【SU/SA客户端】SU认证失败，认证过程卡在“寻找认证服务器”阶段

发布时间：2013-11-23

点击量：6931

1、故障现象
启动SU认证后失败，认证的时候卡在“寻找认证服务器”阶段。

2、故障可能原因
客户端到认证交换机之间的线路中断
认证交换机配置不正确
3）认证交换机无法响应802.1X报文

3、故障处理流程

4、故障处理步骤

步骤1 检查客户端到认证交换机的线路是否中断
1. 该问题有可能出现在客户端未直接连接认证交换机，而是通过中间设备连接的网络环境中，网络拓扑一般如下图所示：

2. 如上图所示，故障点有两个位置，首先需要根据观察故障用户操作系统的网卡状态，看是否在认证客户端到傻瓜交换机之间的链路是否稳定，如果经常出现网卡连接不上的情况，则为线路不稳定，可以尝试更换网线观察是否正常。
3. 如果认证客户端到傻瓜交换机之间的链路稳定，则需要检查傻瓜交换机到接入交换机之间的链路是否稳定，由于该线路一般都是客户网络建设时提供，因此有可能无法通过直接更换网线的方式进行判断，可通过观察傻瓜交换机上联认证交换机的端口灯状态进行判断，或通过观察接在该认证交换机下的其他用户认证状态进行判断。
4. 如果通过以上方法确认链路正常，或者认证客户端是直接与认证交换机互连的网络环境，则进入下一排查步骤。

步骤2 检查认证设备配置是否正确
1. 登录认证设备，查看设备配置，确认设备配置正确，该故障对应的设备配置主要观察802.1X配置，如下所示，仅列出802.1X部分配置，需要确认认证设备是否打开802.1X认证功能，且故障用户对应端口是否设置为认证端口：
S21系列交换机
aaa authentication dot1x//确认是否配置该命令，该命令为打开802.1X功能
dot1x client-probe enable
dot1x timeout quiet-period 10
dot1x timeout tx-period 3
dot1x timeout server-timeout 5
dot1x reauth-max 3
dot1x max-req 3
interface range FastEthernet 0/1-8//确认是否将故障用户对应的端口设置为认证端口
dot1x port-control auto
10.X系列交换机
aaa new-model //开启aaa认证
aaa authentication login default group radius local //配置设备login认证方法
aaa authentication dot1x default group radius local none //配置dot1x认证方法
dot1x accounting compatible //开启dot1x记账功能
dot1x authentication compatible //开启dot1x认证功能
dot1x probe-timer alive 250 //配置hello生存时间
dot1x client-probe enable //配置hello功能
interface GigabitEthernet 0/1
dot1x port-control auto //端口使能dot1x认证
2. 如确认认证设备配置正常但故障现象依旧，则进入下一排查步骤。

步骤3 检查认证设备是否可以正常响应802.1X报文
    1. 认证设备在极端情况下有可能出现无法响应认证报文的情况，主要有以下几种，需要根据不同的的现象制定响应的解决方案：
              1）由于认证交换机CPU高导致无法处理认证客户端的802.1X认证请求：可以通过在认证交换机上show cpu查看利用率，cpu利用率高有可能是由于攻击、扫描、大数据量传输等造成，不在此讨论。
              2）认证交换机硬件问题，需要进行更换。
    2. 排查该类问题也可以通过抓包的方式判断802.1X报文是否交互正常，正确的802.1X认证报文如下所示：

   1）如果在客户端操作系统上直接抓包，没有看到第一个eapol start的报文（如上图第1个报文），可能是由于网卡软硬件问题造成，请参考“SU认证失败（SU有具体提示信息）”故障处理步骤1-3进行排查。
              2）如果客户端有正确发出eapol start报文，但是在认证交换机镜像端口无法抓取到该报文，则可以判断为报文可能由于中间链路问题导致丢失。
              3）如1、2点正常，但是在认证交换机上未抓取到认证交换机对客户端发上来的eapol start的回应报文（如上图中第2个报文），则可以判断为认证交换机问题。
              4）如第3点交换机正确回应，但是未在客户端操作系统上抓取到该报文，则可以判断为该报文由于未知原因丢失，考虑到第一个报文可以正确投递，此时可以通过重新认证检查是否可以解决问题。
              5）如上图所示，第3个报文为客户端发送用户名进行认证，如果该报文确实，可以尝试重新认证检查是否解决。

步骤4 收集信息后，请联系4008111000协助处理
通过以上步骤，还未能排除故障，请拨打4008111000寻求技术支持，收集如下故障信息，进行故障进一步处理。
1 故障用户的SU软件版本号
           打开SU软件后可显示SU版本号
2 故障用户对应的认证交换机配置（show run命令）
3         故障用户认证时的操作系统抓包报文（Wireshark等抓包工具获取）
4         故障用户认证时的认证交换机镜像抓包报文（Wireshark等抓包工具获取）