- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
iNode PC维护手册-7.3-5W104-整本手册.pdf (3.50 MB)
iNode PC
维护手册
资料版本:5W104-20241225
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
2.5 SSL VPN认证时提示“获取虚拟网卡失败”或L2TP认证时提示“网络连接中断 ---- VPN虚网卡被禁用,请先在网络连接中将该网卡启用。”
2.10 在Windows Vista、Windows7或Windows8、Windows10、Windows11中安装iNode,相比Windows XP有何不同
2.11 在Linux RedHat ES6 x86_64系统中安装Linux iNode时,无法正常安装
2.12 在凝思磐石Linux系统中安装Linux iNode时,无法正常安装
2.15 Windows客户端卸载时弹出“功能传输错误”提示
3.1 启动客户端前台界面无响应或提示“获取场景连接信息失败,请重新启动客户端”
3.3 UOS&麒麟系统,安装iNode客户端后无法启动输入法或者输入法无法正常使用
3.4 启动iNode客户端时系统提示“找不到OpenGL32.dll”,从而导致无法成功启动
3.5 启动计算机时系统提示“无法加载iNode_GinaHook.dll”,导致无法成功启动
3.7 iNode安装完成后运行时提示“获取场景连接信息失败,请重新启动客户端。”
3.8 Windows Vista及以上操作系统单点登录认证
4.3 802.1x认证失败,报Authentication Failed或者Invalid authen place
4.4 802.1x不定时掉线,接入明细显示“Lost Carrier”
4.10 确认冲突后需一机两用软件排查安全策略及机制,客户端通过调用系统的setupapi.dll文件获取网卡信息802.1x认证失败后没有自动重连
4.13 802.1x认证时提示“证书认证失败,请检查证书相关配置。”
4.14 802.1x认证时提示“RADIUS No Response”
4.16 802.1x界面连接状态显示为“网卡被禁用或者网络电缆没有插好。”
5.3 Portal认证时提示“Portal认证失败、网络故障或Portal服务器没有回应,请联系管理员。”
5.4 Portal认证时提示“Portal认证失败,该用户的IP地址不在当前Portal服务器的管理范围内,请与管理员联系。”
5.5 Portal认证成功后提示“收到下线请求报文,用户离线。”
5.6 Portal认证成功后提示“网络超时,用户已下线。”
5.7 Portal认证时提示“获取IP失败,请更新IP重新认证。”
5.8 Portal认证时提示“Portal认证失败,资源分配失败。”
5.9 Portal认证成功后立即下线,提示“安全认证失败,当前连接即将被强行中断,请与管理员联系。”
5.11 Portal认证的时候提示“Portal认证失败,请尝试断开该连接并重新认证。”
6.1 提示“获取SSL VPN网络参数失败”,抓包显示TLS建立时提示Alert
6.4 认证后过一段时间提示“SSL VPN隧道异常关闭。”
9.1 国产操作系统安装iNode失败,提示“软件包架构不匹配”
9.2 在国产系统上安装Deb格式的iNode安装包,一切操作均正确,却总是提示失败
10.4 认证后提示“当前认证使用网卡的MAC地址已被修改,将强制用户下线。”
10.5 认证后提示“MAC地址与网络上的其他系统有冲突,连接被中断。”
10.9 iNode客户端安装完成后,查看Windows系统无线管理界面不断闪烁
10.10 如果上文内容均无法解决问题,如何收集iNode相关信息
本文中设iNode的安装根目录为$iNode_ROOT。Windows、Linux、macOS系统下iNode客户端与iNode管理中心的系统目录结构说明如下:
表1-1 Windows iNode客户端系统目录结构说明
|
目录名 |
说明 |
|
$iNode_ROOT/iNode/ iNode Client |
存放iNode客户端可执行文件、动态连结库和子目录 |
|
$iNode_ROOT/iNode/ iNode Client /Append |
存放iNode客户端模板文件 |
|
$iNode_ROOT/iNode/ iNode Client/arp |
存放32位系统驱动文件,需定制ACL、防内网外连、MAC Sec或者无线中的任何功能方能生成 |
|
$iNode_ROOT/iNode/ iNode Client/arp64 |
存放64位系统驱动文件,需定制ACL、防内网外连、MAC Sec或者无线中的任何功能方能生成 |
|
$iNode_ROOT/iNode/ iNode Client/conf |
存放imf日志文件 |
|
$iNode_ROOT/iNode/ iNode Client/Data |
存放iNode客户端配置文件和连接文件,子文件夹对应关系如下: 1100---无线连接 8021---802.1x连接 5020---Portal连接 2400---L2TP连接 7000---SSL VPN连接 |
|
$iNode_ROOT/iNode/ iNode Client/dmwz |
存放旧智能卡相关文件,需定制旧智能卡组件方能生成 |
|
$iNode_ROOT/iNode/ iNode Client/IHV |
存放无线收包工具文件,需定制无线组件方能生成 |
|
$iNode_ROOT/iNode/ iNode Client/imageformats |
存放QT加载图片依赖文件 |
|
$iNode_ROOT/iNode/ iNode Client/iNodeCP |
存放单点登录功能依赖文件 |
|
$iNode_ROOT/iNode/ iNode Client/Log |
存放iNode客户端运行日志 |
|
$iNode_ROOT/iNode/ iNode Client/pem |
存放Openssl加密所需证书 |
|
$iNode_ROOT/iNode/ iNode Client/Resources |
存放iNode客户端资源文件 |
|
$iNode_ROOT/iNode/ iNode Client/vcredist_x86 |
存放32位系统下的微软补丁包 |
|
$iNode_ROOT/iNode/ iNode Client/virtual nic driver |
存放32位系统虚拟网卡驱动,需定制SSL VPN或者IPSec VPN中的任何一种功能方能生成 |
|
$iNode_ROOT/iNode/ iNode Client/wancontrol |
存放32位系统防内网外连驱动文件,需定制ACL、防内网外连、MAC Sec或者无线中的任何功能方能生成 |
|
$iNode_ROOT/iNode/ iNode Client/WanControl64 |
存放64位系统防内网外连驱动文件,需定制ACL、防内网外连、MAC Sec或者无线中的任何功能方能生成 |
|
$iNode_ROOT/iNode/ iNode Client/win64 |
存放64位系统虚拟网卡驱动,需定制SSL VPN或者IPSec VPN中的任何一种功能方能生成 |
|
$iNode_ROOT/iNode/ iNode Client/Pcandis55 |
存放Rawether驱动文件 |
|
$iNode_ROOT/iNode/i iNode Client /CollectInfo |
一键搜集客户端日志的压缩包 |
|
$iNode_ROOT/iNode/ iNode Client//BugTrap |
进程闪退的报错日志 |
|
$iNode_ROOT/iNode/ iNode Client//FlowFile |
流量审计文件 |
|
$iNode_ROOT/iNode/ iNode Client/IPSec |
IPSec应用程序 |
|
$iNode_ROOT/iNode/ iNode Client//Pcandis6 |
Rawther驱动(用于收发二层报文) |
|
$iNode_ROOT/iNode/ iNode Client//vm_identity |
判断iNode是否在虚拟机中运行的程序 |
|
$iNode_ROOT/iNode/ iNode Client//WfpWin10 |
IPSec在Win10下的驱动 |
表1-2 Windows iNode管理中心系统目录结构说明
|
目录名 |
说明 |
|
$iNode_ROOT/iNode/iNode Manager |
