【SU/SA客户端】SU认证失败,认证过程卡在“寻找认证服务器”阶段

发布时间: 2013-11-23 点击量:2229 打印 字体:

1、故障现象
启动SU认证后失败,认证的时候卡在“寻找认证服务器”阶段。

2、故障可能原因
客户端到认证交换机之间的线路中断
认证交换机配置不正确
   3)认证交换机无法响应802.1X报文

3、故障处理流程

4、故障处理步骤

步骤1 检查客户端到认证交换机的线路是否中断
    1. 该问题有可能出现在客户端未直接连接认证交换机,而是通过中间设备连接的网络环境中,网络拓扑一般如下图所示:
 

 2. 如上图所示,故障点有两个位置,首先需要根据观察故障用户操作系统的网卡状态,看是否在认证客户端到傻瓜交换机之间的链路是否稳定,如果经常出现网卡连接不上的情况,则为线路不稳定,可以尝试更换网线观察是否正常。
    3. 如果认证客户端到傻瓜交换机之间的链路稳定,则需要检查傻瓜交换机到接入交换机之间的链路是否稳定,由于该线路一般都是客户网络建设时提供,因此有可能无法通过直接更换网线的方式进行判断,可通过观察傻瓜交换机上联认证交换机的端口灯状态进行判断,或通过观察接在该认证交换机下的其他用户认证状态进行判断。
    4. 如果通过以上方法确认链路正常,或者认证客户端是直接与认证交换机互连的网络环境,则进入下一排查步骤。
 

步骤2 检查认证设备配置是否正确
    1. 登录认证设备,查看设备配置,确认设备配置正确,该故障对应的设备配置主要观察802.1X配置,如下所示,仅列出802.1X部分配置,需要确认认证设备是否打开802.1X认证功能,且故障用户对应端口是否设置为认证端口:
S21系列交换机
aaa authentication dot1x//确认是否配置该命令,该命令为打开802.1X功能
dot1x client-probe enable
dot1x timeout quiet-period 10
dot1x timeout tx-period 3
dot1x timeout server-timeout 5
dot1x reauth-max 3
dot1x max-req 3
interface range FastEthernet 0/1-8//确认是否将故障用户对应的端口设置为认证端口
dot1x port-control auto
10.X系列交换机
aaa new-model //开启aaa认证
aaa authentication login default group radius local //配置设备login认证方法
aaa authentication dot1x default group radius local none //配置dot1x认证方法
dot1x accounting compatible //开启dot1x记账功能
dot1x authentication compatible //开启dot1x认证功能
dot1x probe-timer alive 250 //配置hello生存时间
dot1x client-probe enable //配置hello功能
interface GigabitEthernet 0/1
dot1x port-control auto //端口使能dot1x认证
    2. 如确认认证设备配置正常但故障现象依旧,则进入下一排查步骤。
 

步骤3  检查认证设备是否可以正常响应802.1X报文
    1. 认证设备在极端情况下有可能出现无法响应认证报文的情况,主要有以下几种,需要根据不同的的现象制定响应的解决方案:
              1)由于认证交换机CPU高导致无法处理认证客户端的802.1X认证请求:可以通过在认证交换机上show cpu查看利用率,cpu利用率高有可能是由于攻击、扫描、大数据量传输等造成,不在此讨论。
              2)认证交换机硬件问题,需要进行更换。
    2. 排查该类问题也可以通过抓包的方式判断802.1X报文是否交互正常,正确的802.1X认证报文如下所示:
 

   1)如果在客户端操作系统上直接抓包,没有看到第一个eapol start的报文(如上图第1个报文),可能是由于网卡软硬件问题造成,请参考“SU认证失败(SU有具体提示信息)”故障处理步骤1-3进行排查。
              2)如果客户端有正确发出eapol start报文,但是在认证交换机镜像端口无法抓取到该报文,则可以判断为报文可能由于中间链路问题导致丢失。
              3)如1、2点正常,但是在认证交换机上未抓取到认证交换机对客户端发上来的eapol start的回应报文(如上图中第2个报文),则可以判断为认证交换机问题。
              4)如第3点交换机正确回应,但是未在客户端操作系统上抓取到该报文,则可以判断为该报文由于未知原因丢失,考虑到第一个报文可以正确投递,此时可以通过重新认证检查是否可以解决问题。
              5)如上图所示,第3个报文为客户端发送用户名进行认证,如果该报文确实,可以尝试重新认证检查是否解决。
 

步骤4  收集信息后,请联系4008111000协助处理
通过以上步骤,还未能排除故障,请拨打4008111000寻求技术支持,收集如下故障信息,进行故障进一步处理。
1 故障用户的SU软件版本号
           打开SU软件后可显示SU版本号
2 故障用户对应的认证交换机配置(show run命令)
3         故障用户认证时的操作系统抓包报文(Wireshark等抓包工具获取)
4         故障用户认证时的认证交换机镜像抓包报文(Wireshark等抓包工具获取)

 

 

00 分享 纠错
相关条目