Problemen met 802.1X-clients oplossen op Catalyst 9800 voor draadloze LAN-controller: de Eapol/802.1X-versie wijzigen

Inleiding

In dit document wordt beschreven hoe u oude draadloze IoT-clients kunt aansluiten die geen ondersteuning bieden voor nieuwere 802.1X-versies.

Vereisten

Gebruikte componenten

Dit is gebaseerd op de Wireless LAN Controller Catalyst 9800 met een willekeurige Cisco IOS® XE 17.x-versie.

context

Het 802.1X-protocol heeft tot nu toe maximaal 3 versies. 802.1X-2001 is versie 1, 802.1X-2004 is versie 2, 802.1X-2010 en alle volgende revisies gebruiken versie 3-id.

De IEEE-standaard is heel duidelijk dat elk apparaat zijn maximaal ondersteunde versie moet adverteren en vervolgens een gemeenschappelijke versie moet overeenkomen, omdat alle versies achterwaarts compatibel zijn.

De Catalyst 9800 WLC maakt reclame voor 802.1X en eapol versie 3.

In veel gevallen antwoordt de draadloze client met 802.1X versie 1 en kan verificatie bijvoorbeeld de versie 1-implementatie blijven gebruiken.

Sommige specifieke oudere IoT-clients verwachten echter een specifieke 802.1X-versie aan de andere kant te zien en tolereren geen nieuwere versie die ze niet begrijpen. Dit is een overtreding van de norm. Soms kun je je IoT-apparaat echter niet eenvoudig bijwerken en moet je ermee leven. Het is daarom mogelijk om de 802.1X-versie op de controller aan te passen om deze clients te maken.

Er zijn geen goede redenen om deze versie te wijzigen, tenzij u bewijzen hebt dat u met dit probleem wordt geconfronteerd met een specifieke set clients!

Controleer of u dit probleem ondervindt

Hier is een voorbeeld van een werkend radioactief spoor waar de controller versie 3 adverteert, maar de client met recht antwoordt met een lagere versie en authenticatie kan doorgaan:

{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Posting RESTART on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Entering init state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Entering idle state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Posting !AUTH_ABORT on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Entering restart state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Resetting the client 0xD8000002
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Override cfg - MAC  - profile (none)
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Override cfg - SuppTimeout 30s, ReAuthMax 2, MaxReq 2, TxPeriod 30s
 {wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Sending create new context event to EAP for 0xD8000002 (7a9d.d7f6.710f)
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Posting !EAP_RESTART on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Enter connecting state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Restart connecting
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Posting RX_REQ on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Authenticating state entered
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Connecting authenticating action
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Entering request state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Setting EAPOL eth-type to 0x888e, destination mac to 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:capwap_9000002c] Sending out EAPOL packet
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 5, EAP-Type = Identity
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] EAP Packet - REQUEST, ID : 0x1 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:unknown] Pkt body: 01 01 00 05 01 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] EAPOL packet sent to client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 12, EAP-Type = Identity
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [:capwap_9000002c] EAP Packet - RESPONSE, ID : 0x1 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:unknown] Pkt body: 02 01 00 0c 01 34 34 37 33 36 34 35 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:capwap_9000002c] Queuing an EAPOL pkt on Authenticator Q
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:capwap_9000002c] Dequeued pkt: CODE = 2,TYPE = 1,LEN = 12

(...) RADIUS authentication follows

Een niet-werkende uitvoer ziet er vergelijkbaar uit totdat het EAP-identiteitsaanvraagbericht dat door de WLC/AP wordt verzonden, wordt weergegeven en de client er vervolgens niets op reageert.

Eapol/802.1X-versie wijzigen

WLC#show dot1x all
Sysauthcontrol                Disabled
Dot1x Protocol Version               3
WLC#config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
WLC(config)#service internal
WLC(config)#dot1x eapol version 2
WLC(config)#exit
WLC#show dot1x all
Sysauthcontrol                Disabled
Dot1x Protocol Version               2