存放iNode管理中心可执行文件、动态连结库和子目录 |
|
$iNode_ROOT/iNode/iNode Manager/custom |
存放当前生成的定制文件 |
|
$iNode_ROOT/iNode/iNode Manager/EMO |
存放EMO安装文件 |
|
$iNode_ROOT/iNode/iNode Manager/iNodeCusUpd |
存放客户端轻量级升级包 |
|
$iNode_ROOT/iNode/iNode Manager/iNodeDeploy |
存放快速部署工具文件 |
|
$iNode_ROOT/iNode/iNode Manager/iNodeUpdate |
存放客户端版本升级包 |
|
$iNode_ROOT/iNode/iNode Manager/license |
存放license文件 |
|
$iNode_ROOT/iNode/iNode Manager/pem |
存放Openssl加密所需证书 |
|
$iNode_ROOT/iNode/iNode Manager/DAM |
存放DAM安装文件 |
|
$iNode_ROOT/iNode/iNode Manager/dictionary |
存放iNode客户端防破解字典文件 |
|
$iNode_ROOT/iNode/iNode Manager/help |
存放iNode管理中心帮助文档 |
|
$iNode_ROOT/iNode/iNode Manager/iNodeFloder |
存放iNode客户端安装文件 |
|
$iNode_ROOT/iNode/iNode Manager/Log |
存放iNode管理中心运行日志 |
|
$iNode_ROOT/iNode/iNode Manager/Resources |
存放iNode管理中心资源文件 |
|
$iNode_ROOT/iNode/iNode Manager/template |
存放iNode客户端安装辅助程序 |
|
$iNode_ROOT/iNode/iNode Manager/ template_s |
存放iNode客户端静默方式安装辅助程序 |
|
$iNode_ROOT/iNode/iNode Manager/Tools |
存放iNode客户端安装辅助工具 |
|
$iNode_ROOT/iNode/iNode Manager/TRM |
存放TRM安装文件 |
|
$iNode_ROOT/iNode/iNode Manager/Setup |
存放iNode客户端安装包 |
|
$iNode_ROOT/iNode/iNode Manager/update |
存放iNode客户端升级包 |
|
$iNode_ROOT/iNode/iNode Manager/TRM |
存放TRM安装文件 |
表1-3 Linux&macOS iNode管理中心系统目录结构说明
|
目录名 |
说明 |
|
|
$iNode_ROOT/iNodeManager |
存放iNode管理中心可执行文件、动态连结库和子目录 |
|
|
$iNode_ROOT/iNodeManager/custom |
存放当前生成的定制文件 |
|
|
$iNode_ROOT/iNodeManager /imageformats |
存放QT加载图片依赖文件 |
|
|
$iNode_ROOT/iNodeManager/iNodeUpdate |
存放客户端版本升级包 |
|
|
$iNode_ROOT/iNodeManager/platforms |
Qt运行跨平台依赖文件 |
|
|
$iNode_ROOT/iNodeManager/iNodeCusUpd |
存放客户端轻量级升级包 |
|
|
$iNode_ROOT/iNodeManager/Log |
存放iNode管理中心运行日志 |
|
|
$iNode_ROOT/iNodeManager/Resources |
存放iNode管理中心资源文件 |
|
|
$iNode_ROOT/iNodeManager/iNodeSetup |
存放iNode客户端安装包 |
|
表1-4 Linux&macOS iNode客户端系统目录结构说明
|
$iNode_ROOT/iNodeClient |
存放iNode客户端可执行文件、动态连结库和子目录 |
|
$iNode_ROOT/iNodeClient/custom |
存放当前生成的定制文件 |
|
$iNode_ROOT/NodeClient/clientfiles |
存放连接配置文件,文件夹对应关系如下: 1100---无线连接 8021---802.1x连接 5020---Portal连接 2400---L2TP连接 7000---SSL VPN连接 9019---EAD直连连接 |
|
$iNode_ROOT/iNodeClient/conf |
存放客户端运行配置文件 |
|
$iNode_ROOT/iNodeClient/Log |
存放iNode客户端运行日志 |
|
$iNode_ROOT/iNodeClient/resources |
存放iNode客户端资源文件 |
|
$iNode_ROOT/iNodeClient/AuthenMngService |
客户端后台服务程序 |
|
$iNode_ROOT/iNodeClient/DamAgent |
DAM后台程序 |
|
$iNode_ROOT/iNodeClient/iNodeMon |
客户端监控程序 |
|
$iNode_ROOT/iNodeClient/iNodeClient |
客户端前台进程 |
表1-5 Windows客户端常用文件功能说明
|
目录名 |
说明 |
|
$iNode_ROOT/iNode/ iNode Client/Data/proto_cfg.ini |
iNode客户端后台配置文件,按照如下方式修改可以将客户端运行日志级别改为“detail”并永久生效: [MainInfo] RunOption=3 LogLevel=5 修改文件后需要重新启动iNode才能生效 |
表1-6 Linux&macOS客户端常用文件功能说明
|
目录名 |
说明 |
|
$iNode_ROOT/iNodeClient/conf /iNode.conf |
iNode客户端后台配置文件,按照如下方式修改可以将客户端运行日志级别改为“detail”并第一次生效: LogLevel=5 修改文件后需要重新启动iNode才能生效 |
iNode日志记录程序安装、运行中的信息,例如iNode在安装和运行过程中产生的错误以及潜在错误等。以下对iNode日志的存放路径、名称格式、日志格式等进行说明。
· Windows
¡ iNode客户端运行日志文件的存放路径:$iNode_ROOT\iNode\ iNode Client\Log。
¡ iNode客户端进程间通信的日志文件存放路径:$iNode_ROOT\iNode\ iNode Client\conf\Log。
¡ iNode客户端前台运行日志存放路径:%USERPROFILE%\ iNodeClient。
¡ iNode客户端安装过程日志的存放路径:C:\iNodeLog。
¡ DAM Agent的运行日志存放路径:C:\iNode DAM Agent\%UID%\log。
¡ iNode管理中心运行日志文件的存放路径:$iNode_ROOT\iNode\iNode Manager\Log。
· Linux&macOS
¡ iNode客户端运行日志文件的存放路径:$iNode_ROOT\iNodeClient\Log。
¡ iNode管理中心运行日志文件的存放路径:$iNode_ROOT \iNodeManager\Log。
iNode客户端日志文件名称的格式:iNode日志文件的命名规则如图1-1,其中模块名称的分类见表1-7、表1-8。
表1-7 Windows客户端模块分类描述
|
目录名 |
说明 |
|
iNodeMon. |
记录服务中心启动和停止、监控其他进程运行情况等行为活动 |
|
iNodeCmn |
记录公共模块的行为活动,包括维护场景信息、收发二次报文等 |
|
iNodeClient |
记录iNode前台模块的行为活动 |
|
iNodePortal |
记录Portal认证模块的行为活动 |
|
iNodeSslvpn |
记录SSL VPN认证模块的行为活动 |
|
iNodeWlan |
记录无线认证模块的行为活动 |
|
iNodeL2tpIPSecvpn |
记录L2TP IPsec VPN认证模块的行为活动 |
|
iNdoe1x |
记录802.1X认证模块的行为活动 |
|
L2Pkt |
记录二层报文收发 |
|
iNodeSec |
记录安全认证主模块的行为活动 |
|
