我为许多客户收到此错误。我不认为它们会断开连接,但它只是填满了我的日志:
xtrcca204wm40: *Dot1x_NW_MsgTask_3: Dec 15 17:22:36.045: #DOT1X-3-INVALID_WPA_KEY_MSG_STATE: 1x_eapkey.c:957 Received invalid EAPOL-key M2 msg in START state - invalid secure bit; KeyLen 40, Key type 1, client cc:3d:82:5d:f5:43
我已经阅读了许多与此相关的 Cisco 帖子,他们建议将 EAPOL-Key 超时更改为 5000 毫秒。我可能会在本周五尝试使用这些值,但是增加(或减少)该值真的会有所帮助吗?我们使用默认值 1000 毫秒。谢谢。
此错误是由 Windows 7 客户端专门引起的。
Cisco 已意识到此问题,但从未在控制器上修复此问题。由于 Cisco Bug 工具需要访问权限,因此我已按照 Cisco 的描述发布了答案。
在我们自己的设置中,每天有 11 到 12.000 个客户端,我们在 WLC 8540 上遇到了大量这样的错误。
该错误可以在这里找到:https : //bst.cloudapps.cisco.com/bugsearch/bug/CSCuh22382
案例描述:
症状:使用 WPA2 连接到无线网络的 Windows 7 客户端和会话超时可能会在重新验证后的密钥交换过程中断开连接。
这是因为在重新生成密钥的过程中,Win7 客户端正在发送消息 M2,其中 WLC 认为这是一个 MIC 错误。WLC 上的“调试客户端”将显示类似于以下内容的消息:
*Dot1x_NW_MsgTask_0: Apr 01 23:27:38.321: 60:67:20:b6:20:f4 EAPOL-key M2 with invalid secure bit (set) received from mobile 60:67:20:b6:20:f4
*Dot1x_NW_MsgTask_0: Apr 01 23:27:38.321: 60:67:20:b6:20:f4 Received EAPOL-key M2 with invalid MIC from mobile 60:67:20:b6:20:f4
*osapiBsnTimer: Apr 01 23:27:39.427: 60:67:20:b6:20:f4 802.1x 'timeoutEvt' Timer expired for station 60:67:20:b6:20:f4 and for message = M2
*dot1xMsgTask: Apr 01 23:27:39.427: 60:67:20:b6:20:f4 Retransmit 1 of EAPOL-Key M1 (length 121) for mobile 60:67:20:b6:20:f4
通常此时WLC会重传M1,然后客户端第二次发送它的M2,不会有无效的MIC,密钥交换成功。
条件:Windows 7 客户端通过 WPA2/AES 和 EAP 连接到无线网络,并在 WLAN 上启用会话超时。
所有客户端芯片组都会出现此问题。
解决方法:使用 WPA1 或禁用会话超时。
可以通过减少 EAPOL 密钥重传超时(例如“配置高级 eap eapol-key-timeout 300”)来缓解此问题。请注意,减少此值可能会对与一些非常旧且速度较慢的客户端的密钥协商产生负面影响。
更多信息:如何复制:
这个错误被标记为垃圾,因为它是微软的错误,而不是思科的错误。