2020网络portal认证故障排查.docx

Porta1认证故障排查一、开始定位故障的思路是：以POrtaI认证流程为排查方向，先确保终端正常获取IP地址及DNS解析正常，然后查看终端Web页面是否可以重定向成功，再查看设备侧Porta1、Porta1SerVer相关状态是否正常，最后查看客户端、SerVer上记录的下线原因及设备上的相关1Ogo1、检查Porta1、AAA、Domain等配置检查POrta1、AAA>DOmain等配置，各部分注意事项如下：Porta1部分：在全局配置POrta1SerVer且在三层接口下使能PortaI认证。例如：通过当前配置可确认在全局配置的Porta1SerVer为6.6.6.6且在VIan1中使能了PortaI认证。#porta1serverimc6.6.6.6keycipher$c$3$191SGVbZEGTHeI1SV141bB611fj4wQur1http:/6.6.6.6/porta1#interfaceV1an-interface1ioaddress1.1.1.1255.255.255.0wvporta1serverirocmethoddirect#AA部分：配置RadiUSSCheme认证方案，指定认证、计费服务器。配置Nas-IP且保证NaSTP到认证、计费服务器可达。同时保证USe1Name-Format和Server-Type-RadiusServer匹配。例如：通过当前配置可知RadiUSSCheme的Server-TyPe为EXtended,User-Name-Format为Without-Domaino认证计费SerVer都为1111o#radiusschemeh3cserver-typeextendedprimaryauthentication1.1.1.1primaryaccounting1.1.1.1keyauthenticationcipher$c$3$|m>c/dsendG8XM8FKqsWbR7wj00vF4A=keyaccountingcipher$c$3jPXWZG1Z4d64iZDVz<Nn5n12yJrvuA=user-name-formatwithout-domain#DonIair1部分：在Do1nain视图下引用相应的RadiUSSCheme方案，认证授权方案必须同时指定。例如：通过当前配置可知,Domain下引用的RadiUSSCheme方案为h3cO#domainh3cauthenticationaccessradius-schemeh3cauthorization1an-accessradius-schemeh3caccounting1an-accessradius-schemeh3caccess-1imitdisab1estateactiveid1e-cutdisab1eseif-service-ur1disab1eWWW#2、确保终端正常获取IP地址且DNS解析成功Porta1根据终端发送的HTTP报文来进行重定向，必须确保终端在认证前通过DHCP或者静态配置的方式获取到正确的IP地址且DNS解析成功，这样浏览器才可以正常发送HTTP报文。3、推送认证页面是否成功在浏览器中访问任意网站，设备都会将其重定向至认证页面。4、Porta1状态是否为RUnning正常情况下下Porta1的运行状态为RUnning。命令：disp1ayporta1interfaceV1an-interfacev1an_id例如：通过命令查看，可以确认VIan1接口下的Porta1功能是正常运行的。<H3C>disp1ayporta1interfaceV1an-interface1Interfaceporta1configuration：VJjp-interface1：Porta1runningPorta1server：1务Porta1backp-groi：NoneAuthenticationtype：DirectAuthenticationdomain:Authenticationnetwork:address:O.O.O.O©ask:O.O.O.O5、查看设备AC1资源使用情况查看设备是否有充足的Ae1资源（IFPAC1）o如果设备AC1资源不足会导致在接口下使能Porta1时提示POrta1已经Enab1e但没有RUnning。命令：disp1ayac1resource例如：通过命令查看，可以确认目前设备上AC1剩余：2816条。<H3C>disp1ayac1zresourceInterface：GEO/O/1toGE0028TypeTota1ReservedConfiguredRemainingVFPAC11024001024IFPAC1409610242562816IFPMeter204851201536IFPCounter204851201536EFPAC151200512EFPMeter25600256EFPCounter512005126'Porta1SeVer状态是否正常正常情况下POrta1PerVer的状态应该为UP或N/A。设备上POrta1SerVer如果是处于DOWn状态，此时对HttP报文不会进行重定向操作。