-
锐捷N18K 无状态IPV6 安卓手机获取不到地址
一、故障现象描述 在18K上配置了无状态地址池后,存在部分安卓手机获取不到地址的情况。 二、故障排查分析 查看核心的配置无误 抓包查看,核心已发出RA报文,且同一个AP下的苹果手机和电脑都能正常获取到v6地址 进一步在手机端查看,发现安卓手机不能进行有状态地址获取流程,导致无法获取到DNS信息,此时由于获取不到DNS无法上网,手机将不会用获取到的无状态IP地址进行上网,会出现反复获取地址等情况。 三、故障根因说明 部分安卓手机不支持DHCPV6的报文识别,导致dns和有状态都获取不到,此时终端会表现为反复断开wifi链接、获取地址等情况。 四、故障解决方案 部分安卓手机无法通过有状态来获取地址和dns,所以需要通过rs和ra报文的的交互来获取dns地址,即需要网关把dns地址附在ra报文中的o位,来进行dns的下发。12x设备可以通过以下配置来实现,11x目前暂无规避方式。 ipv6 nd ra dns server sequence ipv6 nd ra dns search-list sequence
SE_You
2025-08-06
22 0 0 -
锐捷N18K 无状态IPv6获取不到地址
一、故障现象描述 18k交换机作为终端网关以及dhcpv6服务器,终端无法通过无状态获取到ipv6地址。 拓扑描述: 终端PC连接到接入交换机的二层口g 0/1,接入的上联口agg 1为trunk口,连接到核心的下联口agg 5,核心agg 5口也为trunk口 二、故障排查分析 查看核心侧18K的网关配置,确认无误 查看核心是否发出RA报文,通过抓包和命令确认,核心已发出RA报文 进一步排查接入,发现在接入上对连接终端的接口上配置了IP source guard的安全功能,但是没有修改IPv6的绑定模式为宽松模式,导致终端的v6相关报文都被拦截,无法获取DNS等相关信息. 三、故障根因说明 接入交换机上配置了ip source guard安全功能,但是没有修改v6模式为兼容或宽松模式,导致v6流量无法转发。 四、故障解决方案 在接入交换机上修改v6的模式为兼容模式或宽松模式 五、故障总结 部署v6的情况下,需要检查设备上是否有安全功能及是否修改了v6的绑定模式。
SE_You
2025-08-05
39 0 0 -
锐捷作为dhcp服务器无状态ipv6获取不到地址排查SOP
一、故障现象 18k交换机作为终端网关以及dhcpv6服务器,终端无法通过无状态获取到ipv6地址。 二、组网拓扑 拓扑描述: 终端PC连接到接入交换机的二层口g 0/1,接入的上联口agg 1为trunk口,连接到核心的下联口agg 5,核心agg 5口也为trunk口。 三、可能原因 1、核心上dhcpv6地址池相关配置有问题; 2、核心下联端口开启了认证,认证模式为严格模式; 3、网络中存在环路等环境问题导致dhcpv6报文转发异常; 四、故障排查步骤 步骤一:排查配置层面的因素 1、检查核心交换机dhcpv6相关配置 标准参考配置如下 注意:无状态ipv6的前缀掩码长度必须为64位 2、检查核心下联口认证配置情况 通过命令show run int agg 5查看下联口的配置,若接口下开启了认证,通过命令show run | in address-bind查看ipv6认证模式是严格模式还是兼容模式(默认为严格模式),若不为兼容模式需要修改为兼容模式 步骤二:排查环境层面的因素 检查网络环境是否存在环路,可参考环路排查手册环路排查SOP 步骤三:排查产品层面的因素 1、通过debug查看RS,RA报文交互情况 debug syslog limit numbers 1000 time 5 debug ipv6 nd src-ipv6 X:X:X:X::X //核心的IPV6地址 debug ipv6 nd interface g x/x //具体获取地址异常的接口 2、终端侧安装wireshark抓包查看RS,RA报文交互情况 五、故障信息收集 terminal length 0 terminal monitor show clock show version show version slots show version detail show logging show coredump files show run show cpu show mem show memory history show int st show int st | in up show interface show interfaces status err-disabled show int counter rate //间隔3S,执行3次 clear counters show int counter summary //间隔3S,执行3次 show cpu-protect //间隔3S,执行3次 show cpu-prot……
