锐捷S6120 下联终端1x认证成功无法上网
一、故障现象描述
S6120下联终端1x认证成功但是无法上网。
网络拓扑图:
二、故障排查分析
-
通过show dot1x su查看对应用户有认证表项;
-
查看配置发现有配置aaa授权;
-
进一步通过debug scc user author查看发现没有对应用户的scc表项,判断是没有配置snooping导致没有获取到对应用户的ip信息;
-
配置snooping之后通过debug scc user author之后查看有对应用户的scc表项,但是终端依旧无法上网;
-
通过acl计数明确是交换机未转发对应数据;
-
通过show log查看日志发现有FP安装失败的日志;
-
进一步分析是配置了v6的直通站点,v6的直通站点和v4的认证下发到同一分组,导致fp模板无法支持,从而导致fp安装失败,而v6的直通站点会下发到v4的认证分组里是由于当前版本不支持配置v6的直通站点,从而导致下发错误;
三、故障根因说明
由于交换机实际不支持v6的直通站点功能,但是设备上命令可以配置,导致产生异常,归为软件问题。
四、故障解决方案
设备实际不支持v6的直通站点功能,删除对应v6直通站点配置后将接口下的认证关闭重新开启即可。
五、故障总结
技术原理总结: 终端认证成功后交换机转发对应数据,如果有开启aaa授权的情况下,不仅需要有对应用户的认证表项,还需要有对应用户的scc表项。
信息收集总结: Show version Show version detail
Show run
Show log
Show dot1x su
Debug scc user author
Debug scc user mac Show acl res Show acl res detail
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/6066.html
文章版权归作者所有,未经允许请勿转载。
THE END