命令：disp1ayporta1serverservername例如：通过命令查看，可以确认POrta1SerVer处于正常的UP状态。<H3C>disp1ayporta1serverimcPorta1server：0)i®c：IPVPNinstancePortKeyUR1Status:192,168.1.254：Notconfigured：50100:h3c:ht92.168.1.254/porta1：Up7、查看设备与Porta1SerVer间路由，确保设备可以收到心跳报文设备上Porta1SerVer如果是处于DoWn状态，说明POrtaI设备无法收到POrta1SerVer的心跳报文，需要排查设备与POrtaISerVer间路由且确保Porta1SerVer使能逃生心跳且确保设备上配置的逃生心跳时间间隔应大于IMC上配置的时间间隔。例如，从下图可知Porta1SerVer上使能了逃生及用户心跳，时间分别为20秒。吟TiX/awoftuR5灰2。=oRrapJM72IOO->22>o*t3f-*ort*558、确保终端与POrta1SerVer之间的联通性设备将页面重定向到Porta1SerVer的页面后，后期终端与POrta1SerVer之间交互的HTTP报文在设备是透明传输的。因此终端重定向成功的前提条件是必须保证终端与Porta1SerVer之间的联通性。9、查看AAASerVer状态为ACtiVe确保AAASerVer服务器的状态是ACtiVe的。命令：disp1ayradiusschemescheme-name例如：通过命令查看，可以确认SChe1ne方案中的主认证及计费服务器处于ACtiVe状态。<H3C>disp1ayradiusschemeijncSchemeName：imcIndex：0PrimaryAuthServer:Type：standardIP:192,168.1.254EncryptionKey：imcVPNinstance:N/APrimaryAcctServer:Port:1812State:activeIP:192.168.1.254EncryptionKey：imcVPNinstance：N/APort:1813State：active10、查看客户端、SerVer上记录的下线原因根据客户端及SerVer上常见的下线原因初步判断故障点。例如，下线原因为USerRequest,表示用户主动下线。如启用策略服务器的情况下，若iNode客户端与策略服务器通信的端口(Udp9019)不通，iNode会给出类似“未收到服务器回应，即将强行下线”的提不O例如，如下是iNode客户端与策略服务器通信的端口不通导致的下线。认证信息2013-07-0309:29:58开始进行身份聆证.cfw06962013-07-0309:29:59正在上传用户密码2013-07-0309:30:00您的身份验证成功2013-07-0309:30:22未收到服务器回应，即将强行下线，请检查终端能否正常访问网络或者与管理员联系2013-07-0309:30:26用户已下线。认证信息萤11、查看认证过程中设备上打印的1og如果用户认证失败会有一些简单的原因提示。（1）下面的1Og显示该用户的下线原因为USerRequest,一般由客户端原因导致。EIAdministrator11；2015-12-1309:04:35%Apr1119:13:11:074201310504P0RTA15P0ETA1.USERJ-0用户_则8曲陪»«»0StaQetaKM8bd-IEA期胃“01】156-1篇线原高1；殳Y,弱端Kre110-V1anID110-HACAddr=ec88-8f7b-ae87】-Reason=Use动正常下线。1oggedoff.!%Apr1119:13:11:074201310504;-UserName=yuguanchenghomesush|（2）下面的1og显示该用户的下线原因为Admin网血式血Reset,一般是由于人为操作强制用户下线的，或者设备上配置了在线用户同步功能，但是IMC上未使能该功能，导致设备收不到相关用户的在线信息，在一定的时间（默认30Inin左右）后设备强制该用户下线。%Apr920:45:50:263201310504P0RTA1/5/P0RTA1_USER_10G0FF:-UserName=YTBTsk1ZZXojHEM1dAspcAwEUA=YIMINGHOMEsuJ-IPAddr=10.11.1.156-IfName=VIa-interface11-V1anID=110-MACAddr=f80f-4137-5ed1-Reason=adndnReset;User1oggedoff.（3）下面的1Og表示，由于设备AC1资源不足导致用户上线不成功，需查看设备AC1资源使用情况。%Nov1622:09:03:3752011ZG-7503-1P0RTA1/5/P0RTA1_AC1_FAI1URE:Theui>erofAC1sonthedevicehasreachedtheJDaXi1nUn1