SE_You
2025-08-04
53 0 0 -
锐捷S2910E下联终端获取DHCPv6地址慢
一、故障现象描述 客户反馈现场终端通过无线网络获取IPv6地址时快时慢,导致现场无线IPv6无法正常使用。 二、故障排查分析 在PoE交换机上划分和无线用户同VLAN的接口,使用有线终端可以正常获取IPv6地址,说明DHCPv6地池正常。 现场使用PC测试,分别在AP的上行口和PoE交换机的上行口抓包,通过分析发现,AP已经将DHCPv6的SOLICIT报文发给了PoE交换机,但是PoE交换机没有将此报文上送给DHCPv6服务器,说明PoE交换机将DHCPv6的SOLICIT报文丢弃了。进一步对比了无线终端和有线终端的SOLICIT报文内容,二者发出去报文内容是一致的。唯一的区别是有线测试口没有配置认证,而接AP的接口有认真。 进一步分析设备配置发现S2910C上针对IPv6的认证模式为兼容性模式,而兼容性模式下需要IPv4认证通过后,终端过一段时间才会发送DHCPv6报文,这样会导致DHCPv6获取IP地址慢的情况, 现场通过安全通道放通DHCPv6报文后,终端获取IP地址正常。 三、故障根因说明 IPv6认证模式为兼容模式,IPv4认证过后,终端过了一段时间才发送DHCPv6报文,出现地址获取慢现象 四、故障解决方案 该情况可配置安全通道,放通 dhcpv6 类型的报文,使终端在 v4 认证前,就可以获取 v6 地址。 ipv6 access-list dhcpv6 //配置ipv6访问列表,放通dhcpv6报文 10 permit udp any eq bootpc any eq bootps 20 permit udp any eq bootps any eq bootpc security global access-group dhcpv6 //全局应用安全通道 security access-group dhcpv6 //或者在端口上应用安全通道 五、经验总结 推荐配置ipv6认证兼容模式,终端要进行IPv4认证后,才能获取到IPv6地址。所以有可能出现终端接入网线因认证未认证通过,N18K不接受DHCPv6报文;等用户认证通过了,终端因DHCPv6分配存在间隔,未及时发起DHCPv6报文,导致IPv6地址获取缓慢。 address-bind ipv……
SE_You
2025-08-01
46 0 0 -
锐捷IMC认证服务器无法获取1X终端IP地址
一、故障现象描述 S2652G-I交换机1.X认证无法上传IP到认证服务器的故障现象 二、故障排查分析 确认设备配置问题,确保现场配置无异常,ip dhcp snoping功能正常开启。 查看1X认证用户详细信息确定未显示终端IP地址,截图如下: 同时通过现场抓包分析看相关记账报文也没有携带IP地址到IMC服务器,截图如下: 咨询1X研发反馈此交换机代码上显示可以通过记账报文上送终端的IP地址,但是和步骤2里面信息冲突。由于10X代码较老,属于10X代码的相关人员已经离职,从1X认证组件看是支持的,但是不清楚dhcp和1X直接的交互逻辑具体是什么,需要内部搭建环境验证确认。 明确IMC服务器服务器获取终端IP地址机制是从交换机发起的radius记账报文中获取,内部搭建环境,抓包确认交换机认证报文中无法携带终端ip地址,截图如下: 研发侧对比设备dot1x代码,dot1x没有主动获取dhcp ip的逻辑,并且已经明确10.x版本snooping没有主动通告dhcp ip到dot1x组件的行为; 三、故障根因说明 设备RG-S2652G-I当版本10.4(3b16)P2 不支持通过1x和mab认证进行IP地址上送认证服务器。 四、故障解决方案 建议替换11.x以上设备规避。
SE_You
2025-07-31
49 0 0 -
锐捷S57H eap报文透传异常
一、故障现象描述 客户方使用我司S5750C-28GT4XS-H交换机做802.1X认证,认证开启在核心7810C,我司57H交换机作为接入交换机进行透传,出现直连7810C认证正常,下挂57H二层透传无法认证故障现象。 拓扑如下: 二、故障排查分析 接到客户方反馈直连核心7810C认证正常,下挂57H二层透传无法认证故障现象。 通过对应diag(无对应时间段的diag日志),对应下挂57H阶段,并未发起认证,也就是核心并未收到EAP request报文。 核心接口抓包,证实上述结论无误(未检索到EAP报文)。 核查对应架构配置,发现对应互联接口配置为trunk口,并未配置eapol报文携带TAG以及主动认证,增加对应优化配置。 Ruijie(config)#dot1x eapol-tag ---> 下联交换机为trunk口时,开启EAPOL报文携带tag功能 Ruijie(config)#dot1x auto-req ---> 配置dot1x主动认证功能,主动周期性发生EAPOL报文 优化后,依旧无法正常发起认证流程,核查交换机周期性的EAPOL报文有发送,但是并未收到PC应答的EAP-request报文。 