问题

Symantec Endpoint Protection客户端无法通过Lan Enforcer环境的802.1x验证。 

环境

■ Symantec Endpoint Protection Manager 11.0 12.1

■ Symantec Endpoint Protection 客户端 RU6 MP1

■ Syamntec Network Access Control Enforcer 6100 12.1

■ 华为，迈普交换机。

原因

■ 排查过程：

1. 从交换机的 debug 日志记录，radius server 没有响应。

2. 从 Lan Enforcer 的 kernel log 看出：

Sep/23/2011 15:41:39 [ radproxy.c][ 7533]:

Send Verify UID RADIUS packet to Policy Manager

*.*.*.* for client SSA(**-**-**-**-**-**).

Sep/23/2011 15:41:51 [ radproxy.c][ 1453]:

Verify UID from SEPM timeout, Client UID is unknown,

Profile is set to invalid for 00000004..

Sep/23/2011 15:42:39 [ radproxy.c][ 605]:

Remove SSA(**-**-**-**-**-**)since it's timeout!

Sep/23/2011 15:42:52 [ radproxy.c][ 1988]:

Can not find forward table with id SSA(**-**-**-**-**-**),hash index=536,

Allocate a new one, License=(0/2147483647)

3. 从 Lan Enforcer 的抓包记录：

只有Enforcer到SEPM的RADIUS Access-Request(1)，没有 SEPM 到 Enforcer 的 Radius响应。

■ 分析过程：

1. 可能 SEPM 的 UDP 1812 端口不可达。

但是通过 netstat 发现 SEPM 的 UDP 1812 处于监听状态，并且在 SEPM 的抓包发现可以接收来自 Enforcer 的 raidus 报文。

2. 通过 netstat-nao 发现，SEPM 的 1812 端口被 svchost.exe 监听。

而实际上 SEPM 的 1812 端口在 11.x 版本被 w3wp.exe 监听，在 12.1 版本上被 httpd.exe 监听。

3. svchost.exe 代表 Windows 服务，查看服务发现 Internet Authentication Service(IAS) 处于运行的状态。

解决方案

关闭并禁用 Internet Authentication Service(IAS)；重新启动 Symantec Endpoint Protection Manager服务。此后所有客户端可以通过 802.1x 验证。

From Symantec

北京同力天合网络技术有限公司

TAPP（Technical Assistance Partner Program）

朱宗智

本期明星销售：徐国力

电话：13521877225

E-mail：xgl@it9173.com

如果电话敬请告知获得途径“新浪博客”