L'authentification Radius via le contrôleur sans fil échoue après le déploiement d'ION sur un site de succursale
3528
Created On 05/17/24 22:17 PM - Last Modified 01/07/25 05:52 AM
Symptom
- L'authentification Radius via le contrôleur sans fil échoue après le déploiement d'ION sur un site de succursale
- Aucun message accepté du serveur Radius dans les captures de paquets
- The packet length of the challenge message from the radius server is greater than 1300
0:43:23.603752 IP 10.218.110.50.1812 > 10.214.0.60.32771: RADIUS, Access-Challenge (11), id: 0x96 length: 1390 20:43:25.200062 IP 10.214.0.60.32774 > 10.218.110.50.1812: RADIUS, Access-Request (1), id: 0xc8 length: 444 20:43:25.203379 IP 10.218.110.50.1812 > 10.214.0.60.32774: RADIUS, Access-Challenge (11), id: 0xc8 length: 1390
Environment
- Prisma SDWAN
- Contrôleur sans fil Cisco
- Authentification Radius
Cause
- Lorsque la longueur du paquet est supérieure à 1300, l'ION fragmente les paquets
- Cette fragmentation brise l'authentification Radius
Resolution
Réduisez la taille MTU sur le contrôleur sans fil Cisco sur le site de la succursale à une taille inférieure ou égale à 1 000
Additional Information
After setting MTU to 1000 on the wireless controller Access-challenge packets are lesser in length
0:45:56.104219 IP 10.218.110.50.1812 > 10.214.0.60.32773: RADIUS, Access-Challenge (11), id: 0xee length: 90 20:45:56.141801 IP 10.214.0.60.32773 > 10.218.110.50.1812: RADIUS, Access-Request (1), id: 0xef length: 441 20:45:56.155349 IP 10.218.110.50.1812 > 10.214.0.60.32773: RADIUS, Access-Challenge (11), id: 0xef length: 1188 20:45:56.185041 IP 10.214.0.60.32773 > 10.218.110.50.1812: RADIUS, Access-Request (1), id: 0xf0 length: 286