购买或续订
购买或续订
Umbrella 发布说明和公告现已在 Cisco 社区发布!点击查看详情。
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
883
查看次数
1
有帮助
8
回复

客户端获取不到IP地址,AC控制器日志报错 Authentication Aborted for client aa:bb:cc:dd:ee

查看解答
934334822
Level 1
Level 1

发布时间 ‎05-12-2024 07:07 PM

AC是WLC2504。日志报错内容如下:

*Dot1x_NW_MsgTask_4: May 13 09:59:07.914: #DOT1X-3-ABORT_AUTH: 1x_bauth_sm.c:449 Authentication Aborted for client aa:b4:c9:af:51:c4
*Dot1x_NW_MsgTask_1: May 13 09:59:03.388: #DOT1X-3-ABORT_AUTH: 1x_bauth_sm.c:449 Authentication Aborted for client e2:57:93:1a:af:81
*Dot1x_NW_MsgTask_4: May 13 09:59:02.900: #DOT1X-3-ABORT_AUTH: 1x_bauth_sm.c:449 Authentication Aborted for client aa:b4:c9:af:51:c4
*Dot1x_NW_MsgTask_3: May 13 09:59:02.283: #DOT1X-3-ABORT_AUTH: 1x_bauth_sm.c:449 Authentication Aborted for client 18:65:90:df:4a:6b

基本上都是这种报错,客户端获取不到地址,控制器看到客户端的地址全部为0.0.0.0,如下图

934334822_0-1715565854096.png

电脑连接无线,报错无法加入到此网络。如下图:

934334822_1-1715565964817.png

手机连接无线,弹出证书信任框,点击信任后仍旧连不上,如下图:

934334822_3-1715566018303.jpeg

 

934334822_2-1715566011627.jpeg

请大佬看看什么情况,找了半天资料,也没有找到解决方法

 

标签:
0 有帮助
1 个已接受解答

已接受的解答

查看解答
Rps-Cheers
VIP
VIP
回复 934334822

‎05-12-2024 08:09 PM - 编辑日期 ‎05-12-2024 08:12 PM 

*Dot1x_NW_MsgTask_4: May 13 10:37:36.046: f0:c3:71:c6:0f:2c Processing AAA Error 'Timeout' (-5) for mobile f0:c3:71:c6:0f:2c
*Dot1x_NW_MsgTask_4: May 13 10:37:36.046: f0:c3:71:c6:0f:2c Sent Deauthenticate to mobile on BSSID c4:b9:cd:22:69:b0 slot 1(caller 1x_auth_pae.c:1581)

Return AAA Error Timeout (-5) for Mobile,感觉可能还是和ISE有关系,通常这种情况表示AAA Server Unreachable的可能。不知道WLC和ISE之间是否还有其他中间设备,端口是否放开?

可以参考Verify Radius Server Connectivity with Test AAA Radius Command看看是否能做一些测试。

https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/212473-verify-radius-server-connectivity-with-t.html

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

在原帖中查看解决方案

0 有帮助
8 条回复8

查看解答
934334822
Level 1
Level 1

发布时间 ‎05-12-2024 07:24 PM

补充一下日志界面:

934334822_1-1715567008433.png

AC上看到的客户端的情况:

934334822_2-1715567066383.png

 

0 有帮助

查看解答
Rps-Cheers
VIP
VIP
回复 934334822

发布时间 ‎05-12-2024 07:28 PM

初步看就是客户端的L2认证802.1X没有通过。按前面我提到的内容可以先看看。

Snipaste_2024-05-13_10-27-12.pngSnipaste_2024-05-13_10-27-46.png

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !
0 有帮助

查看解答
Rps-Cheers
VIP
VIP

发布时间 ‎05-12-2024 07:26 PM

怀疑是客户端没有完成L2认证,所以无法获取到IP地址。

1.建议在关联不是的客户端上,点击进入某一个客户端,看看客户端无法连接处于的状态。(CLI上可以show client detail <mac-add> 查看;如果是GUI的话,点击您上面的某个客户端的MAC地址就可以了)

2.尝试开启debug看看客户端卡在哪个阶段。

  • 关闭客户端的随机MAC,断开客户端。
  • 在WLC上开启debug client <mac-add>
  • 然后让客户端关联该WLAN,等待客户端无法协商后,关闭debug,命令debug disable-all

3.show radius summ和ping ise的IP地址也可以看看是否正常。看是否和认证服务器之间信息交互。

提供一下相关的文件可以看看是什么原因。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

查看解答
934334822
Level 1
Level 1
回复 Rps-Cheers

发布时间 ‎05-12-2024 07:42 PM

大佬看下,AC跟radius之间的通信是没问题的

预览文件
26 KB
0 有帮助

查看解答
Rps-Cheers
VIP
VIP
回复 934334822

发布时间 ‎05-12-2024 07:59 PM 

apfPemAddUser2:session timeout forstation f0:c3:71:c6:0f:2c - Session Tout 0, apfMsTimeOut '0' and sessionTimerRunning flag is

这种报错,在PSK认证的配置下,可能是客户端上 WPA/WPA2 PSK 身份验证的密码配置错误。但是你的是802.1X认证,可以再看看

show wlan x (x 表示WLAN id)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !
0 有帮助

查看解答
934334822
Level 1
Level 1
回复 Rps-Cheers

发布时间 ‎05-12-2024 08:08 PM

目前取消radius认证了,无线暂时无需认证,可以使用了,情况没办法复现了。问题可能出来radius服务器上。感谢大佬

0 有帮助

查看解答
Rps-Cheers
VIP
VIP
回复 934334822

发布时间 ‎05-12-2024 08:14 PM

可以,那后续需要恢复802.1X认证之后,你可以再检查看看。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !
0 有帮助

查看解答
Rps-Cheers
VIP
VIP
回复 934334822

‎05-12-2024 08:09 PM - 编辑日期 ‎05-12-2024 08:12 PM 

*Dot1x_NW_MsgTask_4: May 13 10:37:36.046: f0:c3:71:c6:0f:2c Processing AAA Error 'Timeout' (-5) for mobile f0:c3:71:c6:0f:2c
*Dot1x_NW_MsgTask_4: May 13 10:37:36.046: f0:c3:71:c6:0f:2c Sent Deauthenticate to mobile on BSSID c4:b9:cd:22:69:b0 slot 1(caller 1x_auth_pae.c:1581)

Return AAA Error Timeout (-5) for Mobile,感觉可能还是和ISE有关系,通常这种情况表示AAA Server Unreachable的可能。不知道WLC和ISE之间是否还有其他中间设备,端口是否放开?

可以参考Verify Radius Server Connectivity with Test AAA Radius Command看看是否能做一些测试。

https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/212473-verify-radius-server-connectivity-with-t.html

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !
0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频
Customers Also Viewed These Support Documents