iNodeSecPkt |
记录安全认证报文收发 |
|
XGina |
记录单点登录相关的行为活动 |
|
MngCenter |
记录管理中心行为活动 |
|
MngCntrSrvc |
记录升级管理模块行为活动 |
表1-8 Linux&macOs客户端模块分类描述
|
目录名 |
说明 |
|
Portal |
记录Portal认证过程日志 |
|
PortalPkt |
记录Portal认证报文日志 |
|
1xProto |
记录1x认证过程日志 |
|
auth |
记录后台服务器运行过程日志 |
|
front |
记录前台界面进程运行过程日志 |
|
SecPkt |
记录安全认证报文处理过程日志 |
|
SecPktDtl |
记录安全认证报文日志 |
|
SecCheck |
记录安全检查过程日志 |
|
L2Pkt |
记录二层报文收发 |
|
Sslvpn |
记录SSL VPN认证过程日志 |
|
DamAgent |
记录DAM进程运行的日志 |
|
damPkt |
记录DAM报文交互日志 |
举例:日志文件“iNodeClient.2016011801.log”,表示iNode前台模块在2016年1月18日星期一产生的运行日志。
· iNode日志的格式:[yyyy-mm-dd hh:mm:ss] [Log Level] [Thread ID] description。
· 各分段之间使用空格连接。各分段含义请参见表1-9。
|
分段 |
说明 |
|
yyyy-mm-dd |
日志输出的年、月、日,如2010-04-08 |
|
hh:mm:ss |
日志输出的时、分、秒,如20:30:18 |
|
Log Level |
日志级别,具体说明请参见表1-10 |
|
Thread ID |
线程ID |
|
description |
日志描述信息 |
|
日志级别 |
说明 |
|
Fatal |
致命错误 可能影响系统正常运行,一般无法自动恢复 |
|
Error |
普通错误 模块运行时出错,一般可以自动恢复;系统可以继续正常运行,但是某些处理过程数据或结果数据可能是错误的 |
|
Warning |
警告 模块运行时出现异常,可能会引发某些错误,但不影响系统正常运行 |
|
Information |
信息 提示用户发生特定事件以及描述一个业务流程的关键步骤,该级别的信息面向测试人员与维护人员 |
|
Debug |
调试 用于跟踪模块的执行步骤,该级别信息面向开发人员 |
|
Detail |
详细 用于跟踪模块的底层信息如管道、消息等,该级别信息面向开发人员 |
举例:日志文件中记录了运行日志“[2016-01-18 08:54:28] [Info] [1760] ::main ====iNodeClient is starting now=======”。日志信息表明,2016年1月18日08:54:28,由线程1760输出,产生了一条Info日志,日志内容是“::main ====iNodeClient is starting now=======”。
表1-11 iNode进程及端口号说明
|
进程名称 |
功能描述 |
协议/端口号 |
启动要求及依赖关系 |
|
iNodeMon.exe |
iNode客户端后台服务进程,监控其他所有运行进程的运行情况 |
无 |
基础进程,必须启动,不能停止 |
|
iNode Client.exe |
iNode客户端前台界面进程,处理所有与用户交互的界面逻辑 |
无 |
如果该进程退出,用户无法进行界面交互操作 |
|
iNodeCmn.exe |
iNode公共进程,维护场景信息、收发二次报文、更新网卡状态、检测iNodeClient.exe运行情况、服务开机自动认证及单点登录及其他一些公共业务 |
无 |
基础进程,必须启动,不能停止 |
|
iNodeImg.exe |
负责iNode各进程之间的通信 |
UDP/8900 |
基础进程,必须启动,不能停止 |
|
iNodeSec.exe |
iNode安全检查进程,实现EAD功能 |
UDP/9019 UDP/10102 (如果绑定失败 端口自动加一) |
基础进程,必须启动,不能停止 |
|
iNode1x.exe |
iNode 802.1x协议进程,实现802.1x认证功能 |
无 |
定制802.1x组件必须启动,否则不启动 |
|
iNodePortal.exe |
iNode Portal协议进程,实现Portal认证功能 |
无 |
定制Portal组件必须启动,否则不启动 |
|
iNodeWlan.exe |
iNode无线协议进程,实现无线认证功能 |
无 |
定制无线组件必须启动,否则不启动 |
|
iNodeSslVpn.exe |
iNode SSL VPN协议进程,实现SSLVPN认证功能 |
无 |
定制SSL VPN组件必须启动,否则不启动 |
|
iNodeL2tpIPSecvpn.exe |
iNode L2TP IPSec VPN协议进程,实现L2TP IPSec VPN认证功能 |
UDP/500 |
定制L2TP IPSec VPN组件必须启动,否则不启动 |
|
DamAgent.exe |
iNode客户端桌面资产管理进程 |
UDP/20202(如果绑定失败端口自动加一) |
基础进程,如果定制了DAM则必须启动,不能停止 |
|
iNodeManager.exe |
iNode管理中心主界面进程,用于定制客户端 |
无 |
用户使用时启动 |
|
iNodeMngChecker.exe |
iNode升级管理进程 |
TCP/9090 |
基础进程,必须启动,不能停止 |
表1-12 Linux&macOS iNode进程及端口号说明
|
进程名称 |
功能描述 |
协议/端口号 |
启动要求及依赖关系 |
|
AuthenMngService |
客户端后台服务程序 |
无 |
基础进程,必须启动,不能停止 |
|
DamAgent |
DAM后台程序 |
UDP/9019 UDP/20202(如果绑定失败端口自动加一) |
定制DAM功能必须启动 |
|
iNodeMon |
客户端监控程序 |
无 |
基础进程,必须启动,不能停止 |
|
iNodeClient |
客户端前台进程 |
无 |
基础进程,必须启动,不能停止 |
使用iNode客户端做单点登录,需要满足以下两个条件:
· 新建一个连接类型为“单点登录连接”的连接或者修改已存在连接的连接类型为“单点登录连接”。
¡ 新建连接时选择“单点登录连接”,如图1-2所示。
¡ 也可以选择一个已创建的连接,在连接类型中修改为“单点登录连接”,如图1-3所示。
· 启用单点登录功能,打开iNode管理平台窗口,选择<基本设置>页签,勾选运行方式下的“启用单点登录功能”选项,如图1-4所示。
定制的图标和标题会显示在操作系统的登录界面,单点登录时选择对应的iNode客户端单点登录图标登录即可。
搜集客户端日志信息的步骤如下:
(1) 单击图1-6中的<设置>按钮,设置运行环境为调试级别。
(2) 复现问题。
(3) 单击图1-6中的<收集>按钮,收集调试日志。
(4) 客户端调试日志位于客户端安装目录下的CollectInfo文件夹下,选择最新生成的压缩包即可。
(5) 收集iNode客户端安装目录下conf/log日志,该日志文件一般比较大,可先本地保存。
搜集iNode客户端日志信息的步骤如下:
(1) 单击[操作>配置客户端运行方式]菜单项,如图1-7所示。
图1-7 iNode客户端界面
(2) 设置日志级别为详细,然后单击<确定>按钮。
图1-8 配置客户端运行方式
(3) 复现问题。
(4) 收集日志。
¡ Linux客户端,收集客户端安装目录下$iNodeClient/Log所有文件。
¡ macOS客户端,收集客户端安装目录下/apple/Applications/iNodeClient/Log所有文件。
重启客户端前台,日志级别会重新设置为默认告警级别,如果再复现问题时需要重新设置日志级别。
UOS系统下搜集iNode客户端日志信息的步骤如下:
(1) 单击[操作>配置客户端运行方式]菜单项,如图1-9所示。
图1-9 iNode客户端界面
(2) 设置日志级别为详细,然后单击<确定>按钮。
图1-10 配置客户端运行方式
(3) 复现问题。
(4) 收集日志。
¡ 如果是x86芯片,收集/opt/apps/com.client.inode.amd/files/log目录下的所有文件。
¡ 如果是arm芯片,收集/opt/apps/com.client.inode.arm/files/log目录下的所有文件。
¡ 如果是mips芯片,收集/opt/apps/com.client.inode.mips/files/log目录下的所有文件。