通过抓包明确对应EAP-request报文终端已发出,但是接入57H交换机并未转发。核查对应接入57H配置,发现交换机在全局有调用1X的认证模板且在其他接口启用了802.1X认证,当其他接口启用认证的情况下,对应终端EAP报文送交换机CPU不转发(CPP处理机制为开启认证的情况下,此芯片下所有接口相关报文均上送CPU)。 三、故障根因说明 综合上述分析,我司交换机作为接入透传EAP报文时,不能配置全局1X的认证模板以及在其他接口开启802.1X认证,上诉配置存在的情况下,EAP报文会上送交换机控制面CPU不转发(开启认证之后,对应匹配到的认证报文均上送CPU,无法区分具体端口不上送)。 四、故障解决方案 关闭其余端口认证,避免EAP报文上送CPU不转发。 五、经验总结 针对认证异常,主要先核查diag,明确对应……
SE_You
2025-07-30
162 0 0 -
锐捷S57H交换机下联终端未认证均可上网
一、故障现象 S57H交换机下联终端可以上网,但是认证服务器上看不到任何认证用户信息,在交换机上联口抓包发现没有发出radius报文给认证服务器。 网络拓扑如下: 二、设备型号和版本 设备型号:RG-S5750-48GT4XS-HP-H 软件版本:S5700H_RGOS 12.5(4)B0701, Release(08211007) 三、故障排查步骤 首先检查配置看下是否可能是配了逃生,然后认证其实是逃生通过的; 若明确是触发逃生,然后认证通过的话,分析为何会触发逃生; 四、故障排查过程 查看对应认证接口配置,发现有逃生配置,故可以明确上联口没有radius报文是由于触发了逃生 在交换机上通过show radius server查看,发现服务器状态是active正常的 通过debug调试查看1x相关信息时,发现1x检测到服务器状态是down的 研发根据收集的信息查询内部代码,判断是 radius-server配置了认证和计费的端口号但aaa认证组里没有配置相应端口号,从而导致radius没有给前端发服务器的状态,从而使得1x模块认为服务器是down的 故障原因总结:通过上述分析,判断是因为配置radius server的时候配置了认证和计费端口,但是aaa认证组里没有配置认证和计费端口,使得radius和aaa没有匹配上,故radius没有给1x模块发送服务器的状态信息。 五、解决方案 该故障可通过修订aaa认证组的配置解决,修订如下: aaa group server radius 1x server 39.106.28.204 auth-port 2812 acct-port 2813 server 123.56.47.151 auth-port 2812 acct-port 2813 六、故障总结 1.故障信息收集方式总结 show radius server //查看radius服务器的状态 debug dot1x dump global //打印1x模块相关调试信息,无影响 打印aaa,radius和dot1x的一些调试信息 //需谨慎开启 debug aaa detail debug aaa lib debug aaa error debug radius detail debug radius error debug d……
SE_You
2025-07-29
52 0 0 -
锐捷S29G-E V3 802.1X域认证异常
一、故障现象 客户方使用我司S2952 G-E V3交换机替换友商设备做接入开启802.1X域认证,替换之后发现对应部分认证终端无法正常认证使用。 网络拓扑如下: 二、设备型号和版本 设备型号:S2952 G-E V3 设备版本:11.4(1)B74P1 三、故障排查步骤 了解域认证的作用以及机制原理。 结合原理分析客户方架构使用上是否存在问题。 分析配置与架构是否与预期一致。 四、故障排查过程 替换友商设备后出现部分终端无法正常认证使用的情况,查看交换机上对应的认证日志,发现异常的认证终端有提示AAA reject日志; 根据日志判断是radius服务器拒绝导致,抓取对应上行口报文,发现对应用户的radius报文并未发起; 通过抓包明确为我司设备未正常向SAM发起认证导致,检查交换机相关配置,发现交换机有配置域认证。同时通过日志可以发现对应异常的用户均为未携带域名的认证用户,携带域名的认证用户均可正常认证; 内部核对相关域认证的处理逻辑,针对开启域认证的802.1X,未携带域名的会走default域,但是由于我司配置中并未配置default域,未配置default域认证失败。(友商设备默认有配置default域,所以可以正常使用) 故障原因总结:开启域认证未配置default域,从而导致被拒绝认证失败。 五、解决方案 增加default域认证配置即可,如下 aaa domain default authentication dot1x xxx accounting network xxx aaa authentication dot1x default xxx aaa accounting network default xxx 六、故障总结 通过内部与研发核实,针对域认证处理逻辑如下: 在开启domain之后(配置aaa domain enable),支持domain认证的业务(如dot1x/web-auth认证)就必须domain认证。认证处理流程如下: 1.1 解析用户名中的域名,如果命中携带了域名,则将域名解析出来,如果没有携带域名,则使用default域……
