【SU/SA客户端】SU认证失败，认证过程卡在“连接认证服务器”阶段

发布时间：2013-11-23

点击量：9014

1、故障现象
启动SU认证后失败，认证的时候卡在“连接认证服务器”阶段。

2、故障可能原因
1）认证交换机到认证服务器之间的线路中断
2）认证交换机配置错误
3）认证服务器配置错误
4）认证交换机没有发出正确的radius报文
5）认证服务器没有响应radius报文

3、故障处理流程

4、故障处理步骤

步骤1 检查认证交换机到认证服务器的线路是否中断
              发生该故障的第一反应是发出去的radius报文没到认证服务器，应该是中间的链路断了，首先排查认证交换机到认证服务器的链路状态是否正常，可以采用两种方式进行双向对比：
    1. 方法一：采用从认证交换机ping认证服务器，看是否正常，如下所示：
    1）     使用终端软件或者操作系统命令行管理页面，输入telnet命令登录到认证交换机上：

2）输入正确登录信息后进入认证交换机特权模式：

3）输入ping+认证服务器IP地址，观察是否可以ping通，对于锐捷交换机，返回“！”即为可以ping通，返回“.”即为不通：

2. 方法二：从认证服务器ping认证交换机地址，看是否正常
1）打开认证服务器命令行界面：

2）输入命令ping+认证交换机IP地址，观察是否可以ping通，如有返回replay即为可以ping通，如返回超时，则为不通：

    3. 根据以上方法判断认证交换机到认证服务器之间的链路是否正常，如果网络不通，且中间存在多层网络，可以按照上述方法逐层排查，例如：从认证服务器ping汇聚层交换机，ping核心交换机，ping服务器所在交换机，从而判断哪段网络出现问题。
    4. 如物理链路正常，另一种可能性是IP地址配置错误导致无法通讯，进入下一排查步骤。
    5. 如通过以上方法确认网络连通正常，进入下一排查步骤。

步骤2 检查认证交换机配置是否正确
1. 登录认证交换机，如下所示：
1）使用终端软件或者操作系统命令行管理页面，输入telnet命令登录到认证交换机上：

2）输入正确登录信息后进入认证交换机特权模式：

2. 输入show run命令确认radius关键配置、是否正确
一般来说，以下配置为radius功能必须，请务必配置
S21系列交换机
radius-server host 192.168.33.214； //配置认证服务器IP地址
aaa accounting server 192.168.33.214 //配置计费服务器IP地址
aaa accounting //打开计费
aaa accounting update //开启记费更新
radius-server key test //配置认证服务器的key为test字符串，需要与认证服务器上配置一致
ip address 192.168.33.222 255.255.255.0//配置该认证交换机的IP地址为192.168.33.222
ip default-gateway 192.168.33.1//配置该认证交换机的默认网关为192.168.33.1
10.X系列交换机
aaa new-model //开启aaa认证
aaa accounting update periodic 3600 //定义记账更新间隔
aaa accounting update //开启记账更新
aaa accounting network default start-stop group radius //配置记账功能
aaa group server radius compatible //定义记账服务器
server 192.168.33.214 //定义记账服务器IP
aaa authentication login default group radius local //配置设备login认证方法
aaa authentication dot1x default group radius local none //配置dot1x认证方法
radius-server host 192.168.33.214 //定义认证服务器IP
radius-server key 0 ruijie //配置Radius key
snmp-server community public rw
interface VLAN 1
ip address 192.168.33.222 255.255.255.0//配置该认证交换机IP地址为192.168.33.222
ip route 192.168.33.0 255.255.255.0 192.168.33.1//配置该认证交换机默认网关为192.168.33.1
关注点：
1、是否开启radius认证
2、是否配置正确的radius服务器
3、是否配置正确的radius key
4、涉及记账是否开启记账功能
5、是否配置正确的IP地址与网关

步骤3 检查认证服务器配置是否正确
1. web登录SAM管理页面，打开系统管理--->设备管理页面，如下图所示：

2. 选择相对应的认证交换机进行查看，如下图所示：

3. 确认认证交换机IP地址，ip类型，设备类型，设备key，设备型号是否配置正确，与实际认证交换机是否一致，如下图所示：

4. 确认配置正确后可在设备管理页面使用telnet功能尝试登陆，看是否可以成功登陆：

5. 如确认以上配置正确，且网络通讯正常，但是故障依旧，则进入下一排查步骤。

步骤4 检查认证交换机是否正常发送radius报文
1. 在交换机上联口或SAM服务器进行镜像抓包，以确认交换机是否向认证服务器发送radius报文：

如上图所示，其中第一个报文为交换机向认证服务器发送radius请求
1）如在交换机上联口抓包过程中未发现该报文，则可以判断为交换机问题，需要排查交换机配置，硬件问题
2）如在SAM服务器上未抓取到该报文，则可以判断为交换机或中间链路问题
2. 如交换机已向radius服务器发送正确的radius报文，故障依旧，则进入下一排查步骤。

步骤5 检查认证服务器是否正确响应radius报文
1. 在交换机上联口或SAM服务器进行镜像抓包，以确认SAM是否对认证交换机发出的radius报文进行响应：

如上图所示，第二个报文为radius服务器针对交换机发上来的radius请求进行响应
1）如在交换机上联口未抓取到该报文，则可以判断为SAM端或中间链路问题。
2）如在SAM上未抓取到该报文，则需要分为多种情况分析：
a SAM服务器由于负载高，无法对报文进行响应：
打开SAM服务器操作系统windows任务管理器，查看操作系统CPU、内存利用率是否正常，如CPU、内存利用率非常高，则有可能由于系统原因无法响应操作：

b SAM系统由于性能问题，导致无法响应报文
进入SAM管理页面，在首页上查看SAM系统认证状态，如发现缓冲区已被占满，则SAM系统可能由于性能问题无法正确响应报文：

c 查看SAM服务器防火墙软件是否禁用了SAM系统认证通讯端口，为保证SAM系统的正常运行，请确认以下端口不被禁用，本故障重点关注认证与计费端口：
01）认证端口：1812（UDP） ——可在Web管理端配置
02）计费端口：1813（UDP） ——可在Web管理端配置
03）网关流量计费：4739（TCP） ——可在Web管理端配置
04）Web管理：8080，8443（HTTP） ——可在服务管理器中配置
05）内存同步：7810，7811，7812（TCP）
06）第三方通知端口：8093（TCP）
07）AJP端口：8009（TCP）
08）RMI端口：1098（TCP）
09）JNP端口：1099（TCP）
10）JBossMQ OIL service端口：8090（TCP）
11）JBossMQ OIL2 service端口：8092（TCP）
12）JBossMQ UIL service端口：8093（TCP）
13）RMIOBJECTPort端口：4444（TCP）
14）ServerBindPort端口：4445（TCP） 31
15）JBoss SNMP Agent端口：1162（UDP）
16）时间同步的端口：123（UDP）
第三方程序端口：
1）SQL Server的默认监听端口：1433（TCP） ——可在数据库软件中配置
2）SQL Server的默认监听端口：1434（TCP） ——可在数据库软件中配置
3）ORACLE的默认监听端口：1512（TCP） ——可在数据库软件中配置

步骤6 收集信息后，请联系4008111000协助处理
通过以上步骤，还未能排除故障，请拨打4008111000寻求技术支持，收集如下故障信息，进行故障进一步处理。
1 认证交换机配置：通过登录交换机上使用show run命令获取
2 SAM系统版本号，主要配置，参考步骤3
3 SAM服务器运行状态，主要包括windows状态、SAM系统状态
4 抓包报文（Wireshark等抓包工具获取）