¡ 如果是龙芯芯片,收集/opt/apps/com.client.inode.loongarch/files/log目录下的所有文件。
重启客户端前台,日志级别会重新设置为默认告警级别,如果再复现问题时需要重新设置日志级别。
可按如下方式处理:
· 若为32位系统,删除注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\iNode下的InstallByMsi键,删除后重新安装。
· 若为64位系统,删除注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\iNode下InstallByMsi键,删除后重新安装。
运行iNode客户端安装程序后,弹出对话框如图2-1所示。
这是因为当前PC上已经安装了iNode客户端,勾选“除去”选项会删除已经安装的客户端,删除完成后,再次运行iNode客户端安装程序即可成功安装。
图2-1 运行iNode安装程序窗口
客户端安装或升级时会安装一些网络驱动,涉及系统内核操作,还可能与系统安装的第三方安全软件有冲突,导致有时驱动安装失败,出现网卡被禁用或者网络不通等异常情况时,按照如下方案处理:
(1) 安装或者升级完成后,按照向导页面提示重启操作系统,如果仍有问题请收集客户端详细日志和C:\windows\inf目录下setupapi开头的log文件。
(2) 卸载第三方安全软件后,重启系统或者重装客户端,排查是否与第三方软件有冲突。
某些局点反馈用户可通过非正常卸载方法绕过密码校验,卸载客户端。如通过命令行方式卸载无法将iNode彻底卸载,防内网外联驱动还会生效。因此下面两种方案都可以使用:
· 建议定制iNode客户端的静默安装包重新安装。
· 如果需要使用非静默方式安装,在定制iNode客户端的时可定制“启用防内网外联功能,阻止内网电脑接入其他网络”,并且默认动作选择“丢弃”。这样定制的客户端安装后,如果使用命令行方式卸载,重启系统之后,防内网外联策略仍然生效,用户无法访问网络。
大概率原因为“iNode VPN Virtual NIC”虚拟网卡安装失败,可能与VMWare系统注册表残留有关,可以通过如下方法修复:
(1) 重新下载同版本的VMWare安装包。
(2) 命令行执行:vmware安装程序 /remove。
(3) 重启操作系统,安装iNode客户端。
(4) 如仍有问题,请收集客户端详细日志和C:\Windows\inf\setupapi.dev.log这个系统安装日志文件。
可能原因为客户端定制了ACL或者防内网外联功能,卸载时驱动有残留导致离线ACL仍然起作用。可以通过以下方法解决:
(1) 以管理员权限运行cmd.exe。
(2) 进入到客户端安装目录(例如:C:\Program Files\iNode\iNode Client\),执行命令:
¡ 32位系统:eadApxSvr.exe-uninstallfilter
¡ 64位系统:eadApxSvr64.exe-uninstallfilter
(3) 卸载iNode客户端。
(4) 重新安装iNode客户端。
macOS系统,SSL VPN/Portal无法成功,查看日志文件发现无后台日志。
可能是iNode认证服务被禁用了。
使用如下命令查看禁用的服务中有没有iNode的服务AuthenMngService。
launchctl print-disabled system
如果有则使用如下命令进行使能,然后重启操作系统。
sudo launchctl enable system/com.apple.iNodeClient.AuthMon
macOS 11.1安装iNode后无法启动界面,提示如下信息:
图2-2 提示信息
提示信息里提示缺少库:/usr/local/lib/****.dylib,但是在该路径下可以找到该库。并且再次尝试后提示缺少的是另外一个库,如libDAM.dylib,说明该路径下库都有问题,所以每次提示可能均不一样。
可能的原因是执行了某种操作或者安装了某种软件触发了苹果的保护机制,导致/usr/local/lib/下面的库都被限制了使用。
终端切换到root权限,命令为:chmod –R 777 /usr/local/lib/。
麒麟系统下使用错误的安装包进行过安装,则会导致后续的卸载、重新安装出现问题。
图2-3 麒麟系统1
图2-4 麒麟系统2
麒麟系统不能使用签名的包进行安装及其他原因。
切换到root用户,使用命令行方式卸载、安装。
(1) 切换到root用户:su。
(2) 卸载命令:dpkg -P com.client.inode.arm。
(3) 安装命令:dpkg -i com.client.inode.arm_E0606.deb(com.client.inode.arm_E0606.deb为安装包的名字)。
在Windows Vista、Windows7或Windows8、Windows10、Windows11中安装iNode时,可能会弹出如所示图2-6页面,这是由于系统开启了用户帐户控制造成的,请选择<是>即可,其它步骤相同。
图2-5 用户账户控制
这是由于运行Linux iNode需要32位库支持,如果系统中没有安装32位库就会导致无法安装iNode,安装32位库后即可解决。Linux RedHat ES6 x86_64系统安装盘中通常都含有32位库。在/home/iNode/iNodeClient/libs下存放了脚本文件lib32_install.sh,其中/home/iNode/iNodeClient
为iNode的安装路径。将脚本文件lib32_install.sh复制到Linux系统中,并执行如下命令:
chmod +x lib32_install.sh
./lib32_install.sh /media/RHEL_6.2 x86_64 Disc 1
其中/media/RHEL_6.2 x86_64 Disc 1为系统安装盘路径。
在凝思磐石Linux系统中安装iNode前,需要先安装32位库或者gtk库。
· 凝思磐石4.0解决办法
a. 将<iNode安装盘>/libs/rocky/unpack_lib32.sh复制到凝思磐石系统的根目录下。
b. 将<系统安装盘>/Rocky/install_lib_32复制到凝思磐石系统的根目录下。
c. Shell终端中运行sh/unpack_lib32.sh,解压32位lib库。
· 凝思磐石6.0解决办法
a. 将<系统安装盘>\pool\main\i\ia32-libs-gtk\ia32-libs-gtk_20120102_amd64.deb复制到凝思磐石系统根目录下。
b. Shell终端中输入su root,回车后输入root密码切换到root用户。
c. 进入凝思磐石系统根目录,运行dpkg -i ia32-libs-gtk_20120102_amd64.deb,完成gtk库安装。
如果系统曾经安装过VMware,但是在卸载时未能正常卸载,残留有注册表相关信息,将可能会导致无法安装,通过清除注册表信息后可以解决该问题。可以通过如下方法修复:
(1) 重新下载同版本的VMWare安装包。
(2) 命令行执行:vmware安装程序 /remove。
(3) 重启操作系统,安装iNode客户端。
(4) 如仍有问题,请收集客户端详细日志和C:\Windows\inf\setupapi.dev.log系统安装日志文件。
系统安全设置拦截,开放权限即可。选择[系统偏好设置>安全性与隐私]菜单项,在<通用>页签下,在“允许从以下位置下载的应用程序”区域处,勾选<Mac App Store和被认可的开发者>选项即可。
图2-6 勾选<Mac App Store和被认可的开发者>选项
安装或卸载iNode客户端时,若出现类似“功能传送错误”等系统权限错误提示弹框,请单击<确定>按钮后,稍后重新尝试安装或卸载。
图2-7 功能传输错误弹窗
可能原因为iNode各进程间通信失败,请从以下几个方面进行排查:
(1) 请确认一下任务管理器中iNodeImg.exe是否运行,如果没有运行,请手动或者命令行执行客户端安装目录下的iNodeImg.exe查看有无报错信息,是否是依赖的库文件有问题。
(2) 如果已运行,请使用netstat -abno|findstr "8900"命令查询一下占用该端口号的进程,对比任务管理器看一下有无除iNodeImg.exe外的进程占用该端口。
图3-1 任务管理器
图3-2 端口
(3) 如果没有被占用,排查一下有无第三方安全程序拦截本地进程间通信,可以尝试将任务管理器中所有iNode开头的相关进程添加到信任列表中,或禁用某些策略与服务进行尝试。
(4) 检查防火墙配置或者域控策略中是否禁用了127.0.0.1本地通信地址,需要放行。
