锐捷WEB认证失败排查SOP
一、故障现象
WEB认证提示认证失败或提示连接认证服务器超时。
二、组网拓扑
常规网络拓扑如下:
拓扑描述: PC通过接入、汇聚交换机连接到核心,PC的网关在核心上, 下联认证全部开在核心上。
三、可能原因
-
没有满足SAM的校验条件,导致认证不通过;
-
18K、eportal、SAM之间的对接配置问题;
-
N18K和eportal或者和SAM的连通性异常,导致报文无法正常交互;
-
N18K内部问题导致无法正常处理portal或者radius报文;
-
eportal服务器或者SAM服务器异常,导致无法正常处理或回应报文;
-
radius 服务器故障,18K有配置逃生,但是配置了none认证;
四、故障排查步骤
步骤一:SAM上查看认证失败日志
登录SAM的web界面,查看对应用户的认证日志,明确对应的失败原因 如SAM上有提示:不允许在该地区使用本服务、信息校验失败等一些较明显提示,则根据提示到SAM上先进行地区、服务、接入控制的排查调整
步骤二:检查18K和SAM以及eportal的配置
检查18K配置,主要检查如radius server 配置,radius key 配置和portal key的配置,snmp的community团体字以及对应的源接口配置是否和SAM和eportal的配置一致 可过如下命令检查18K的 show run | in radius show run | in portal show run | in snmpe'po SAM和eportal的需要查看对应的web界面 SAM的
eportal服务器的
同时eportal服务器上需要检查下设置的协议以及加密方式是否与18K的一致(18K默认协议:CMCC,加密方式:PAP)
步骤三:18K上检查radius服务器和portal服务器的状态
-
通过show radius server明确配置的radius服务器IP以及radius状态(需要注意没配置test检测账号的话,下面没有认证用户触发认证失败,这个命令查看的状态会一直是active的)。
-
通过show web-auth template明确对应WEB认证调用的认证/记账模板以及portal服务器的状态(核实调用的认证、机制模块是否正确,portal和radius状态是否为enable)
-
使用PING命令明确和服务器的连通性(前提服务器没有禁PING或者中间没有安全设备禁止ICMP流量),切记测试的是配置的radius源端口IP与服务器的连通性,如果不通,排查中间链路问题;
-
若18K到服务器不通后,检查网络没有问题,再排查下SAM是否故障。如果SAM故障了,检查下18K是否配置了逃生。如果SAM故障,逃生也配置了,但是逃生功能不生效认证的时候“提示认证超时,设备未响应”,注意查看下是否配置了 none认证;
配置了none意思是如果radius不可达,那用户将不用认证就可以直接上网。但是前提是radius要先超时,超时配置为radius-server timeout xxx,radius是默认5s,重传3次,共20s超时后才会到none认证,但是portal默认9秒没有响应就超时。这样会到导致portal先超时,radius不会走到none认证,用户逃生也就失效。
此时有两种方法:
1.删除none认证;
2.radius检测改短小于portal 超时时间9S。配置:radius-server timeout 2 ;
步骤四:18K上查看是否有radius超时记录
18K上可以通过show radius timeout record(隐藏命令,查看radius服务器超时记录)查看异常时间段是否有对应用户的radius超时记录。如下图,可明显看到对应446549用户在08:15左右有认证超时的问题,认证超时的原因是由于服务器未回应认证报文(下一步基本就是查一下radius服务器是否有异常)。
常见timeout reason如下:
"Server no respond", 服务器没响应
"Send packet fail", 发包失败
"User session exist", 用户的session已经存在,可能是前端业务在等服务器返回的时候,又发起了业务
"Service not exist", radius服务器没有配置
"Front delete user", 前端业务把用户删除了(前端业务指的是 dot1x web这种认证业务)
步骤五:抓取整个WEB认证交互报文分析
WEB报文交互流程如下,在终端,18K以及服务器侧分别抓包,分析具体是哪个报文交互异常
步骤六:收集信息,联系4008111000分析;
五、故障信息收集
terminal mon
terminal length 0
show ver detail
show run
show cpu
show mem
sh memory history
show cpu-pro type web
show cpu-pro type webs
show processes cpu | in wba
debug scc stat
debug web cli
show mac-address-table | include ***(用户的MAC地址)
show arp | include ****(用户的MAC地址)
show ip dhcp snooping
show ip dhcp snooping binding | in ****(用户的MAC地址)
sh web user ip *******(用户的IP)
sh web syslog ip *******(用户的IP)
sh web syslog mac *******(用户的mac)
show web-auth authmng abnormal
show radius timeout record
show web temp
show web portal
show radius auth stat
show radius acct stat
show log
terminal no length
terminal no mon
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4460.html
文章版权归作者所有,未经允许请勿转载。
THE END
