- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-MAC地址认证故障处理手册
本章节下载: 03-MAC地址认证故障处理手册 (244.84 KB)
MAC地址认证用户认证失败或认证异常。
本类故障的常见原因主要包括:
· 用户已通过其它认证方式上线。
· 全局或接口MAC地址认证功能未开启。
· 设备配置的认证方式与RADIUS服务器不一致。
· MAC地址认证用户使用的认证域及相关配置错误。
· RADIUS服务器无回应。
· 本地认证或RADIUS服务器认证拒绝。
· 授权属性下发失败。
· 用户MAC地址被设置为静默MAC。
· MAC地址认证在线用户数达到最大值。
本类故障的诊断流程如图1-1所示。
图1-1 MAC地址认证用户认证失败的故障诊断流程图
· Debug开关不能在设备正常运行时随意开启,可在故障发生后复现故障场景时打开。
· 请及时保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。
(1) 检查用户是否已通过其它认证方式上线。
当前端口默认的认证方式顺序为:802.1X认证->MAC地址认证。
通过display dot1x connection命令查看当前MAC地址是否已经通过了802.1X认证成功上线。如果已经在线,请判断是否需要通过MAC地址认证重新上线,如果需要,则将相应的802.1X用户下线并关闭802.1X认证功能,然后再尝试进行MAC地址认证。
(2) 检查全局或接口MAC地址认证功能是否开启。
a. 执行display mac-authentication命令,如果提示“MAC authentication is not configured.”,表示全局MAC地址认证未开启,需要在系统视图下执行mac-authentication命令。
b. 执行display mac-authentication命令,如果有全局配置信息,无接口下的配置信息显示,则需要在用户认证的接口视图下执行mac-authentication命令。
(3) 检查设备上配置的认证方法与RADIUS服务器是否一致。
设备上MAC地址认证支持两种认证方法:CHAP和PAP。
执行dis mac-authentication命令查看“Authentication method”字段显示的当前MAC地址认证的认证方法与RADIUS服务器上配置的认证方法是否一致。如果不一致,则可以执行mac-authentication authentication-method命令修改设备上的配置。
(4) 检查认证域及相关是否配置错误。
端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域:端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。
a. 通过在设备上执行display mac-authentication命令查看系统和认证接口下是否配置了MAC地址认证用户使用的认证域。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
Authentication domain : Not configured, use default domain
…
GigabitEthernet0/0/1 is link-up
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
…
b. 如果认证接口下配置了MAC地址认证用户使用的认证域,请执行display domain命令检查认证域下的认证方案是否配置准确;如果认证接口下未配置认证域,而系统视图下配置了认证域,则同样通过display domain命令检查该认证域下的认证方案。
c. 如果认证接口和系统视图下都没有配置MAC地址认证用户使用的认证域,则检查缺省认证域的配置。
d. 如果不存在缺省认证域,若通过domain if-unknown命令配置了unknown域,则检查unknown域下的认证方案是否正确。
e. 如果根据以上原则决定的认证域在设备上都不存在,则用户无法完成认证。
(5) 检查RADIUS服务器有无响应。
请参见《AAA故障处理》的“RADIUS服务器无响应”进行故障定位和处理。
(6) 检查下线原因是否为认证拒绝。
a. 执行debugging mac-authetication event命令打开MAC地址认证事件调试开关:
- 若系统打印调试信息“Local authentication request was rejected.”,则表示本地认证拒绝。导致本地认证拒绝的原因有本地用户不存在、用户名密码错误、服务类型错误等。
- 若系统打印调试信息“The RADIUS server rejected the authentication request.”,则表示RADIUS服务器认证拒绝。服务器认证拒绝有多种原因,最常见的有服务器上未添加用户名、用户名格式不一致、用户名密码错误、RADIUS服务器授权策略无法匹配等。在设备上通过debugging radius error命令打开RADIUS错误调试信息开关查看相关的Debug信息,并且同时可以在设备上执行test-aaa命令发起RADIUS请求测试,定位故障问题后,调整服务器、设备及客户端配置。
b. 执行display aaa online-fail-record命令,通过显示信息里的Online failure reason字段确认认证失败原因,具体请参见《AAA故障处理》。
(7) 检查授权属性是否下发失败。
a. 通过debugging mac-authentication event命令打开MAC地址认证事件调试开关。如果设备上打印了“Authorization failure.”的调试信息,则表示授权失败。
b. 检查设备的系统视图下是否通过port-security authorization-fail offline命令配置了授权失败用户下线功能。如果未配置授权失败用户下线功能,缺省情况下授权失败用户也可以保持在线,则用户不是因为授权失败而导致认证失败,继续定位其它可能原因。
c. 如果配置了授权失败用户下线功能,执行mac-authentication access-user log enable failed-login命令打开MAC地址认证上线失败日志功能,确认授权失败的属性有哪些(例如授权ACL、VLAN)。
d. 检查RADIUS服务器上的授权属性设置是否正确,确保服务器下发的授权属性内容准确。
e. 通过display acl或display vlan等命令查看设备上对应的授权属性是否存在,如果不存在,需要在设备上创建相应的授权属性,确保用户能够获取到授权的信息。