(5) 如果仍有问题,请将当前系统登录用户文件夹下的iNodeClient文件夹和安装目录conf\log文件夹与客户端安装目录下的log文件夹一起打包反馈。
可能原因为场景名称包含了中文字符,可以通过如下方式解决:
(1) 管理中心安装在纯英文系统上或者将Language切换为English,重新定制生成客户端。
(2) 不选择使用默认场景,使用自定义场景,场景名称不能包含中文字符。
经过系统输入法排查属于输入法软件本身的问题,请更新至最新版本的输入法进行解决。
处理方式如下:寻找专业的dll文件下载网站,下载OpenGL32.dll文件后,复制到相应目录;或者找到相同版本的系统,复制该系统下OpenGL32.dll到对应的目录下,即可解决。不同系统的对应目录为:
· Windows 95/98/Me系统,则复制到C:\WINdows\system32\ 目录下。
· Windows NT/2000系统,则复制到C:\WINNT\system32\ 目录下。
· Windows XP系统,则复制到C:\WINdows\system32\ 目录下。
· Windows 7/8系统,则复制到C:\Windows\system32\目录下。
若为64位系统,则还要复制64位的dll文件到C:\Windows\SysWOW64\目录下。
处理步骤如下:
(1) 启动时进入安全模式,由安全模式登录本机。
(2) 删除注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon下的GinaDLL项。
重新启动计算机,以正常模式登录本机。修复安装iNode客户端,或卸载iNode客户端后重新安装。
修复客户端的方法为:在[开始>所有程序>iNode>iNode智能客户端>卸载或修复客户端]菜单项,选择修复客户端即可。
以Portal连接为例,iNode客户端升级之后缺少用户之前使用的Portal连接。处理步骤如下:
(1) 查看iNode客户端安装目录Data文件夹下Portal连接文件是否存在。
图3-3 查看Data文件夹
Data文件夹下子文件夹中存在不同协议类型的连接文件,对应关系如下:
¡ 1100:无线连接
¡ 2401:L2TP IPSEC VPN连接
¡ 5020:Portal连接
¡ 7000:SSL VPN连接
¡ 8021:802.1x连接
(2) 进入5020文件夹,如果该文件夹为空,则需要通过iNode管理平台窗口创建Portal连接后才可使用。
图3-4 查看5020文件夹
(3) 如果该文件夹不为空,查看进程管理器。
图3-5 查看进程管理器
连接类型所对应的iNode后台进程是否运行,对应关系如下:
¡ iNode1x.exe:802.1x连接
¡ iNodePortal.exe:Portal连接
¡ iNodeSslvpn.exe:SSL VPN连接
¡ iNodeWlan.exe:无线连接
¡ iNodeL2tpIPSecvpn.exe:L2TP IPSEC VPN连接
如果iNodePortal.exe进程不存在,可进入iNode客户端安装目录,查看iNodePortal.exe进程文件是否存在。如果iNodePortal.exe进程文件不存在,请确认iNode客户端是否定制了Portal组件,如果已定制,建议修复客户端;如果没有定制,则需要在管理中心定制客户端时选择Portal协议组件。
图3-6 定制Portal协议组件
如果iNodePortal.exe进程文件存在,以管理员权限启动命令行程序cmd.exe,切换到iNode客户端安装目录,运行iNodePortal.exe,查看能否成功,如果提示错误,则建议修复客户端;如果运行成功,则建议重启操作系统。
修复客户端的方法为:在[开始>所有程序>iNode>iNode智能客户端>卸载或修复客户端]菜单项,选择修复客户端即可。
有以下几种情况:
· 纯英文操作系统下不能使用中文场景名。纯英文操作系统,请检查定制客户端时是否使用了中文场景名,方法为进入iNode客户端安装目录的Data文件夹,查看locations.xml文件中<location>节点下的name属性是否为中文,纯英文操作系统可能为乱码。
<location>
<name>H3C Network</name>
<desciption />
<connections>
<connection>5021</connection>
</connections>
</location>
· 发生在首次登录操作系统时,这种情况下只需等待一段时间后再运行iNode客户端即可恢复。
· iNode客户端前台进程与iNode公共进程通信失败,无法获取场景数据等相关信息。查看iNode客户端前台日志,日志文件路径为当前用户目录下的iNodeClient文件夹,复现问题,查看最新的imf_inode_client_x.log文件,可搜索关键字error,错误码为系统socket调用错误,如下所示:
2016-05-12 16:26:38.813 CImfConnection::connect begin to connect. OppAddr: 127.0.0.1, OppPort: 8900, PipeType: 0
2016-05-12 16:26:38.813 CImfTaskMgr::delAssistTask taskmgr 254 task 87 has been deleted
2016-05-12 16:26:38.813 CImfAppMgr::getProcAddrByID Fail to get proc ip, retCode = -5
2016-05-12 16:26:38.813 CImfConnection::connect connect failed, error: 10047, An address incompatible with the requested protocol was used.
· 这种情况可根据具体的socket错误码进一步定位。
在Windows Vista及以上操作系统使用iNode客户端进行单点登录认证,系统注销和启动后进入登录界面,选择登录界面中的“iNode单点登录”图标,输入登录用户名和密码登录操作系统可完成单点登录认证,如图3-7所示。
图标和名称可以通过管理中心进行定制,选择[高级定制>单点登录配置]菜单项,如图1-5所示。
电脑设置休眠后,接入明细日志打印大量上下线日志,在线时长表现很有规律,但是客户端并没有掉线。
休眠期间有其他软件不断唤醒系统,触发休眠唤醒后自动重连机制。
(1) 取消系统休眠。
(2) 升级客户端版本,唤醒后是否重连依赖于有无配置自动重连,取消故障时自动重连功能后唤醒时可将不再发起自动重连。
802.1x认证,大概需要20秒左右才能认证成功。
收到eap success报文比较慢。
抓包或者查看客户端二层抓包日志,发现从客户端发送EAP Start报文认证开始到收到EAP Success认证成功报文,时间比较久,大概需要15秒左右,需要从设备侧分析。
802.1x认证失败,查看服务器没有接入认证失败日志。
交换机默认方式为Local,客户端认证时没有携带域名。
用户名后输入“@”和正确的域名。
802.1x认证不定时掉线,查看服务器接入明细显示“Lost Carrier”。
· 客户端发出去的握手回应没有被设备正确解析或者被转发到设备。
· 设备发来的握手请求报文,客户端没有收到。
(1) 客户端和设备直连设备抓包,过滤EAPOL报文,查看客户端和直连设备上的抓包。
(2) 如果客户端有正常回应(Identity Response)设备的握手请求(Identity Request)报文,通过如下方式更新客户端:
¡ E0598版本之前的客户端需要安装iNode PC 7.3 (E0548U01)补丁。
¡ 升级到E0598之后的版本,推荐E0601。
(3) 如果客户端有收到设备的握手请求(Identity Request)报文,没有回应,请查看EAP报文类型是否为多播,修改为单播类型。
无线/有线1x认证失败,客户端提示“用户不存在或者没有申请该服务”,或者客户端提示“连接失败,请联系管理员”,从服务器用户接入认证日志查看显示“用户不存在或者没有申请该服务”。
· 用户名输入错误。
· 没有输入正确的域名。
(1) 输入正确的用户名。
(2) 输入正确的域名。
无线/有线1x认证失败,不断重连。
网线接触不好,不断闪断。
更换网线,重新插拔。
单击<断开>按钮后,再次进行认证,提示“连接失败,请联系管理员”,不断重连。
设备没有正确处理客户端的下线报文,导致设备还在线,重新发起认证时会认证失败。
(1) 在客户端和直连设备和认证设备上抓包,过滤EAPOL报文,查看客户端下线时有没有正确发送EAP Logoff报文。
(2) 如已正确发送,查看认证设备有没有收到并正确处理,如果收到了,需要从设备侧排查。
