锐捷S78X下联无线终端偶发不弹认证界面
一、故障现象描述
终端连上无线网络之后无法弹出重定向界面,导致无法上网。
网络拓扑如下:
拓扑描述: PC的网关在核心上,同时认证也开在核心上
二、故障排查分析
-
查看对应异常用户(mac地址为4259.5743.9121)的arp表项学习正常;
-
查看对应异常用户的ip还存在web认证表项,且web认证表项关联的mac是另一个终端的mac,判断是上一个终端的认证表项残留导致新用户无法正常认证上线;
-
进一步分析认证表项残留原因,通过命令show snooping log 762c.54e2.1386查看上一个终端的dhcp交互情况,终端16:45:59时从原先的ten 2/23下的vlan 2001迁移到了现在的 ten 3/33下的vlan 2004,由于部署了AM规则,要求不同的vlan获取的地址段不同,导致迁移之后dhcp request请求续租的时候被拒绝,从而获取了另一个新的ip地址,正常ip变化之后认证表项会清除重新上线,但是由于现场配置了web-auth station-move auto(supervlan下的sub vlan之间迁移时不会清除对应认证表项,而是更新对应表项的二层端口vlan信息),从而导致上一个终端的认证表项还在,且由于迁移之后之前的ip 172.30.201.2的dhcp表项快速老化了;
-
通过show snooping log 4259.5743.9121查看当前终端的dhcp交互情况,发现在16:50分的时候获取到了上一个终端的ip地址 172.30.201.2;
综上,分析是mac 762c.54e2.1386绑定ip 172.30.201.2的认证表项还在的时候,其他mac的终端刚好获取到172.30.201.2的ip地址时,导致新上线的终端无法使用。
三、故障根因说明
现场部署的AM规则和认证迁移结合使用时,会导致WEB认证表项无法及时清除,导致新上线的用户无法正常使用。
四、故障解决方案
方案一:删除am规则,如下;
address-manage
no match ip 172.30.101.0 255.255.255.0 vlan
no match ip 172.30.102.0 255.255.255.0 vlan
no match ip 172.30.103.0 255.255.255.0 vlan
no match ip 172.30.104.0 255.255.255.0 vlan
no match ip 172.30.105.0 255.255.255.0 vlan
no match ip 172.30.106.0 255.255.255.0 vlan
no match ip 172.30.107.0 255.255.255.0 vlan
no match ip 172.30.108.0 255.255.255.0 vlan
no match ip 172.30.109.0 255.255.255.0 vlan
no match ip 172.30.110.0 255.255.255.0 vlan
no match ip 172.30.201.0 255.255.255.0 vlan
no match ip 172.30.202.0 255.255.255.0 vlan
no match ip 172.30.203.0 255.255.255.0 vlan
no match ip 172.30.204.0 255.255.255.0 vlan
no match ip 172.30.205.0 255.255.255.0 vlan
no match ip 172.30.206.0 255.255.255.0 vlan
no match ip 172.30.207.0 255.255.255.0 vlan
no match ip 172.30.208.0 255.255.255.0 vlan
no match ip 172.30.209.0 255.255.255.0 vlan
no match ip 172.30.210.0 255.255.255.0 vlan
no match ip loose
方案二:删除无感WEB迁移命令,如下:
no web-auth station-move auto
方案三:将现场架构从supervlan调整为普通vlan;
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4458.html
文章版权归作者所有,未经允许请勿转载。
THE END
