锐捷WEB认证成功后无法上网排查SOP
一、故障现象
终端WEB认证提示成功但是无法上网。
二、组网拓扑
常规网络拓扑如下:
拓扑描述: PC通过接入、汇聚交换机连接到核心,PC的网关在核心上, 下联认证全部开在核心上
三、可能原因
-
账号欠费,18K上认证成功,流量被运营商拦截;
-
18K到运营商之间网络异常;
-
内网环境存在环路,终端到18k中间数据通信异常;
-
设备的CPU使用率过高,导致部分报文被丢弃;
-
PC静态IP地址,并且有配置AM,没有满足AM规则,导致报文被丢弃;
-
18k上接口有调用ACL对终端流量进行了限制;
四、处理步骤:
步骤一:检查流量是否有被其他设备如运营商拦截
-
先确认终端在18K上认证成功,有对应的认证表项,且表项正确,通过命令
show web-auth user all | in ***(终端的ip地址或者mac地址)确认终端认证表项情况;
-
在终端上抓包,看报文是否有被重定向到其他地址;
举例如下:
通过抓包看到终端上网的报文被重定向到一个特定的地址218.9.71.107:7777
-
然后通过ip地址查询确认该重定向地址情况,如下确认到地址是联通运营商的地址,判断是终端上网的流量被运营商重定向导致,后续确认是由于账号欠费被拦截;
步骤二:检查18K到外网是否正常
-
在18K上ping外网地址,如223.5.5.5,看是否能通,不能通的话逐跳ping或者tracert看具体是到中间哪个节点不通;
-
若是18K和上联直连节点不通,则需要通过acl计数或者抓包,判断是18K没发还是对端没回;
步骤三:检查内网环境是否正常
判断是否存在环路:
步骤四:检查18K的CPU使用情况
-
先通过命令show cpu检查当前设备的cpu利用率情况 //cpu利用率超过70%可认为不正常
-
通过命令show cpu-protect summary 看cpp是否有丢包情况;
步骤五:检查18K上配置情况
-
通过命令show access-group看对应终端的下行口,上行口,以及全局是否有调用acl,若有的话检查对应acl的条目,看是否有拦截终端流量的ace条目;
-
检查18K是否有配置AM规则,若有的话,看终端是否为静态ip地址,是的话看是否满足AM规则;
说明如下:
宽松模式下,手动配置用户的IP地址,不管有没有落在AM的范围里面,只要是正常的IP地址,都能转发数据;
严格模式下,手动配置用户的IP地址,有落在AM的范围里面可以正常转发数据; 如果没有落在AM的范围里
面,则无法转发数据 ;
五、故障信息收集:
terminal mon
terminal length 0
show ver detail
show run
show cpu
show mem
show cpu-protect summary
show cpu-protect type web
debug scc stat
debug web cli
show mac-address-table | include ***(用户的MAC地址)
show arp | include ****(用户的MAC地址)
show arp detail | include ****(用户的MAC地址)
show ip dhcp snooping
show ip dhcp snooping binding | in ****(用户的MAC地址)
show web-auth uaser all | in ***(终端的ip地址或者mac地址)
show web user ip *******(用户的IP)
show web syslog ip *******(用户的IP)
show web syslog mac *******(用户的mac)
show web-auth authmng abnormal
show radius timeout record
show web temp
show web portal
show radius auth stat
show radius acct stat
clear counter
show interface counter summary up-------收集5次
show log
terminal no length
terminal no mon
六、总结与建议
认证成功无法上网优先检查nas和外网之间的连通性。
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4506.html
文章版权归作者所有,未经允许请勿转载。
THE END