(3) 如果认证设备没有收到,查看直连设备上有没有收到,如果有收到,需要排查网络配置,查看有无不能透传EAP报文的设备。
PC端点击iNode下线后实际还处于在线状态,发现收集日志的终端问题前账号在线时间很长。
客户端侧和直连设备抓包,客户端有发送下线请求报文,直连设备上抓包没有收到。
· E0598版本之前的客户端需要安装iNode PC 7.3 (E0548U01)补丁。
· 升级到E0598之后的版本,推荐E0601。
该错误是由于在认证过程或者在线过程中收到了设备发送的EAP Failiure报文导致的,按照如下步骤排查:
(1) 查看服务器侧接入认证失败日志,有无相关记录,根据显示的认证失败原因进行排查。
(2) 如果没有接入认证失败日志,可查看设备dot1x配置是否正确,802.1x证书认证必须配置为EAP认证类型。
(3) 必要时需要在客户端侧设备侧同时抓包,同时开启详细日志,反馈抓包和详细日志进行分析。
802.1x连接失败,处理方法为需要在连接属性中勾选网络故障时自动重连,如图4-1所示。
在属性设置页面,还可以配置重连次数和重连间隔。
选中该属性配置项后,当认证网卡变为已连接状态时会自动上线认证,检测网卡连接状态的周期为1分钟。
管理中心定制客户端时选择[高级定制>域配置项]菜单项,单击<添加>按钮可定制802.1x属性的域信息,如图4-2所示。
可根据需要添加多条,安装完客户端后,802.1x连接登录界面就会显示定制好的域描述信息列表,认证时可以选择定制好的域信息。若不定制此项,客户端不显示域信息。
Portal认证出现该问题亦可参考本节的解决方案。
证书认证失败包含以下几种情况:
· 证书已过期。查看证书的失效日期方法为,选择IE浏览器的[工具>Internet选项]菜单项,在弹出的对话框中选择<内容>属性页,单击对话框中的<证书>按钮,如图4-3所示。证书截止日期即为失效日期。
· 没有安装根证书。请单击图4-3中的<受信任的根证书颁发机构>页签,如图4-4所示。可根据颁发给和颁发者查看对应的根证书是否安装。
· 选择了错误的个人证书或者与服务器侧配置的证书不一致。请确保客户端选择的证书和服务器导入的证书是配套的。客户端选择的证书可以通过属性对话框查看,查看方法如下。
a. 打开属性对话框,选择<高级>属性页。
图4-5 查看安装根证书
b. 单击<选择客户端证书…>按钮,弹出对话框如图4-6所示。
· 服务器侧导入的证书信息可通过单击[用户>接入策略管理>业务参数配置>证书配置]菜单项进行查看根证书和服务器证书配置,如图4-7所示。
认证服务器出现问题,请检查设备配置和认证服务器的运行情况,该问题需要查看服务器日志,从服务器侧定位。
对于使用Windows XP、Windows 2000 SP4和Windows 2003的用户,系统中的身份验证设置同当前iNode客户端使用的802.1x认证功能可能存在冲突。在这种情况下,iNode客户端会关闭系统的802.1x身份验证功能。如果客户端提示当前仍然存在冲突,则需要您手动取消系统的802.1x身份验证设置,方法如下:
(1) 在[控制面板>网络和Internet]菜单项中,双击“网络连接”链接。在打开的窗口中,右键点击认证所使用的网络连接(网卡),在右键菜单中选择“属性”,打开属性对话框,如图4-8所示。
图4-8 关闭操作系统的802.1x身份验证功能
(2) 在“属性”对话框中选择“身份验证”页签,如图4-9所示。
(3) 去除勾选的“启用IEEE 802.1X 身份验证”选项。
(4) 单击<确定>按钮完成设置。
如果属性对话框中不显示“身份验证”属性页,请执行如下命令:
打开命令行程序cmd.exe,Windows Vista及以上操作系统下需要以管理员身份运行,执行“netsh.exe lan set autoconfig enabled=yes interface=\"本地连接"”,其中“本地连接”为在[控制面板>网络和Internet>网络连接]显示的认证网卡的名称。
iNode客户端认证时或者认证过程中界面显示为如图4-10所示:
图4-10 802.1x界面连接状态页面
查看[控制面板>网络和Internet>网络连接]路径下,如图4-11所示,确保认证网卡已连接。
包含以下几种情况:
· 存在多网卡。802.1x连接选择了错误的认证网卡,请确认选择的认证网卡是否正确,查看认证网卡的方法为,在连接登录窗口选择[更多>属性]菜单项,弹出连接属性对话框如图4-12所示。
· 不存在多网卡或者认证网卡选择正确。请检查网卡连接接入设备的端口是否已启用802.1x认证。
· 网线可能损坏,建议更换网线再尝试。
判断是否为iNode客户端本身问题的方法如下:建议同时在客户端和设备侧抓包,如果客户端侧发送的EAP_Start报文在设备侧收到,而客户端没有收到设备发送的EAP_Request报文,则可排除是iNode客户端的问题,应检查设备配置或者设备本身问题。
无线1x认证,iNode客户端提示网卡电缆未连接,而用Windows自带客户端可成功连接。
1x认证使用的无线网卡接入的AC配置可能有问题。
修改AC的配置,将AC上的这三条删除后正常。
· akm mode dot1x
· cipher-suite ccmp
· security-ie rsn
· iNode客户端使用无线1x认证时,进度显示一直在加载中,无法认证成功,而手机和电脑自带的无线1x认证成功。
· 手机、电脑、iNode每次上线均连接较远、信号较差的AP。
AP配置问题。从iNode日志可以分析出:无线关联后,无线网卡重关联切换AP,导致目的MAC发生改变,从而导致EAPOL-Key四次握手失败。网卡重关联的原因,分析认为是由于Beacon间隔过大,导致网卡检测信号超时,网卡认为该BSSID不可用,发生切换BSSID。
修改AP设备的beacon interval,即beacon帧间隔,从2000ms改为默认的100ms。
用户使用iNode的过程中会出现掉线情况,提示为您的网卡已被禁用或网线没有插好,单击连接后提示认证无响应,需要重启电脑或重启iNode才能认证成功。还有一种情况为,用户在使用iNode的过程中突然无法使用内网,此时iNode属于在线状态,需要手动重新认证才能使用内网。
该原因可能为USB或者Type-c插口松动造成的,用户桌面右下角网络图标会显示异常。解决方案为重新插紧插口。
图4-13 日志记录信息
可能原因为服务器侧开启了同名账号强制下线功能且连接属性中配置了“网络故障时自动重连”,可以按照如下步骤处理:
菜单路径等因环境版本不同而有差异,请以实际情况为准。
(1) 取消同名账号强制下线功能。
¡ 以EIA V9为例,请在[自动化>用户业务>业务参数>接入参数>系统配置>系统参数配置]菜单项下将“同名帐号强制下线”参数配置为“禁用”。
图4-14 同名帐号强制下线
¡ 以EIA V7为例,请在[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]菜单项下将“同名帐号强制下线”参数配置为“禁用”。
图4-15 同名帐号强制下线
(2) 请在客户端侧连接属性中取消选中“网络故障时自动重连”。
手动输入账户后,iNode发送EAD报文时会自动增加@服务器IP地址,现场输入时只输入了用户名如worker01,导致EAD查不到在线用户。
[2022-11-28 13:22:27] [DtlCmn] [abc] SecPkt secPushInner: out-pkt [1]
<data>
<i n="userName">[email protected]</i>
<i n="hwAddr">28:F1:0E:0C:9C:5B</i>
<i n="eventSeqID">OARCVMAI</i>
图5-1 Portal认证
管理中心Portal配置项配置了默认服务。
定制的时候不要定制默认服务。
图5-2 Portal配置项
安装完客户端首次运行时,需要单击服务器输入框右侧的“刷新”链接,刷新服务器信息。
图5-3 刷新服务器信息
刷新成功后可以进行认证。
如果提示“获取Portal服务器信息超时”,请检查网络环境是否正常,步骤如下:
(1) 检查本机是否存在多网卡,多网卡可能导致路由错误,无法获取到服务器信息,请禁用非认证网卡后再次尝试。
(2) 单网卡情况下,请刷新认证网卡IP地址,刷新成功后再次尝试。
(3) IP地址刷新正确的情况下,请检查网卡所连设备端口配置是否正确,是否启用了Portal认证功能,VLAN配置是否正确。
iNode与认证服务器无法通讯,请按照如下步骤自检:
(1) 检查本机是否存在多网卡,多网卡可能导致路由错误,无法获取到服务器信息,请禁用非认证网卡后再次尝试。
(2) 单网卡情况下,请刷新认证网卡IP地址,刷新成功后再次尝试。
