De acuerdo

La autenticación de usuario falla después de que un firewall Huawei reemplazo un dispositivo Juniper.

132 0 0 0 0

Hola a todos. En esta ocasión les compartiré un caso en el que la autenticación de usuario falla después de que se sustituyera un firewall Juniper por un firewall de Huawei. Pasemos a la información para conocer más sobre el tema.

 

Síntoma

Después de que un firewall de Huawei reemplazo un dispositivo Juniper, la autenticación de usuario falla, y la Conectividad con el servidor RADIUS falla.

 

Posibles causas

1. La configuración del servidor RADIUS, especialmente la clave compartida, es incorrecta.

2. La red intermedia o el servidor descartan los paquetes.

3. El mecanismo de procesamiento del servidor RADIUS tiene alguna falla..

4. Otras causas.

 

Procedimiento de solución de problemas

1. Revise la configuración del servidor de RADIUS en el dispositivo Juniper y confirme la clave compartida. Se ha encontrado que la única diferencia entre las configuraciones de dispositivos Huawei y Juniper reside en el NAS-ID. El firewall de Huawei utiliza el sysname como NAS-ID. Después de cambiar sysname, el error persiste.

 

2. Ejecute el comando debugging radius all en el dispositivo Huawei y compruebe la información de debugging correspondiente. La información de debugging muestra que se agota el tiempo de espera de la detección. El retardo de la prueba de ping es normal. Por lo tanto, se sospecha que los paquetes se descartan en el link intermedio o el servidor.


b1


3. Capture paquetes en el dispositivo Huawei. El resultado de la captura de paquetes muestra que el intervalo entre el tiempo cuando se envía el mensaje de autenticación y el momento en que el servidor responde es grande y hasta 31 segundos. Entonces la posibilidad de la pérdida de paquetes en el link y el servidor se puede excluir. El mecanismo de implementación de V5 es el mismo que el de V1, y ambos detectan la conectividad. Por lo tanto, la clave del problema es por qué el retardo de respuesta del servidor es muy grande.


b2


4. La mejor manera es marcar la causa del error de autenticación en el servidor de RADIUS. Sin embargo, el cliente no puede proporcionar los registros del servidor por algunas razones, y los paquetes no se pueden capturar en el servidor de RADIUS.

Después de la comunicación con el cliente, se encuentra que un servidor de Cisco ACS sirve (versión del servidor ACS no disponible) como el servidor de RADIUS. Se sospecha que la interconexión entre el servidor ACS y el dispositivo Huawei es defectuosa. El departamento de pruebas está dispuesto a reproducir el problema. Porque la versión ACS en la red viva es desconocida, solamente la versión existente en el laboratorio y la última versión se pueden utilizar para la prueba. El resultado de la prueba muestra que la interconexión se realiza correctamente.


5. Obtenga los paquetes de autenticación RADIUS para el dispositivo Juniper y el dispositivo Huawei para interconectarse con el servidor ACS y comparar los paquetes. Se encuentra que la solicitud de autenticación del dispositivo Huawei tiene varios campos de atributos más que los del dispositivo Juniper.

Atributos RADIUS llevados por la petición de autenticación del dispositivo Huawei:


b3


Atributos RADIUS llevados por la petición de autenticación del dispositivo Juniper:


b5


6. De acuerdo con las discusiones con el personal de soporte técnico de Huawei, modifique los atributos del servidor RADIUS quitando los no incluidos en el dispositivo Juniper (con el comando radius-attribute disable). Después de eso, la autenticación se realiza correctamente.

Inhabilite el atributo Frame-Route en los paquetes enviados.


b6


Sugerencia y resumen

El servidor ACS tiene un mecanismo para verificar los atributos en las peticiones de autenticación RADIUS. Cuando el servidor ACS ajusta los atributos RADIUS para la autenticación pero el dispositivo Huawei todavía utiliza los atributos predeterminados en la petición de autenticación para la autenticación, el servidor ACS tarda mucho tiempo en procesar los atributos. Como resultado, la autenticación falla debido al tiempo de espera.

 

En caso de reemplazo del dispositivo, si la Conectividad del servidor RADIUS se puede detectar antes del reemplazo pero no se puede detectar después del reemplazo, capture los paquetes en los dispositivos para la localización de fallas después de comprobar que las configuraciones correspondientes son correctas.

 

Saludos.

 

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

 


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.