锐捷S57H eap报文透传异常
一、故障现象描述
客户方使用我司S5750C-28GT4XS-H交换机做802.1X认证,认证开启在核心7810C,我司57H交换机作为接入交换机进行透传,出现直连7810C认证正常,下挂57H二层透传无法认证故障现象。
拓扑如下:
二、故障排查分析
-
接到客户方反馈直连核心7810C认证正常,下挂57H二层透传无法认证故障现象。
-
通过对应diag(无对应时间段的diag日志),对应下挂57H阶段,并未发起认证,也就是核心并未收到EAP request报文。
-
核心接口抓包,证实上述结论无误(未检索到EAP报文)。
-
核查对应架构配置,发现对应互联接口配置为trunk口,并未配置eapol报文携带TAG以及主动认证,增加对应优化配置。
Ruijie(config)#dot1x eapol-tag ---> 下联交换机为trunk口时,开启EAPOL报文携带tag功能
Ruijie(config)#dot1x auto-req ---> 配置dot1x主动认证功能,主动周期性发生EAPOL报文
-
优化后,依旧无法正常发起认证流程,核查交换机周期性的EAPOL报文有发送,但是并未收到PC应答的EAP-request报文。
-
通过抓包明确对应EAP-request报文终端已发出,但是接入57H交换机并未转发。核查对应接入57H配置,发现交换机在全局有调用1X的认证模板且在其他接口启用了802.1X认证,当其他接口启用认证的情况下,对应终端EAP报文送交换机CPU不转发(CPP处理机制为开启认证的情况下,此芯片下所有接口相关报文均上送CPU)。
三、故障根因说明
综合上述分析,我司交换机作为接入透传EAP报文时,不能配置全局1X的认证模板以及在其他接口开启802.1X认证,上诉配置存在的情况下,EAP报文会上送交换机控制面CPU不转发(开启认证之后,对应匹配到的认证报文均上送CPU,无法区分具体端口不上送)。
四、故障解决方案
关闭其余端口认证,避免EAP报文上送CPU不转发。
五、经验总结
-
针对认证异常,主要先核查diag,明确对应异常下线原因;
-
根据对应原因排查对应异常根因;
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4566.html
文章版权归作者所有,未经允许请勿转载。
THE END
