- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-802.1X故障处理手册
本章节下载: 01-802.1X故障处理手册 (273.02 KB)
802.1X用户认证失败或认证异常。
本类故障的常见原因主要包括:
· 全局或接口802.1X功能未开启。
· 802.1X客户端不能正常发送或接收认证报文。
· 设备配置的认证方式与RADIUS服务器不一致。
· 802.1X用户使用的认证域及相关配置错误。
· RADIUS服务器无回应。
· RADIUS服务器认证拒绝。
· 授权属性下发失败。
· 802.1X认证用户的MAC地址被其它端口绑定。
· 802.1X用户处于静默状态。
· 802.1X在线用户数达到最大值。
本类故障的诊断流程如图1-1所示。
图1-1 802.1X用户认证失败的故障诊断流程图
· Debug开关不能在设备正常运行时随意开启,可在故障发生后复现故障场景时打开。
· 请及时保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。
(1) 检查设备全局或接口802.1X功能是否开启。
通过在设备上执行display dot1x命令,检查全局和认证接口上的802.1X功能是否开启。
¡ 如果提示“802.1X is not configured.”,表示全局802.1X功能未开启,请在系统视图下执行dot1x命令,开启全局802.1X认证功能。
¡ 如果有全局配置信息,无接口下的配置信息显示,则说明接口下未开启802.1X功能,请在认证接口视图下执行dot1x命令。
(2) 检查802.1X客户端是否能正常发送或接收认证报文。
¡ 检查802.1X客户端版本是否为设备和服务器支持的版本。
¡ 检查设备与802.1X客户端间的链路连接是否正常。
¡ 通过抓包检查设备与客户端间是否能正常收发数据报文,分析抓包文件进一步定位故障问题。
(3) 检查设备上配置的认证方法与RADIUS服务器是否一致。
设备上802.1X系统支持两种认证方法:EAP终结(PAP和CHAP)和EAP中继(EAP),配置EAP认证方法时需要注意以下几点:
¡ 保证设备和RADIUS服务器配置的认证方法一致,且客户端支持。
¡ 本地认证仅支持EAP终结方式。
通过在设备上执行display dot1x命令查看当前802.1X采用的认证方式。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
DR member configuration conflict : Unknown
EAP authentication : Enabled
…
如果与服务器不一致,可通过dot1x authentication-method命令修改。
(4) 检查认证域及相关配置是否正确。
802.1X用户按照如下先后顺序选择认证域:端口上指定的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。
a. 通过在设备上执行display dot1x命令查看认证接口下是否配置了802.1X用户的强制认证域。
<Sysname> display dot1x
…
GigabitEthernet0/0/1 is link-up
802.1X authentication : Enabled
…
Multicast trigger : Enabled
Mandatory auth domain : Not configured
…
如果配置了强制认证域,请执行display domain命令检查强制认证域下的认证方案是否配置准确。
b. 如果没有配置强制认证域,若802.1X用户名中包含域名,请确认域名分隔符与RADIUS服务器支持的域名分隔符保持一致,然后根据用户名中包含的域名找到指定域并检查其配置。
c. 如果802.1X用户名中未包含域名,则检查缺省认证域的配置。
d. 如果不存在缺省认证域,若通过domain if-unknown命令配置了unknown域,则检查unknown域下的认证方案是否配置准确。
e. 如果根据以上原则决定的认证域在设备上都不存在,则用户无法完成认证。
(5) 检查RADIUS服务器有无响应。
具体的故障定位操作请参见《AAA故障处理手册》的“RADIUS服务器无响应”。
(6) 检查下线原因是否为认证拒绝。
a. 执行debugging dot1x event命令打开802.1X认证事件调试开关:
- 若系统打印调试信息“Local authentication request was rejected.”,则表示本地认证拒绝。导致本地认证拒绝的原因有本地用户不存在、用户名密码错误、用户服务类型错误等。
- 若系统打印调试信息“The RADIUS server rejected the authentication request.”,则表示RADIUS服务器认证拒绝。RADIUS服务器认证拒绝有多种原因,最常见的有服务器上未添加用户名、用户名密码错误、RADIUS服务器授权策略无法匹配等。通过执行debugging radius error命令打开RADIUS错误调试信息开关查看相关的Debug信息,并且同时可以在设备上执行test-aaa命令发起RADIUS请求测试,定位故障问题后,调整服务器、设备及客户端配置。
b. 执行display aaa online-fail-record命令,通过显示信息里的Online failure reason字段确认认证失败原因。
(7) 检查授权属性是否下发失败。
a. 执行debugging dot1x event打开802.1X认证事件调试开关。如果系统打印调试信息“Authorization failure.”,则表示授权失败。
b. 检查设备上是否通过port-security authorization-fail offline命令配置了授权失败用户下线功能。如果未配置授权失败用户下线功能,缺省情况下授权失败用户也可以保持在线,则用户不是因为授权失败而导致认证失败,继续定位其它故障原因。
c. 如果配置了授权失败用户下线功能,执行dot1x access-user log enable failed-login命令打开802.1X接入用户上线失败日志功能,通过“DOT1X_LOGIN_FAILURE”日志确认授权失败的属性(例如授权ACL、VLAN)。
d. 检查服务器上的授权属性(例如授权ACL、VLAN)设置是否正确,确保服务器下发的授权属性内容准确。
e. 执行display acl或display vlan命令检查设备上对应的授权属性是否存在,如果不存在,需要在设备上创建相应的授权属性,确保用户能够获取到授权的信息。
(8) 检查802.1X用户的MAC地址是否绑定失败。
a. 执行debugging dot1x event命令打开802.1X事件调试信息开关。如果系统打印调试信息“MAC binding processing failure.”,则表示802.1X用户的MAC地址绑定处理失败。
