2020网络802.1x与EAD故障排查.docx

802.1X与EAD故障排查定位故障的思路是：以802.Ix认证流程为基本方向。排查设备的基本配置后，关于UR1跳转部分，先查看终端是否可以正常跳转至UR1,然后确保UR1包含在Free-IP中，确保终端与UR1主机间的连通性正常、关于认证部分，首先确保设备上802.Ix认证方式正确，然后查看设备侧是否手工配置RadiUSSerVer下发的相关属性，最后查看客户端、RadiusSerVer上记录的认证失败原因及查看设备的相关1og。1、检查802.Ix、AAA、DOmain的配置检查802.1x、AAA、Doinain等配置，各部分注意事项如下:802.Ix部分：Administrator2015-12-1303:48:49authenticationdefau1t命令酉己置的证方法不区分用户类型，即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。在全局配置及接口下使能802.Ix认证。例如：通过当前配置可确认在全局及生能了802.1x。dot1xinterfaceCigabitEthemet1/0/1port1inkmodebridgedot1x#AAA部分：配置RadiUSSCheme认证方案，指定认证、计费服务器。配置Nas-IP且保证NaSTP到认证、计费服务器可达。同时保证USe1NanIe-FOn1Iat和Server-TypeRadiusServer匹配。例如：通过当前配置可知RadiUSSCheme的Server-TyPe为EXtended,User-Name-Format为Without-Domaino认证计费SerVer都为1111o#radiusschemeh3cserver-typeextendedprimaryauthentication1.1.1.1primaryaccounting1.1.1.1keyauthenticationcipher$c$3$1n»c/dsen<iG8XMSFKqsWbRTwjOOvF4A=keyaccountingcipher$c$3jPXWZG1Z4d64iZDVz<Nn5n12yJrvu=user-name-formatwithout-domain#Domain部分：在DOmain视图下引用相应的RadiUSSCheme方案，认证授权方案必须同时指定。例如：通过当前配置可知，Domain下引用的RadiUSSCheme方案为h3cO#domainh3cauthenticationaccessradius-schemeh3cauthorization1an-accessradius-schemeh3caccounting1an-accessradius-schemeh3caccess-1imitdisab1estateactiveid1e-cutdisab1eseif-service-ur1disab1eWWW#2、UR1跳转是否成功在浏览器中访问任意网站，设备都会将其重定向至UR1页面。3、确保UR1地址包含在Free-IP中在终端认证成功之前仅有Free-IP中的地址才允许访问，因此需确保UR1地址包含在FreeTP中。命令：disp1aydot.Ix例如：通过命令查看，可以确认UR1地址6.6.6.6包含在FreeTP6.6.6.0/24范围内。<H3C>disp1aydotIxEquipment802.IXprotoco1isenab1edCHAPauthenticationisenab1edEADquickdep1oyisenab1edConfiguration：TransmitPeriod30s,HandshakePeriod15sQuietPeriod60s,QuietPeriodTimerisdisab1edSuppTimeout30stServerTimeout100sReauthPeriod3600sTheIDaXiroa1retransmittingtines2EADquickdep1oyconfiguration：UR1:htt:/6.6.6.6:8080/eadFreeIP:6.6.6.0255.255.255.0EADtimeout:30m4、确保终端DNS解析正常、终端与UR1间路由正常只有终端DNS解析正常、终端与UR1间路由正常，UR1跳转才可以正常进行。5、认证是否成功查看终端上返回的认证结果可以确认本次认证是否成功。通过下面的命令可以查看设备上的在线用户。命令：disp1ayconnection例如：通过命令查看，可以确认此时设备上存在h3c用户在线，且其index为J1Q<H3C>disp1ayconnectionS1ot:1Index=I,Username=h3csystemIP=NAIPv6=NAMAC=60eb-6926-aca4Tota11connect!on(s)matchedons1ot1.Tota11connect!on(s)matched.通过下面的命令可以进一步确认特定用户的具体属性。命令：disp1ayconnectionucibindexindex例如：通过命令查看，可以确认SerVer向h3c用户下发了V1an10,AC13000o<H3C>disp1ayconnectionUCibindeX1S1ot:1Index=I,UsemaiDe=h3csystcmIAC=60eb-6926-aca4IP=NAIPv6=NAAccess=8021X,AiJthH1hOd=CHAPPortType=Ethemet,PortName=jGIgabitEtherne11/0/24Initia1V1AN=I,AuthurizatinV1AH=IOAC1GroU所3000UserProfi1e=NACAR=Disab1ePriority=DiSab1eSessionTimeout=NA,Terminate-Action=NAStart=2000-05-0222:01:18,Current=2000-05-0222:01:3810n1ine00h00m20sTota11connectionwatched.7、确保设备侧认证方式与客户端和SerVer匹配确保设备侧Authentication-Method与客户端和SerVer匹配，例如，赛门铁克的客户端及SerVer要求设备的认证方法为EAP。命令：disp1aydot.Ix例如：通过命令查看，设备目前配置的802.IX系统的认证方法为EAP。<H3C>disp1aydotIxEquipment802.IXprotoco1isenab1edEAPauthenticationisenab1edEADquickdep1oyisenab1ed设备支持SerVer向其下发授权、隔离V1an,若设备侧接收到字符串形式的V1anNan1e时，要求该V1an必须是静态配置的，若收到整形的VIanID时，设备可以自动创建该VIan。命令：disp1ayv1anstatic例如：通过命令查看，设备上存在VIan1、V1an2两个静态V1an。<H3C>disp1ayv1anstaticTota15staticV1ANexist(s).Thefo11owingstaticV1ANsexist:1(defau1t),2,命令：disp1ayv1anv1anid例如：通过命令查看,V1an3的Name为OA。<H3C>disp1ayv1an3V1ANID：3V1ANType：staticRouteInterface：configuredDescription：V1AN0003Nnar：OATaggedPorts：noneUntaggedPorts：none设备支持SerVer向其下发AC1。向设备下发AC1时，设备上必须提前手工配置该AC1。命令：disp1ayac1a11例如：通过命令查看，设备上存在AC13000o<H3C>disp1ayac1a11AdvancedAC13000,named-none-,2ru1es,Ge1iac1AC1*sstepis5ru1e0permitipdestination1.1.1.00.0.0.255ru1e5deny9、查看客户端、Server记录的下线原因根据客户端及SerVer上常见的下线原因初步判断故障点。例如，下线原因为UserRequest,表示用户主动下线。如启用策略服务器的情况下，若iNode客户端与策略服务器通信的端口（UDP9019）不通，iNode会给出类似“未收到服务器回应，即将强行下线”的提示。例如，下面是iNode客户端与策略服务器通信的端口不通导致的下线。认证信息2013-07-0309:29:58开始进行身份验证.cfw06962013-07-0309:29:59正在上传用户密码.2013-07-0309:30:00您的身份聆证成功2013-07-0309:30:22未收到服务器回应，即将强行下线，请检查终端能否正常访问网络或者与管理员联系2013-07-0309:30:26用户已下线。认证信息通知10、查看认证过程中设备上的1og日志用户认证失败时，设备上一般都会有相关的1og打印。例如：向设备下发AC1时，设备上不存在该AC1%Apr2613:44:47:0172000H3C8021X/5/DOT1X_SOP_AC1_FAI1URE:-IfName=GigabitEthernet102-UserNane=123h3c;ThespecifiedAC1doesnotexist.