.72.60 (hex)], BssId=[10.47.80.07.72.60 (hex)], SSId=HWtest, AuthMethod=1, FailType=Status code, FailCause=15, FailCauseStr=Auth rejected because of challenge failure)
處理(lǐ)過程
此類問題屬于場(chǎng)景限制(zhì)功能,所以解決方案可(kě)以有(yǒu)以下幾種:
1,使用WEP作(zuò)為安全認證方式。
2,如果想要使用WPA/WPA2安全認證方式,則需要為AR添置LAN口闆卡,用二層口來(lái)下聯AP。
根因
經分析定位,最終找到原因為AR作(zuò)為AC時(shí),如果使用三層接口下聯AP,則無法支持WPA/WPA2安全認證方式。具體(tǐ)說明(míng)如下:
1,WEP認證的交互驗證隻存在于AP與STA之間(jiān)而無須到達AC,所以在AR使用三層接口下聯AP的場(chǎng)景下,終端可(kě)以正常上(shàng)線。
2,WPA/WPA2認證使用的是二層報文,并且需要到達AC,所以在AR使用三層接口下聯AP的場(chǎng)景下,由于此類認證交互報文AR三層接口無法正常處理(lǐ)導緻終端無法上(shàng)線。
建議與總結
在客戶組網中,如果使用AR作(zuò)為AC時(shí),最好為其配置LAN口闆卡用于下聯AP,這樣在選擇安全認證方式上(shàng)面才沒有(yǒu)限制(zhì)。