b. 执行dot1x access-user log enable failed-login命令打开802.1X接入用户上线失败日志功能,通过“DOT1X_MACBINDING_EXIST”日志确认用户上线失败的原因为用户MAC地址绑定了其他端口。
c. 在设备上通过undo dot1x mac-binding命令取消用户MAC地址与其它端口的绑定关系。
(9) 检查802.1X用户是否处于静默状态。
在设备上执行display dot1x命令,显示信息中“Quiet timer”和“Quiet period”字段显示的是静默定时器的开启状态和静默时长,“Online 802.1X users”字段下如果用户的“Auth state”显示为“Unauthenticated”时,则表示该用户为802.1X静默用户。
静默期间,设备将不对静默用户进行802.1X认证处理。用户需等待静默时间老化后,重新发起802.1X认证,同时也可通过执行dot1x timer quiet-period命令重新设置静默时长。
(10) 检查802.1X在线用户数是否达到最大值。
a. 在设备上执行display dot1x interface查看认证接口下的信息,“Max online users”字段为该接口下配置的最大用户数,“Online 802.1X users”字段为接口下当前在线用户数,对比两组数据判断802.1X认证在线用户数是否已经达到最大值。
b. 如果接口接入的802.1X用户数达到最大值,可以通过dot1x max-user命令增大最多允许同时接入的802.1X用户数。
c. 如果接口接入的802.1X用户数无法再增加,则需要等其他用户下线或切换用户的接入端口。
(11) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
¡ 执行dot1x access-user log enable命令收集的日志信息。
¡ 执行debugging dot1x all、debugging radius all命令收集的调试信息。
无
· DOT1X_CONFIG_NOTSUPPORT
· DOT1X_LOGIN_FAILURE
· DOT1X_MACBINDING_EXIST
802.1X用户认证成功上线后,异常掉线。
本类故障的常见原因主要包括:
· 设备上802.1X认证的相关配置变化。
· 在线用户握手失败。
· 实时计费失败。
· 802.1X用户重认证失败
· 服务器强制用户下线。
· 开启下线检测后用户下线。
· 用户会话超时。
本类故障的诊断流程如图图1-2所示。
图1-2 802.1X用户掉线的故障诊断流程图
· Debug开关不能在设备正常运行时随意开启,可在故障发生后复现故障场景时打开。
· 请及时保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。
(1) 检查设备上802.1X认证的相关配置是否发生变化。
a. 通过display dot1x命令查看设备上MAC地址认证的相关配置是否发生变化。
b. 通过display domain命令查看用户认证域下的配置是否发生变化。
(2) 检查802.1X在线用户握手交互是否失败。
a. 执行display dot1x命令通过“Handshake”字段查看认证接口下是否开启了802.1X在线用户握手功能。
b. 执行debugging dot1x event命令打开802.1X事件调试信息开关。如果系统打印事件调试信息“Handshake interaction failure.”,则表示握手交互失败。可以通过抓包检查设备与客户端间是否能正常收发EAP数据报文,分析抓包文件进一步定位问题。
(3) 检查实时计费是否失败。
¡ 执行debugging dot1x event命令打开802.1X事件调试信息开关。如果系统打印事件调试信息“Real-time accounting failure”,则表示实时计费失败。检查设备与计费服务器之间的链路状态,以及设备和服务器的相关计费配置是否发生过更改。
(4) 检查用户是否是因为重认证失败而掉线。
a. 执行display dot1x命令通过“Periodic reauth”字段查看认证接口下是否开启了802.1X周期性重认证功能。
b. 执行dot1x access-user log enable abnormal-logoff命令开启802.1X接入用户异常下线日志功能,通过“DOT1X_LOGOFF_ABNORMAL”日志确认用户异常掉线的原因为重认证失败。
c. 参考“1.1.1 802.1X用户认证失败”故障处理定位重认证失败原因。
(5) 检查是否为RADIUS服务器强制用户下线。
¡ RADIUS远程认证情况下,执行debugging dot1x event命令打开802.1X事件调试信息开关。如果系统打印事件调试信息“The RADIUS server forcibly logged out the user”,则表示RADIUS服务器强制用户下线。请联系服务器管理员定位服务器强制用户下线原因。
(6) 检查是否是因为下线检测定时器间隔内未收到用户报文。
a. 执行debugging dot1x event命令打开802.1X事件调试信息开关。如果系统打印事件调试信息“Offline detect timer expired”,则表示下线检测定时器间隔内,未收到此端口下该802.1X在线用户的报文,设备切断了用户连接,导致用户下线。
b. 检查客户端与设备之间的链路状态,排查客户端未发送报文原因。
(7) 检查用户会话是否超时。
a. 检查是否配置了802.1X认证用户会话超时时间。
- RADIUS远程认证情况下,执行debugging radius packet命令打开RADIUS报文调试信息开关,通过调试信息确认服务器回应的报文中是否携带Session-Timeout属性。
- 本地认证情况下,执行display local-user命令查看显示信息中是否包含“Session-timeout”字段。
b. 执行debugging dot1x event命令打开802.1X事件调试信息开关。如果系统打印事件调试信息“User session timed out.”,则表示用户会话超时下线。
c. 用户会话超时触发的掉线情况属于正常现象,用户可重新发起上线。
(8) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
¡ 执行display aaa abnormal-offline-record或display aaa normal-offline-record命令显示的下线原因。
¡ 执行dot1x access-user log enable命令收集的日志信息。
¡ 执行debugging dot1x all、debugging radius all命令收集的调试信息。
无
· DOT1X_LOGOFF
· DOT1X_LOGOFF_ABNORMAL
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
