锐捷S5310下联终端未1X认证即可上网
一、故障现象描述
S5310-48GT4XS 设备做NAS部署1x认证,想要实现终端逃生上网,但是逃生恢复之后终端被下线依旧可以通网关。
网络拓扑图:
二、故障排查分析
-
接口配置逃生情况下,服务器状态为active情况下,ping不通网关,属于正常现象
-
通过断开网关上联服务器的接口模拟服务器dead,触发逃生,并且生成1x逃生表项,此时终端可以正常ping通网关,属于正常现象
-
恢复网关上联口使认证服务器变成active状态,此时逃生表项被清除,但是终端依旧可以通网关,属于异常现象
-
检查NAS设备上没有放通网关arp,没有免认证终端mac或者vlan
-
通过debug scc portinfo命令查看接口标志位信息发现在逃生恢复后,控制面的端口认证模式并没有从0x62(逃生标志位)恢复到0x22(认证标志位),设备认为终端一直处于逃生的状态,所以可以通网关
-
经过标志位分析可以判断,该端口的逃生标志位残留,导致底层的认证默认拦截表项没有在逃生恢复后重新安装。从本地复现场景来看,是由于逃生计数统计失误导致了逃生标志位残留。(该字段用于统计逃生用户数量,每有一个正在逃生的用户,统计值都会加1,逃生恢复之后会减1,逃生用户全部下线了要清零。)
三、故障根因说明
用户逃生情况下,服务器恢复active状态并踢线用户后,用户会尝试进行服务器认证,认证通过后或认证失败后删除逃生计数,端口下逃生计数清零才会删除底层逃生标志位。但是现场服务器恢复后,逃生计数异常,未删除底层逃生标志位,导致无需认证即可上网
四、故障解决方案
打补丁解决,升级到S53_RGOS11.4(1)B74P6T3_10240818版本解决
五、故障总结
NAC_D1X_AUTHEN_NONE = 0,
NAC_D1X_AUTHEN_MAC_BASED = 1, /< 基于MAC地址认证模式 */
NAC_D1X_AUTHEN_PORT_BASED_STATIC = 2, /**< 基于端口认证模式,不允许地址迁移 */
NAC_D1X_AUTHEN_PORT_BASED_MOVE = 3, /< 基于端口认证模式,允许地址迁移 */
NAC_D1X_AUTHEN_SINGLE_HOST = 4, /**< 单用户认证模式 */
NAC_D1X_AUTHEN_MAB = 5, /< MAB认证模式 */
NAC_D1X_AUTHEN_FAIL_VLAN = 6, /**< 逃生、fail vlan模式 */
NAC_D1X_AUTHEN_GUEST_VLAN = 7 /**< guset vlan模式 */
从右往左,一共8个标志位,那个是1就说明哪个功能开启了(单mab不会置位mab标志位)
NAC_D1X_AUTHEN_SINGLE_HOST = 4, /**< 单用户认证模式 */
NAC_D1X_AUTHEN_PORT_BASED_STATIC = 2, /**< 基于端口认证模式,不允许地址迁移 */
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4722.html
文章版权归作者所有,未经允许请勿转载。
THE END