(3) IP地址刷新正确的情况下,请检查网卡所连设备端口配置是否正确,是否启用了Portal认证功能,VLAN配置是否正确。
本地IP地址没有在服务器配置的管理范围内,请按照如下步骤自检:
(1) 检查本机是否存在多网卡,请禁用非认证网卡后再次尝试。
(2) 单网卡情况下,请刷新认证网卡IP地址,刷新成功后再次尝试。
(3) 查看服务器配置的IP地址组是否正确,方法为查看[用户>接入策略管理>Portal服务管理>IP地址组配置]菜单项,如图5-4所示。
图5-4 IP地址组配置页面
与本机认证网卡IP地址比较,看其是否在其管理范围内,若不在则请修改IP地址组的配置后再次尝试。
该情况是收到服务器的强制下线报文导致的,原因可能如下:
· 管理员通过在线用户列表强制用户下线。
· 非强制下线时可能是服务器故障,请从服务器侧定位故障原因,故障恢复后客户端重新认证即可。
该情况是认证成功后,本机与认证服务器不通,且时间超过了Portal心跳的超时时间从而导致的下线,请按照如下步骤自检:
(1) 检查本机是否存在多网卡,多网卡可能导致路由错误,与服务器不通,请禁用非认证网卡后再次认证。
(2) 单网卡情况下,请刷新认证网卡IP地址,刷新成功后再次认证。
(3) 请检查本操作系统是否修改过系统时间,如果修改过系统时间,请重启操作系统后再次认证。
Portal心跳间隔和超时时长可以通过iMC服务器[用户>接入策略管理>Portal服务管理>设备配置>端口组信息配置]菜单项,单击<详细>按钮可查看详细信息,如图5-5所示。
该情况与操作系统有关,发生在系统从休眠唤醒后自动认证时,解决方法为手动禁用后再启用认证网卡,等网卡获取到IP地址后再进行认证。
该情况出现在Portal二次地址分配认证环境中,一般是由于设备和服务器侧的配置错误导致,有以下两种情况:
· Portal认证成功后刷新IP地址,获取公网IP失败,请检查设备配置,确认VLAN下的IP地址组和Portal认证方式配置是否正确。
· Portal认证成功后刷新公网IP地址成功,客户端向服务器发送IP地址发生变化的报文失败,这种情况需要搜集服务器日志进行定位。
通过查看iNode客户端的日志可以确认是以上哪种情况,方法如下:为客户端配置为详细级别的日志,复现问题后,查看iNode客户端目录Log文件夹下的最新iNodePortalxxxx.log日志文件,查找关键字“renewIp returned Err 1 -- got to go.”,如果存在该关键字,则属于第一种情况;查找关键字“New-old IPs in the same sub net -- got to go.”,如果存在该关键字,则属于第二种情况。
Portal认证成功后立即提示下线,解决方法如下:
(1) 大部分情况为认证时没有选择正确的服务类型,请在登录界面选择正确的服务类型再进行认证。
(2) 选择正确的认证类型仍然存在问题,请查看服务器侧安全代理服务器的日志,参考服务器侧相关文档定位。
选中该属性配置项后,当本地网络可以Ping通Portal服务器时,该连接会自动发起认证,检测网络连接情况的周期为1分钟。
这是因为Portal连接在上次断线的时候,Portal服务器没有接收到iNode客户端发送的下线请求报文,使得该连接在客户端处于下线状态,而在Portal服务器侧处于在线状态。这时用户上线就会出现问题中的提示。
解决方法如下:
(1) 手动断开该连接。iNode客户端向Portal服务器再次发送下线请求报文,使该连接在Portal服务器的状态变为下线。
(2) 等心跳超时(由管理员在服务器侧设置)后,Portal服务器会自动使该连接下线,这时用户可以再次上线。
SSL VPN认证时,提示“获取SSL VPN网络参数失败”。
客户端与网关TLS版本不一致导致,抓包看网关隧道建立时TLS报Alert,提示“Protocol Version”,如所示:
图6-1 提示信息
客户端用的TLS1.0,服务器报协议版本错误,两个解决方案:
· 网关侧勾选TLS1.0的支持,客户端不用做改动。
· 客户端升级到支持TLS1.2的版本,网关侧配置不用动。
SSL VPN认证时,提示“建立VPN隧道失败。”。
· 网络原因,需要确保终端与网关畅通。
· 配置原因,认证方式与网关配置相同。
· 虚拟网卡“iNode VPN Virtual NIC”可能安装失败。
· 网关下发的参数不正确。
(1) 抓包排查网络原因,过滤TCP报文和网关IP,看TCP连接能否正常建立。
(2) TCP连接建立成功,抓包看一下SSL验证过程是否正常。
(3) 如果虚拟网卡安装失败,请参见“2.5 SSL VPN认证时提示“获取虚拟网卡失败”或L2TP认证时提示“网络连接中断 ---- VPN虚网卡被禁用,请先在网络连接中将该网卡启用。””处理。
(4) 查看iNodeSslvpn进程日志,搜索“CSslClient::getVpnAllocParam NET_EXTEND / HTTP/1.1”,这个是客户端发送的查询网关参数请求报文,查看是否收到网关回应及参数是否正确。
//报文数据格式如下, 包含VPN私网IP、掩码、网关、路由、DNS服务器等
HTTP/1.0 200 OK
IPADDRESS:10.10.10.109
SUBNETMASK:24
ROUTES:10.10.255.255/24;192.168.255.255/32;10.10.255.255/24;192.168.255.255/32
EXCLUDE ROUTES:1.2.2.3/32
DNS:10.10.10.1;202.100.4.15
WINS:10.10.10.2
GATEWAY:10.10.10.1
STATICDNS:
//支持IPv6项目
IPV6ADDRESS:2000::1
PREFIXLENGTH:64
IPV6ROUTES:3000::/16;4000::/64
EXCLUDE IPV6ROUTES:3001::/64
IPV6WINS:5000::1;5000::2
IPV6DNS:5000::3;5000::4
要求IP地址和网关参数必须具备,其它参数可选。
SSL VPN认证过后无法访问内网。
(1) 域名解析不正确。
(2) 路由配置不正确,报文没有发送到虚拟网卡。
(3) 被防火墙拦截。
(4) 虚拟网卡故障,无法转发报文。
(1) 如果是通过域名访问内网资源,首先确认域名是否正确解析,可以通过nslookup,ipconfig /displaydns(Windows系统)等工具直接查询,也可以通过ping该域名查看回显结果确定。如果域名已正确解析为内网地址,转至步骤2继续排查,否则需要查SSLVPN服务器下发域名服务器是否正确。
(2) 查看报文是否被转发到虚拟网卡,Linux系统使用“ip route get 内网IP”命令进行查询,MacOS使用“route get 内网IP”命令进行查询,Windows可在虚拟网卡上开启抓包后ping该内网地址,通过是否抓到ping报文来确定路由是否正确。如果报文没有抓到至虚拟网卡,则需要排查SSLVPN服务器下发的路由是否正确。
(3) 关闭防火墙,再次尝试访问内网地址,Windows系统通过cmd命令“netsh advfirewall set allprofiles state off”或者powerShell命令“Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False”,Linux通过命令“iptables -F”,MacOS通过命令“pfctl -d”,如果关闭防火墙后,可以访问内网,则可以确定内网报文被防火墙拦截。
(4) 如果故障系统为Windows 10(版本号1809)或更新的系统,需要进一步排查虚拟网卡驱动的签名时间,如果签名时间早于“2019年4月8日 21:10:58”,则需要升级iNode版本,虚拟网卡驱动的路径是C:\Windows\System32\drivers\inodevnic.sys。
SSL VPN认证后,提示“SSL VPN隧道异常关闭。”。
· 没有针对SSL VPN网关下发外网路由。
· 网络原因,需要确保终端与网关畅通。
(1) 如果故障系统为Windows系统,首先排查是否已针对SSLVPN服务器下发外网路由,方法是开启debug级别日志复现问题,在SSLVPN日志中搜索“EXCLUDE ROUTES”关键字查找服务器下发的外网路由,如果没有针对SSLVPN服务器的外网路由,则需要在SSLVPN服务器上增加外网路由。
(2) 物理网卡开启抓包,查看iNode与SSLVPN服务器的TCP连接是否有大量重传报文,如果有请更换其它网络或者使用手机热点进行上线测试。
· 单播、多播导致认证失败的问题,有些AC不支持多播。
· 加密类型错误问题,有些AC不支持混合加密方式。
· 无线1x认证的加密类型配置和AC上的对应关系。