SE_You
2025-07-28
107 0 0 -
锐捷S2952G-E下联终端1X认证失败
一、故障现象 S2952G-E交换机下联的无线终端使用客户端认证出现连接服务器超时导致认证失败,NAS是核心18k。 网络拓扑如下: 二、设备型号和版本 设备型号:S2952G-E 软件版本号:10.4(2b12)p1T4 Release(164693) 三、故障排查步骤 通过终端的故障现象判断可能存在的原因 确定故障怀疑点后现场条件允许的情况下进行抓包分析 分析报文后确定故障设备,故障设备优先排查配置环境等非软件问题 确定配置或者异常点后进行验证,若非发现异常点需要进一步收集信息分析 最终确定机制逻辑和影响面定位故障原因 四、故障排查过程 在终端侧进行抓包以及认证客户端的提示:无法连接认证服务器,可以判断出终端正常发出EAP报文,但是没有收到NAS设备的EAP request报文,判断可能在中间链路上EAP报文异常被丢弃了。 继续通过该方式,在故障交换机2952G-E的下联口和上联口抓包分析,发现在下联口收到EAP报文后,上联口没有发出EAP报文,可以确定故障点为这台2952G-E交换机,需要进一步判断故障原因。 针对故障2952G-E交换机进行配置检查,发现残留一个21口上调用了1X受控功能,结合10.X平台特殊的1X报文处理机制,可以判断出该配置影响整体EAP报文透传,针对命令进行删除后验证能正常认证。 故障总结:由于10.X特殊的机制,交换机若开启的802.1X受控端口功能,其他非受控端口的EAP报文无法透传,交换机会送到CPU自身处理,导致用户的认证报文无法上送到核心设备,最终认证超时。 五、解决方案 针对10.X平台特殊机制,目前推荐的解决方案为: 设备端删除不需要的认证命令,实现EAP报文透传功能 六、故障总结 技术原理总结: 需要了解到10.X设备1认证机制,目前验证10.X均有该机制,若设备的角色是NAS设备也需要透传EAP报文的时候,无法满足透传功能,会将所有的EAP报文送到EAP进行处理; ……
SE_You
2025-07-25
46 0 0 -
锐捷1X认证失败排查SOP
一、故障现象 终端802.1X认证失败。 二、组网拓扑 常规网络拓扑如下: 拓扑描述: PC通过接入、汇聚交换机连接到核心,PC的网关在核心上, 下联认证全部开在核心上 三、可能原因 18K和SAM对接配置问题,导致18K没有发送报文到SAM或者SAM收到以后不处理 ; 18K到SAM之间的通路问题导致radius报文无法发送到SAM ; 客户端到18K之间的线路通路问题导致EAP报文无法发送到18K ; 18K上配置问题导致没有处理或回应 ; 18K或者SAM软件问题导致无法正常发送或处理相关认证报文 ; 四、处理步骤 步骤一:查看客户端和服务器的认证失败日志 先收集1x客户端的日志和SAM的运维管理->日志管理上的相关认证失败提示,根据提示做出基本的判定; 如客户端上认证过程卡在“连接认证服务器”或者最后提示“连接认证服务器失败”,则检查18K上802.1x和SAM相关对接配置是否正确; 需检查18K上radius-server ip地址以及key是否配置准确,对应认证计费方法是否调用正确; 需检查SAM上添加18K使用的ip地址是否是18k指定的即ip radius source-interface的接口地址; 如果SAM上有提示,根据提示操作。如果SAM上没有任何提示,则主要检查radius 服务器是否配置正确; 检查18K上 ip radius source-interface 的IP地址和SAM连通性是否正常; 如客户端上认证过程卡在“寻找认证服务器”阶段或者最后提示“寻找认证服务器失败”, 则检查PC到18K之间的链路是否正常; 检查18K下联端口的1x认证配置是否有正常配置; 检查客户端到18K的中间其他设备是否有配置802.1x认证导致EAP报文被过滤,或者接入了TP-LINK不转发EAP报文 ; 检查是否存在环路:环路排查SOP 步骤二:18K上查看对应终端1X认证事件过程 18K上使用 show dot1x user diag mac xxx(终端mac地址) 来查看相关用户的会话过程 ; 如图所示: create pae:……
SE_You
2025-07-24
87 0 0
时光机
