AR路由器作为AC并且使用WPA或WPA2安全认证方式时终端无法上线
2014/10/12 13:46:51点击:
问题描述
1,简单组网如下:
AR(G0/0/1)----------------- AP 5010DN-AGN
2,AR上关键配置如下:
#
dot1x enable
dhcp enable
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/0.100
dot1q termination vid 100
ip address 172.16.1.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet0/0/0.101
dot1q termination vid 101
ip address 172.16.2.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Wlan-Ess1
port hybrid pvid vlan 101
port hybrid tagged vlan 101
#
wlan ac
wlan ac source interface loopback0
ap-region id 10
ap-auth-mode no-auth
ap id 0 type-id 30 mac XXXX-XXXX-XXXX sn YYYYYYYYYYYYYYYYYY
region-id 10
wmm-profile name w1 id 0
traffic-profile name t1 id 0
security-profile name s1 id 1
wep authentication-method share-key
wep key wep-40 pass-phrase 0 simple ********
security-profile name s2 id 2
security-policy wpa2
wpa authentication-method psk pass-phrase cipher ********** encryption-method ccmp
……
service-set name test id 0
wlan-ess 1
ssid HWtest
traffic-profile id 0
security-profile id 1
service-vlan 101
radio-profile name r1 id 0
wmm-profile id 0
ap 0 radio 0
radio-profile id 0
service-set id 0 wlan 1
#
3,AR上执行commit ap all成功后,查询到AP状态正常。终端可以搜索到SSID“HWtest”。
4,使用终端进行关联时发现:如果安全认证方式为WEP,则终端可以顺利关联上;如果安全认证方式为WPA/WPA2时,则终端无法关联上。
AR(G0/0/1)----------------- AP 5010DN-AGN
2,AR上关键配置如下:
#
dot1x enable
dhcp enable
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/0.100
dot1q termination vid 100
ip address 172.16.1.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet0/0/0.101
dot1q termination vid 101
ip address 172.16.2.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Wlan-Ess1
port hybrid pvid vlan 101
port hybrid tagged vlan 101
#
wlan ac
wlan ac source interface loopback0
ap-region id 10
ap-auth-mode no-auth
ap id 0 type-id 30 mac XXXX-XXXX-XXXX sn YYYYYYYYYYYYYYYYYY
region-id 10
wmm-profile name w1 id 0
traffic-profile name t1 id 0
security-profile name s1 id 1
wep authentication-method share-key
wep key wep-40 pass-phrase 0 simple ********
security-profile name s2 id 2
security-policy wpa2
wpa authentication-method psk pass-phrase cipher ********** encryption-method ccmp
……
service-set name test id 0
wlan-ess 1
ssid HWtest
traffic-profile id 0
security-profile id 1
service-vlan 101
radio-profile name r1 id 0
wmm-profile id 0
ap 0 radio 0
radio-profile id 0
service-set id 0 wlan 1
#
3,AR上执行commit ap all成功后,查询到AP状态正常。终端可以搜索到SSID“HWtest”。
4,使用终端进行关联时发现:如果安全认证方式为WEP,则终端可以顺利关联上;如果安全认证方式为WPA/WPA2时,则终端无法关联上。
告警信息
当终端无法关联上时,AR上面出现如下告警:
AC WLAN/4/STA_AUTH_ERROR:OID 1.3.6.1.4.1.2011.6.139.6.9.1.1 Station author is error notify.(APID=0, APID=0,RadioID=0, ESSName=, StaMAC=[e4.ce.8f.ba.81.fe (hex)], APMAC=[10.47.80.07.72.60 (hex)], BssId=[10.47.80.07.72.60 (hex)], SSId=HWtest, AuthMethod=1, FailType=Status code, FailCause=15, FailCauseStr=Auth rejected because of challenge failure)
AC WLAN/4/STA_AUTH_ERROR:OID 1.3.6.1.4.1.2011.6.139.6.9.1.1 Station author is error notify.(APID=0, APID=0,RadioID=0, ESSName=, StaMAC=[e4.ce.8f.ba.81.fe (hex)], APMAC=[10.47.80.07.72.60 (hex)], BssId=[10.47.80.07.72.60 (hex)], SSId=HWtest, AuthMethod=1, FailType=Status code, FailCause=15, FailCauseStr=Auth rejected because of challenge failure)
处理过程
此类问题属于场景限制功能,所以解决方案可以有以下几种:
1,使用WEP作为安全认证方式。
2,如果想要使用WPA/WPA2安全认证方式,则需要为AR添置LAN口板卡,用二层口来下联AP。
1,使用WEP作为安全认证方式。
2,如果想要使用WPA/WPA2安全认证方式,则需要为AR添置LAN口板卡,用二层口来下联AP。
根因
经分析定位,最终找到原因为AR作为AC时,如果使用三层接口下联AP,则无法支持WPA/WPA2安全认证方式。具体说明如下:
1,WEP认证的交互验证只存在于AP与STA之间而无须到达AC,所以在AR使用三层接口下联AP的场景下,终端可以正常上线。
2,WPA/WPA2认证使用的是二层报文,并且需要到达AC,所以在AR使用三层接口下联AP的场景下,由于此类认证交互报文AR三层接口无法正常处理导致终端无法上线。
1,WEP认证的交互验证只存在于AP与STA之间而无须到达AC,所以在AR使用三层接口下联AP的场景下,终端可以正常上线。
2,WPA/WPA2认证使用的是二层报文,并且需要到达AC,所以在AR使用三层接口下联AP的场景下,由于此类认证交互报文AR三层接口无法正常处理导致终端无法上线。
建议与总结
在客户组网中,如果使用AR作为AC时,最好为其配置LAN口板卡用于下联AP,这样在选择安全认证方式上面才没有限制。
- 上一篇:AR G3双向NAT配置举例 2014/10/12
- 下一篇:AR1200串口经协议转换器和友商路由器对接协议不UP 2014/10/12