锐捷S57H交换机下联终端未认证均可上网
一、故障现象
S57H交换机下联终端可以上网,但是认证服务器上看不到任何认证用户信息,在交换机上联口抓包发现没有发出radius报文给认证服务器。 网络拓扑如下:
二、设备型号和版本
设备型号:RG-S5750-48GT4XS-HP-H 软件版本:S5700H_RGOS 12.5(4)B0701, Release(08211007)
三、故障排查步骤
-
首先检查配置看下是否可能是配了逃生,然后认证其实是逃生通过的;
-
若明确是触发逃生,然后认证通过的话,分析为何会触发逃生;
四、故障排查过程
-
查看对应认证接口配置,发现有逃生配置,故可以明确上联口没有radius报文是由于触发了逃生
-
在交换机上通过show radius server查看,发现服务器状态是active正常的
-
通过debug调试查看1x相关信息时,发现1x检测到服务器状态是down的
-
研发根据收集的信息查询内部代码,判断是 radius-server配置了认证和计费的端口号但aaa认证组里没有配置相应端口号,从而导致radius没有给前端发服务器的状态,从而使得1x模块认为服务器是down的
故障原因总结:通过上述分析,判断是因为配置radius server的时候配置了认证和计费端口,但是aaa认证组里没有配置认证和计费端口,使得radius和aaa没有匹配上,故radius没有给1x模块发送服务器的状态信息。
五、解决方案
该故障可通过修订aaa认证组的配置解决,修订如下: aaa group server radius 1x server 39.106.28.204 auth-port 2812 acct-port 2813 server 123.56.47.151 auth-port 2812 acct-port 2813
六、故障总结
1.故障信息收集方式总结
show radius server //查看radius服务器的状态 debug dot1x dump global //打印1x模块相关调试信息,无影响 打印aaa,radius和dot1x的一些调试信息 //需谨慎开启 debug aaa detail debug aaa lib debug aaa error debug radius detail debug radius error debug dot1x no-filte debug dot1x error
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4565.html
文章版权归作者所有,未经允许请勿转载。
THE END
