المقدمة
يوضح هذا المستند كيفية المساعدة في توصيل عملاء IoT اللاسلكي القدامى الذين لا يؤيدون الإصدارات الأحدث من 802.1X.
المتطلبات
المكونات المستخدمة
يعتمد هذا على وحدة التحكم في الشبكة المحلية اللاسلكية Catalyst 9800 التي تشغل أي إصدار Cisco IOS® XE 17.x.
سياق
يحتوي بروتوكول 802.1X على ما يصل إلى 3 إصدارات حتى الآن. 802. 1X-2001 هو الإصدار 1، 802. 1X-2004 هو الإصدار 2، 802. 1X-2010 وجميع المراجعات اللاحقة تستخدم معرف الإصدار 3.
معيار IEEE واضح للغاية حيث يجب على كل جهاز الإعلان عن أقصى إصدار مدعوم له ثم الموافقة على إصدار مشترك حيث أن جميع الإصدارات متوافقة مع الإصدارات السابقة.
المادة حفازة 9800 WLC يعلن 802.1X و eapol صيغة 3.
في كثير من الحالات، يستجيب العميل اللاسلكي باستخدام الإصدار 1 من معيار 802.1X ويمكن أن تستمر المصادقة باستخدام تطبيق الإصدار 1 على سبيل المثال.
ومع ذلك، يتوقع بعض عملاء "الإنترنت لكل الأشياء" القدامى مشاهدة إصدار 802.1X محدد على الطرف الآخر ولا يتسامحون مع رؤية إصدار أحدث لا يفهمونه. هذا انتهاك للمعيار. ومع ذلك، في بعض الأحيان، لا يمكنك تحديث جهاز "الإنترنت لكل الأشياء" لديك بسهولة ويجب أن تتعايش معه. وبالتالي، من الممكن تعديل إصدار 802.1X على وحدة التحكم لإنشاء هؤلاء العملاء.
لا توجد أسباب وجيهة لتعديل هذا الإصدار ما لم يكن لديك أدلة على أنك تواجه هذه المشكلة مع مجموعة معينة من العملاء !
تأكد من أنك تواجه هذه المشكلة
وفيما يلي عينة من التتبع الإشعاعي العامل حيث تعلن وحدة التحكم عن الإصدار 3 ولكن العميل يرد بشكل صحيح بإصدار أقل ويمكن أن تستمر المصادقة:
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Posting RESTART on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Entering init state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Entering idle state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Posting !AUTH_ABORT on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Entering restart state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Resetting the client 0xD8000002
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Override cfg - MAC <MAC> - profile (none)
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Override cfg - SuppTimeout 30s, ReAuthMax 2, MaxReq 2, TxPeriod 30s
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Sending create new context event to EAP for 0xD8000002 (7a9d.d7f6.710f)
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Posting !EAP_RESTART on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Enter connecting state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Restart connecting
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Posting RX_REQ on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Authenticating state entered
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Connecting authenticating action
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Entering request state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Setting EAPOL eth-type to 0x888e, destination mac to
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:capwap_9000002c] Sending out EAPOL packet
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 5, EAP-Type = Identity
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] EAP Packet - REQUEST, ID : 0x1
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:unknown] Pkt body: 01 01 00 05 01
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] EAPOL packet sent to client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 12, EAP-Type = Identity
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] EAP Packet - RESPONSE, ID : 0x1
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:unknown] Pkt body: 02 01 00 0c 01 34 34 37 33 36 34 35
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:capwap_9000002c] Queuing an EAPOL pkt on Authenticator Q
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:capwap_9000002c] Dequeued pkt: CODE = 2,TYPE = 1,LEN = 12
(...) RADIUS authentication follows
يبدو الإخراج غير العامل متماثلا حتى رسالة طلب هوية EAP التي يتم إرسالها بواسطة WLC/AP ثم لا يستجيب العميل لأي شيء لها.
تغيير إصدار EAPOL/802.1X
WLC#show dot1x all
Sysauthcontrol Disabled
Dot1x Protocol Version 3
WLC#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
WLC(config)#service internal
WLC(config)#dot1x eapol version 2
WLC(config)#exit
WLC#show dot1x all
Sysauthcontrol Disabled
Dot1x Protocol Version 2
التعليقات