交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1、故障现象
启动SU认证后失败,认证的时候卡在“寻找认证服务器”阶段。
2、故障可能原因
客户端到认证交换机之间的线路中断
认证交换机配置不正确
3)认证交换机无法响应802.1X报文
3、故障处理流程
4、故障处理步骤
步骤1 检查客户端到认证交换机的线路是否中断
1. 该问题有可能出现在客户端未直接连接认证交换机,而是通过中间设备连接的网络环境中,网络拓扑一般如下图所示:
2. 如上图所示,故障点有两个位置,首先需要根据观察故障用户操作系统的网卡状态,看是否在认证客户端到傻瓜交换机之间的链路是否稳定,如果经常出现网卡连接不上的情况,则为线路不稳定,可以尝试更换网线观察是否正常。
3. 如果认证客户端到傻瓜交换机之间的链路稳定,则需要检查傻瓜交换机到接入交换机之间的链路是否稳定,由于该线路一般都是客户网络建设时提供,因此有可能无法通过直接更换网线的方式进行判断,可通过观察傻瓜交换机上联认证交换机的端口灯状态进行判断,或通过观察接在该认证交换机下的其他用户认证状态进行判断。
4. 如果通过以上方法确认链路正常,或者认证客户端是直接与认证交换机互连的网络环境,则进入下一排查步骤。
步骤2 检查认证设备配置是否正确
1. 登录认证设备,查看设备配置,确认设备配置正确,该故障对应的设备配置主要观察802.1X配置,如下所示,仅列出802.1X部分配置,需要确认认证设备是否打开802.1X认证功能,且故障用户对应端口是否设置为认证端口:
S21系列交换机
aaa authentication dot1x//确认是否配置该命令,该命令为打开802.1X功能
dot1x client-probe enable
dot1x timeout quiet-period 10
dot1x timeout tx-period 3
dot1x timeout server-timeout 5
dot1x reauth-max 3
dot1x max-req 3
interface range FastEthernet 0/1-8//确认是否将故障用户对应的端口设置为认证端口
dot1x port-control auto
10.X系列交换机
aaa new-model //开启aaa认证
aaa authentication login default group radius local //配置设备login认证方法
aaa authentication dot1x default group radius local none //配置dot1x认证方法
dot1x accounting compatible //开启dot1x记账功能
dot1x authentication compatible //开启dot1x认证功能
dot1x probe-timer alive 250 //配置hello生存时间
dot1x client-probe enable //配置hello功能
interface GigabitEthernet 0/1
dot1x port-control auto //端口使能dot1x认证
2. 如确认认证设备配置正常但故障现象依旧,则进入下一排查步骤。
步骤3 检查认证设备是否可以正常响应802.1X报文
1. 认证设备在极端情况下有可能出现无法响应认证报文的情况,主要有以下几种,需要根据不同的的现象制定响应的解决方案:
1)由于认证交换机CPU高导致无法处理认证客户端的802.1X认证请求:可以通过在认证交换机上show cpu查看利用率,cpu利用率高有可能是由于攻击、扫描、大数据量传输等造成,不在此讨论。
2)认证交换机硬件问题,需要进行更换。
2. 排查该类问题也可以通过抓包的方式判断802.1X报文是否交互正常,正确的802.1X认证报文如下所示:
1)如果在客户端操作系统上直接抓包,没有看到第一个eapol start的报文(如上图第1个报文),可能是由于网卡软硬件问题造成,请参考“SU认证失败(SU有具体提示信息)”故障处理步骤1-3进行排查。
2)如果客户端有正确发出eapol start报文,但是在认证交换机镜像端口无法抓取到该报文,则可以判断为报文可能由于中间链路问题导致丢失。
3)如1、2点正常,但是在认证交换机上未抓取到认证交换机对客户端发上来的eapol start的回应报文(如上图中第2个报文),则可以判断为认证交换机问题。
4)如第3点交换机正确回应,但是未在客户端操作系统上抓取到该报文,则可以判断为该报文由于未知原因丢失,考虑到第一个报文可以正确投递,此时可以通过重新认证检查是否可以解决问题。
5)如上图所示,第3个报文为客户端发送用户名进行认证,如果该报文确实,可以尝试重新认证检查是否解决。
步骤4 收集信息后,请联系4008111000协助处理
通过以上步骤,还未能排除故障,请拨打4008111000寻求技术支持,收集如下故障信息,进行故障进一步处理。
1 故障用户的SU软件版本号
打开SU软件后可显示SU版本号
2 故障用户对应的认证交换机配置(show run命令)
3 故障用户认证时的操作系统抓包报文(Wireshark等抓包工具获取)
4 故障用户认证时的认证交换机镜像抓包报文(Wireshark等抓包工具获取)