top
本文目录
一、故障现象:
二、组网拓扑
三、可能原因:
四、处理步骤:
五、故障信息收集:
六、总结与建议

锐捷WEB认证成功后异常掉线排查SOP

一、故障现象:

终端WEB认证成功后,使用过程中会异常掉线,需要重新认证。

二、组网拓扑

常规网络拓扑如下:
拓扑描述: PC通过接入、汇聚交换机连接到核心,PC的网关在核心上, 下联认证全部开在核心上

三、可能原因:

  1. SAM上强制用户下线,或者18K配置变更导致下线;
  2. 存在用户抢占行为导致用户异常下线;
  3. 18K上记账更新配置和SAM上不匹配,导致用户异常下线;
  4. 18K检测到用户一段时间没有产生流量(code 4,空闲值超时);
  5. 环境异常(可能存在环路),或者用户迁移下线;

四、处理步骤:

步骤一:认证服务器SAM上查看下线原因

SAM上点击运维管理,然后输入用户名或者用户ip地址,点击查询,即可查询到终端的下线原因记录
若服务器提示用户抢占下线,需要检查账号的属性,是否有MAC唯一性限制,是否有终端个数限制,如下

步骤二:18K上查看下线原因

在18K上可通过以下命令查询用户的上下线记录 debug web cli show web-auth syslog ip ***(用户ip地址)
Event/casue可以大概确认下线的原因,可通过查看event确认下线原因
Event表示是具体原因导致的下线,event有如下:
WBA_EVENT_REQ_LOGOUT---》portal请求下线,一般是用户自己点击下线,具体可以抓portal报文确认
WBA_EVENT_TMLMT_OUT--> 用户可用时长到了下线,可用时间一般是radiad服务器下发的,可通过radius服务器确认。
WBA_EVENT_FORCE_OFFLINE--> 通过clear 命令强制用户下线
WBA_EVENT_LINK_CHG - 端口up/down导致用户下线
WBA_EVENT_DEL_USER_ALL -- 通过clear 命令强制用户下线
WBA_EVENT_DEL_USER_UNDERPORT -- 关闭认证用户下线
WBA_EVENT_SERVER_DEL_USER ----》 radius服务器踢用户下线,可通过抓radius报文确认。
WBA_EVENT_PORTAL_DOWN、WBA_EVENT_PORTAL_UP - portal服务器的up/down导致用户下线,可查看与portal服务器的连接情况确认。
WBA_EVENT_PORTAL_ESCAPE_OFF -- 关闭逃生功能导致逃生用户下线
WBA_EVENT_DHCP_UNBINDING_USER -- 用户的dhcp ip地址变化或者发送dhcp-release导致下线,可通过抓PC的dhcp报文确认。
WBA_EVENT_RDS_DOWN、WBA_EVENT_RDS_UP -- radius服务的up/down导致下线,可通过查看与radius的联通性确认。
WBA_EVENT_LOW_FLOW_OFFLINE ---》无流量导致下线,可查看用户的流量情况
WBA_EVENT_INTF_DEFAULT ----》 接口的default操作导致下线
WBA_EVENT_INTF_DESTROY 接口删除或者用户迁移导致下线,此时可结合cause查看,如果迁移时vlan变化,迁移到免认证vlan、迁移新端口未开启认证都可能导致用户下线,此时可结合配置及show mac/show arp 查看迁移后用户vlan是否有变化来确认。
注意:一般SAM和18k的下线原因需要结合起来分析 举例如下: 在SAM上看到用户下线原因为检测到用户一段时间没有产生流量,非18K无流量下线,SAM上18k无流量下线显示为code4(空闲值超时)
在18k上看到下线原因显示为被强制下线
所以根据提示,SAM上提示的没有产生流量下线应该是由其他设备发起,
如SAM收到流量审计设备(如RSR77、ACE、EG等)的TCP2009无流量通知,然后强制18K将用户下线。
如RSR77配置如下:
sam-acct user keepalive-detect enable //开启无流量检测功能【默认已开启】
sam-acct user keepalive-detect 900 //900秒内流量为0时踢用户下线【默认900秒】
若18K提示用户迁移下线(VLAN迁移下线,端口迁移下线,VLAN和端口迁移下线),并查看SAM上对应的用户下线原因,如果也是提示用户迁移下线,如下图所示,则需要排查异常用户的MAC地址,看是否存在环路导致mac漂移;

