|
【交換】DOT1X認(rèn)證不上成功如何排查
1�、故障現(xiàn)象
PC通過(guò)1x認(rèn)證客戶(hù)端認(rèn)證上線時(shí)提示認(rèn)證失敗,無(wú)法認(rèn)證成功�����,PC則無(wú)法訪問(wèn)業(yè)務(wù)網(wǎng)絡(luò)����。
目前比較典型的認(rèn)證失敗的現(xiàn)像:1)尋找認(rèn)證服務(wù)器 2)連接認(rèn)證服務(wù)器3)認(rèn)證失敗
2�����、故障可能的原因
1) 客戶(hù)端原因:
a.用戶(hù)名或密碼錯(cuò)誤
b.已達(dá)到同時(shí)在線用戶(hù)數(shù)量上限
c.信息校驗(yàn)錯(cuò)誤(IP�����、MAC���、NAS IP、NAS PORT�����、IP地址類(lèi)型)
d.賬戶(hù)處于欠費(fèi)狀態(tài)
e.不在認(rèn)證時(shí)段內(nèi)
f.客戶(hù)端版本過(guò)低
g.客戶(hù)端完整性被破壞
h.該服務(wù)不存在
i.本日內(nèi)不能使用該公有服務(wù)
j.不能使用地區(qū)受限服務(wù)
k.用戶(hù)處于黑名單中
2) 交換機(jī)功能原因����,如:功能沖突、安全功能過(guò)濾��、不支持特殊的認(rèn)證過(guò)程等等�。
3) 服務(wù)器問(wèn)題,如:服務(wù)器宕機(jī)���、服務(wù)器策略設(shè)置錯(cuò)誤�����、用戶(hù)已在線(異常)�、NAS添加錯(cuò)誤等等���。
4) 網(wǎng)絡(luò)配置錯(cuò)誤或網(wǎng)絡(luò)不通����,如:NAS (network access server)到Radius不通�����、用戶(hù)到NAS不通或配置錯(cuò)誤
3���、故障處理步驟
1) 檢查客戶(hù)端�����、交換機(jī)�����、服務(wù)器配置
2) 通過(guò)客戶(hù)端提示����、交換機(jī)Log、Radius日志信息判斷故障點(diǎn)
3) 簡(jiǎn)化環(huán)境�����,確定故障發(fā)生節(jié)點(diǎn)
4)通過(guò)Debug操作獲取故障信息
5) 排查設(shè)備軟件版本問(wèn)題
6) 收集信息�����,請(qǐng)聯(lián)系4008111000協(xié)助處理
其中檢查客戶(hù)端��、交換機(jī)�����、服務(wù)器配置舉例如下(其它操作請(qǐng)聯(lián)系4008111000協(xié)助處理)
步驟(1):檢查交換機(jī)配置:
步驟1:交換機(jī)上AAA服務(wù)器地址和KEY與Radius(SAM,SMP服務(wù)器)上NAS的地址和KEY需匹配
Ruijie(config)#aaa new-model ------>開(kāi)啟AAA功能
Ruijie(config)#radius-server host 192.168.33.244 ------>配置radius IP
Ruijie(config)#radius-server key ruijie ------>配置與radius通信的key
步驟.2:確認(rèn)認(rèn)證方法是否已配置并引用
Ruijie(config)#aaa authentication dot1x ruijie group radius ------>創(chuàng)建dot1x認(rèn)證方法認(rèn)證列表���,名稱(chēng)為ruijie
Ruijie(config)#aaa accounting network ruijie start-stop group radius ------>創(chuàng)建dot1x記賬方法認(rèn)證列表�,名稱(chēng)為ruijie
Ruijie(config)#dot1x authentication ruijie ------>應(yīng)用認(rèn)證方法列表
Ruijie(config)#dot1x accounting ruijie ------>應(yīng)用記賬方法列表
步驟3:確認(rèn)SNMP 共同體配置��。
需與Radius上配置的SNMP共同體配置一致���。
Ruijie(config)# snmp-server community ruijie rw ------>交換機(jī)和SAM服務(wù)器存在SNMP交互指定SNMP共同體字段�,以ruijie為例,
步驟4:確認(rèn)是否打開(kāi)端口受控�。
Ruijie(config)#interface g0/1
Ruijie(config-if-range)#dot1x port-control auto ------>接口啟用dot1x認(rèn)證
步驟(2):檢查Radius(SAM,SMP服務(wù)器)配置:
重點(diǎn)檢查服務(wù)器如下配置信息:
a、設(shè)備IP地址:也就是NAS交換機(jī)的IP地址�����。
b��、設(shè)備key:與交換機(jī)上配置的key一致����。
c���、讀寫(xiě)Community:與交換機(jī)配置的Community名一致����。
步驟(3):檢查SU客戶(hù)端的配置:
a��、確認(rèn)認(rèn)證方式:如果是有線認(rèn)證則選擇有線方式�����,如果是無(wú)線認(rèn)證則選擇無(wú)線方式�。
b����、確認(rèn)用戶(hù)名和密碼是否輸入正確���。
c��、確認(rèn)認(rèn)證網(wǎng)卡:若是多網(wǎng)卡則需選擇正確的要進(jìn)行認(rèn)證的網(wǎng)卡�。
|