· 客户端选择AES加密时不支持AC上配置混合加密方式。
在2024年秋季推出的Windows操作系统中,新增了“允许应用访问位置”的设置限制,这可能导致iNode在尝试调用系统接口时出现报错。要解决此问题,需要在系统中启用位置访问权限。以下是以Windows 11为例的步骤:
(1) 打开“系统设置”页面。
(2) 在设置窗口的左侧面板中,选择“隐私与安全性”。
(3) 在“应用权限”部分,选择“位置”。
(4) 启用“定位服务”开关以激活位置服务。
(5) 启用“允许应用访问位置”开关以允许应用程序访问位置信息。
不同版本的操作系统,配置方法可能略有不同,具体可查询操作系统提供的帮助文档。
图7-1 定位服务和允许应用访问位置
大概率原因是认证时没有收到设备或者服务器下发的EAD策略服务器IP和端口,请从以下几点进行排查:
(1) 服务器侧[用户>接入策略管理>业务参数配置>系统配置>策略服务器参数配置]路径下需要启用策略服务器。
(2) 设备要支持透传。
大概率原因为防病毒软件还没有适配,可以通过配置可控软件组解决,配置为必须安装的软件。
对亚信防病毒软件检查时,调用第三方接口查询防病毒软件出现阻塞导致,需更新查询防病毒软件的第三方库,可更新到E0606版本及之后的版本解决。
国产操作系统主要是UOS和麒麟系统,都属于Linux系统,当前底层架构分为X86、ARM、MIPS、麒麟和3A-5000。每种架构都需要单独编译代码,有自己架构对应的安装包。如图9-1示,iNode安装包是属于MIPS架构的,在非MIPS架构的电脑上安装就会安装失败,提示“软件包架构不匹配”。
Deb包的名字里一般会带有架构的类型。比如iNode在x86电脑上的ID是com.client.inode.amd;ARM架构上ID是com.client.inode.arm;MIPS架构上ID是com.client.inode.mips;麒麟架构上ID是com.client.inode.kylin;3A-5000(也叫龙芯五千)上ID是com.client.inode.loongarch。ID的最后一段即是各个架构的标识,一般会出现在安装包名字里。
很可能是之前的错误操作破坏了系统内核,比如之前安装了错误的安装包,这种情况需要先保证把iNode卸载干净。比如打开终端,在命令行执行卸载命令:sudo dpkg –P com.client.inode.XX(最后一段的XX取决于系统的架构,X86、ARM和MIPS架构分别对应的XX是AMD、ARM和MIPS)。
在UOS系统上安装deb后缀的iNode安装包,成功后会在启动器(开始菜单位置)里面有iNode的快捷方式,右键图标会有一些选项,其中就包括了“开机自启动”选项,单击后iNode就会开机自启动。
因为UOS系统提供了便利的开机自启动功能,所以早期iNode本身没有提供开机自启动功能,在连接信息里面勾选“运行后自动认证”,只是让iNode启动后自动认证,并不能够让iNode开机自启动。不过麒麟系统本身提供的开机自启动操作相对比较繁琐,不像UOS那么简便,所以应很多局点要求,麒麟系统上实现iNode本身的开机自启动功能。为了方便统一管理,就对UOS和麒麟都实现开机自启动功能。只要在连接信息里勾选上“运行后自动认证”,iNode不仅会启动后自动认证,也会实现开机自启动。
因为iNode实现开机自启动的原理跟启动器右键实现的原理不一样,两者不会互相影响,所以这两处任何一处设置了开机自启动功能,iNode都会实现开机自启动功能,两者任何一处取消了开机自启动功能,不会影响另一处的效果。
使用Deb包测试没有问题,但是如果使用管理中心的tar包测试可能会遇到问题,当使用root权限执行./iNodeManager时无法打开管理中心界面,因为麒麟990的架构底层结构有变,不再是x显示而是基于Wayland,而Wayland默认不支持root。可以通过以下操作使其支持,打开终端框,普通权限下执行 xhost + SI:loaluser:root(SI中I是大写的i,后面其它的均为小写的L)。
客户端是非unicode程序,如需显示中文,请在操作系统[区域和语言]菜单项中设置非unicode程序使用的当前语言选择“中文(简体,中国)”,如图10-1所示。
认证时提示信息乱码,如图10-2所示:
这种现象一般出现在跟第三方认证服务器对接时,认证失败提示信息由服务器返回,客户端编码方式为本地编码,中文字符为GBK,如果第三方服务器或者设备下发的提示信息为非GBK编码则会乱码。
大概率原因是操作系统对老架构的NDIS驱动兼容性有问题,可以使用更新驱动版本的客户端(E0598之后的版本推荐E00601)测试验证,如果要具体定位是否跟客户端有关,需要收集一下系统目录下的dump文件,一般是C:\Windows目录下的memory.dmp,查看路径可以参考如下方法:
图10-3 查看方法
接入策略配置了“禁止修改MAC地址”,客户端检测到了当前认证网卡的MAC地址与永久MAC地址不同,认为MAC地址被修改了,出现这种情况时,可进行以下排查或者规避:
(1) 接入策略取消“禁止修改MAC地址”进行规避,也可为该用户配置单独的策略。
(2) 请检查是否用Type-C转RJ-45转接的网口做认证,使用USB转RJ-45的转接口认证就没有问题。
(3) 如果不是转接口的网卡,也不能取消策略的话,请在客户端设置详细日志,复现问题。
(4) 搜索客户端安装目录下的Log文件夹下的客户端日志,关键字为“PermanentAddress:”冒号后面为永久MAC地址。
(5) 查看网卡属性。
图10-4 网卡属性
(6) 单击<配置>按钮,选择<高级>属性页,选中属性列表中“本地管理地址”,可以设置MAC地址为永久MAC地址。
图10-5 本地管理地址
接入策略配置了“禁止出现相同的MAC地址”,客户端ARP请求报文查询MAC地址时收到了多个回应报文,认为存在相同的MAC地址,出现这种情况时,可进行以下排查或者规避:
(1) 接入策略取消“禁止出现相同的MAC地址”进行规避,也可为该用户配置单独的策略。
(2) 开启认证网卡抓包,复现问题,过滤ARP报文,查看回应。
(3) 排查网络问题。
(1) 以管理员身份运行附件中Dbgview.rar的进程,按照如下设置:
图10-6 Dbgview.rar
图10-7 收集ACL驱动日志配置1
图10-8 收集ACL驱动日志配置2
(2) 开始抓取日志。
图10-9 抓取日志
(3) 开始复现问题,问题复现完成后,停止抓包,停止抓取驱动日志并保存。
图10-10 日志保存1
图10-11 日志保存2
(4) 将保存的日志拷贝出来。
处理步骤如下:
(1) 收集客户端详细日志。
(2) 抓包。
(3) 同时参考10.6 Windows下收集ACL驱动日志的方法收集过滤驱动日志。
手动卸载方法:
(1) 退出客户端,停止iNode Service服务,以管理员身份运行cmd.exe,切换到客户端安装目录下:
¡ 32位系统执行命令eadApxSvr.exe –uninstallfilter。
¡ 64位系统执行命令eadApxSvr64.exe –uninstallfilter。
(2) 重启系统或者iNode Service服务。
手动安装方法:
(1) 退出客户端,停止iNode Service服务,以管理员身份运行cmd.exe,切换到客户端安装目录下:
¡ 32位系统执行命令eadApxSvr.exe –installfilter。
¡ 64位系统执行命令eadApxSvr64.exe –installfilter。
(2) 重启系统或者iNode Service服务。
iNode客户端安装完成后,查看Windows系统无线管理界面不断闪烁。
Windows系统的WLAN启用“随机硬件地址”功能会导致无线网卡不断挂载过滤驱动,导致无线SSID界面不断闪烁。
· 如果定制了过滤驱动相关功能(如防DHCP攻击、防ARP攻击、防内网外联、ACL功能、URL访问控制功能和无线接入组件等),需关闭“随机硬件地址”功能,如图10-12所示。
· 如果有曾经连接过且已经保存到本地的SSID,该SSID也需要关闭“随机硬件地址”功能,如图10-13所示。
图10-13 已保存SSID关闭“随机硬件地址”功能
(1) 通过iNode客户端日志管理页面收集客户端详细日志。
(2) 无法打开界面的情况下,请在iNode客户端安装目录下的iNodetest.exe,输入参数802收集客户端日志。
(3) 无法进行步骤2时,请手动收集如下目录日志:
¡ C:\iNodeLog。
¡ 当前登录用户目录iNodeClient。
¡ 客户端安装目录下log。
¡ 驱动或者虚拟网卡安装问题需要收集C:\windows\inf下setupapi开头的log。
¡ 蓝屏问题需收集系统的dump文件。
支持