(8) 检查用户的MAC地址是否被设置为静默MAC。
执行display mac-authentication命令查看“Silent MAC users“字段显示的静默MAC信息。如果用户的MAC地址属于静默MAC,则需要等待静默时间老化后,才能再次进行MAC地址认证。用户可通过mac-authentication timer quiet命令重新配置静默时间。
(9) 检查MAC地址认证用户数是否达到了最大用户数限制。
a. 执行display mac-authentication查看认证接口下的信息,“Max online users”字段为该接口下配置的最大用户数,“Current online users”字段为接口下当前在线用户数,对比两组数据判断MAC地址认证在线用户数是否已经达到最大值。
b. 如果已经达到最大用户数,可以执行mac-authentication max-user命令增大最多允许同时接入的MAC地址认证用户数。
c. 如果MAC地址认证的在线用户数无法再增大,则需要等其他用户下线或切换用户的接入端口。
(10) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
¡ 执行mac-authentication access-user log enable命令收集的日志信息。
¡ 执行debugging mac-authentication all、debugging radius all命令收集的调试信息。
无
· MACA_ENABLE_NOT_EFFECTIVE
· MACA_LOGIN_FAILURE
MAC地址认证用户认证成功在线后,异常掉线。
· 同一MAC地址的用户采用802.1X认证重新上线。
· 设备上MAC地址认证的相关配置发生变化。
· MAC地址认证用户流量实时计费失败。
· MAC地址认证用户重认证失败。
· 服务器强制用户下线。
· 开启下线检测后用户下线。
· 用户会话超时。
本类故障的诊断流程如图图1-2所示。
图1-2 MAC地址认证用户掉线的故障诊断流程图
· Debug开关不能在设备正常运行时随意开启,可在故障发生后复现故障场景时打开。
· 请及时保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。
(1) 检查是否因为802.1x用户上线导致同一MAC地址认证用户下线。
当前端口默认的认证方式顺序为:802.1X认证->MAC地址认证。
如果用户首先通过MAC地址认证,Web认证会立即终止,但802.1X认证仍会继续进行。如果802.1X认证成功,则端口上生成的802.1X认证用户信息会覆盖已存在的MAC地址认证用户信息。
通过display dot1x connection命令查看当前MAC地址是否通过了802.1X认证成功上线。如果已经在线,请判断是否需要通过MAC地址认证重新上线,如果需要,则将相应的802.1X用户下线并关闭接口的802.1X认证功能,然后再尝试进行MAC地址认证。
(2) 检查设备上MAC地址认证的相关配置是否发生变化。
a. 通过display mac-authentication命令查看设备上MAC地址认证的相关配置(使能开关、认证方式等)是否发生变化。
b. 通过display domain命令查看用户认证域下的配置(授权属性等)是否发生变化。
(3) 检查实时计费是否失败。
执行debugging mac-authentication event命令打开MAC地址认证事件调试信息开关。如果系统打印事件调试信息“Real-time accounting failure.”,则表示实时计费失败。检查设备与计费服务器之间的链路状态,以及设备和计费服务器的相关计费配置是否发生过更改。
(4) 检查是否是因为重认证失败而掉线。
a. 执行display mac-authentication命令通过“Periodic reauth”字段查看认证接口下是否开启了MAC地址重认证功能。
b. 通过mac-authentication access-user log enable logoff命令打开MAC地址认证用户下线的日志信息功能。
c. 参考“1.1.1 MAC地址认证失败”故障处理定位重认证失败原因。
(5) 检查是否为RADIUS服务器强制用户下线。
执行debugging mac-authentication event命令打开MAC地址认证事件调试信息开关。如果系统打印事件调试信息“The RADIUS server forcibly logged out the user.”,则表示服务器强制用户下线。请联系服务器管理员定位服务器强制用户下线原因。
(6) 检查是否是因为下线检测定时器间隔内未收到用户报文。
a. 执行display mac-authentication命令查看认证接口下“Offline detection”字段,确认是否开启了MAC地址认证下线检测功能。
b. 执行debugging mac-authentication event命令打开MAC地址认证事件调试信息开关。如果系统打印事件调试信息“Offline detect timer expired.”,则表示下线检测定时器间隔内,未收到此端口下某MAC地址认证在线用户的报文,设备切断了用户连接,导致用户下线。
c. 检查客户端与设备之间的链路状态,排查客户端未发送报文原因。
(7) 检查用户会话是否超时。
a. 执行debugging radius packet命令打开RADIUS报文调试信息开关,确认服务器回应的报文中是否携带Session-Timeout属性。
b. 执行debugging mac-authentication event命令打开MAC地址认证事件调试信息开关。如果系统打印事件调试信息“User session timed out.”,则表示用户会话超时下线。
c. 用户会话超时触发的掉线情况属于正常现象,用户可重新发起上线。
(8) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
¡ 执行display aaa abnormal-offline-record或display aaa normal-offline-record命令显示的下线原因。
¡ 执行mac-authentication access-user log enable命令收集的日志信息。
¡ 执行debugging mac-authentication all、debugging radius all命令收集的调试信息。
无
· MACA_LOGOFF
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