步骤三:检查18K和SAM的记账配置

检查18K记账更新和SAM的记账更新配置是否一致。
aaa accounting update //配置aaa记帐更新
aaa accounting update periodic 15 //配置aaa记帐更新周期15分钟
aaa accounting network default start-stop group radius // AAA 参考配置,以实际业务部署为准
web-auth template eportalv2
ip 172.18.157.33
url http://172.18.157.33/eportal/index.jsp
authentication default
accounting default //开启记账更新配置

步骤四:18K或SAM侧抓包查看下线原因

抓包查看记账结束请求报文里的terminate-Cause字段,然后参照用户下线原因code值表,查看对应原因分析
web认证的下线原因可以在报文里面看出来
每个编码对应的解释:
/**
terminateCauseMap.put(0, "用户主动下线");
terminateCauseMap.put(1, "用户主动下线");
terminateCauseMap.put(2, "交换机端口断开");
terminateCauseMap.put(3, "不能提供服务,主要指连接异常中断");
terminateCauseMap.put(4, "空闲超时");
terminateCauseMap.put(5, "用户上网已到期");
terminateCauseMap.put(6, "被踢下线或交换机配置变更");
terminateCauseMap.put(7, "管理员重启NAS");
terminateCauseMap.put(8, "端口错误,需要中断会话");
terminateCauseMap.put(9, "NAS出错,要求中断会话");
terminateCauseMap.put(10, "NAS因为其他原因要求中断会话");
terminateCauseMap.put(11, "NAS意外重启");
terminateCauseMap.put(12, "NAS认为不再需要保留该端口而中断会话");
terminateCauseMap.put(13, "NAS需要重新优先分配该端口而中断会话");
terminateCauseMap.put(14, "NAS需要挂起端口而中断当前会话");
terminateCauseMap.put(15, "NAS不能提供所需服务");
terminateCauseMap.put(16, "NAS为新会话回调而中断当前会话");
terminateCauseMap.put(17, "用户输入错误");
terminateCauseMap.put(18, "主机请求中断");
terminateCauseMap.put(19, "Su重认证失败");
terminateCauseMap.put(20, "交换机重认证失败");
terminateCauseMap.put(102, "违反接入控制规则(使用多网卡)");
terminateCauseMap.put(103, "IP或MAC改变");
terminateCauseMap.put(104, "违反接入控制规则(架设代理)");
terminateCauseMap.put(105, "违反接入控制规则(启用拨号)");
terminateCauseMap.put(106, "PC主机端口断开");
terminateCauseMap.put(108, "违反安全控制规则");
terminateCauseMap.put(110, "Web认证保活超时");
terminateCauseMap.put(111, "定时同步Web认证在线用户超时");
terminateCauseMap.put(112, "Web认证用户在线时再次认证");
terminateCauseMap.put(113, "Web认证接入设备响应超时");
terminateCauseMap.put(114, "ePortal服务重启");
terminateCauseMap.put(115, "服务切换");
terminateCauseMap.put(122, "流量用完");
terminateCauseMap.put(200, "交换机检测到用户下线");
terminateCauseMap.put(250, "低流量下线");
terminateCauseMap.put(251, "用户迁移到新的vlan");
terminateCauseMap.put(252, "用户迁移到新的端口");
terminateCauseMap.put(253, "用户迁移到新的vlan和端口");
terminateCauseMap.put(500, "认证超时,radius认证报文超时未响应");
terminateCauseMap.put(501, "认证拒绝,radius服务器拒绝");
terminateCauseMap.put(502, "设备上用户数达到上限");
terminateCauseMap.put(999, "记账更新超时");

五、故障信息收集:

terminal mon
terminal length 0
show ver detail
show run
show cpu
show mem
show cpu-protect summary
show cpu-protect type web
debug scc stat
debug web cli
show mac-address-table | include ***(用户的MAC地址)
show arp | include ****(用户的MAC地址)
show arp detail | include ****(用户的MAC地址)
show ip dhcp snooping
show ip dhcp snooping binding | in ****(用户的MAC地址)
show web-auth uaser all | in ***(终端的ip地址或者mac地址)
show web user ip *******(用户的IP)
show web syslog ip *******(用户的IP)
show web syslog mac *******(用户的mac)
show web-auth authmng abnormal
show radius timeout record
show web temp
show web portal
show radius auth stat
show radius acct stat
clear counter
show interface counter summary up-------收集5次
show log
terminal no length
terminal no mon

六、总结与建议

用户认证成功异常下线先明确下线原因然后具体分析即可。
阅读剩余
THE END
icon
0
icon
打赏
icon
分享
icon
二维码
icon
海报
发表评论
评论列表

赶快来坐沙发