Хорошо

S5720-52X-SI: постоянная MAC-переаутенфикация из-за ARP-detect Популярное

Последний ответ авг 10, 2021 10:14:06 360 1 9 0 0


Описание проблемы

 

Даже если MAC аутентификация работала как того хотел клиент, устройство все время переаутентифицировалось каждые пару минут, вследствие чего пользователь терял соединение на 1-2 секунды. Команда undo mac-authen reauthenticate не решала проблему.

Вервия ПО: S5720 V200R008C00SPC500, Unified mode

 

План устранение был такой:

1)Попробовать такую конфигурацию на интерфейсе доступа:

interface GigabitEthernet1/0/35

port link-type hybrid

stp edged-port enable

authentication mac-authen

authentication trigger-condition dhcp

stp agreement-legacy

undo mac-authen reauthenticate

2) Попробовать сработку аутентификации с помощью как dhcp, так и arp.

3) Конфигурация периода переаутентификация на наибольшее значение - 7200 секунд.

 

Процесс устранения неисправности 


  1. За исключением тех рекомендаций, что перечислены выше, первое, что мы попросили сделать клиента - это сделать trace MAС, который должен аутентифицироваться и который рождал проблему. Казалось, что причина не касается настройки аутентификации самой по себе.



<HUAWEI> system-view

[HUAWEI] trace enable brief

[HUAWEI] trace object mac-address X-d0b8-7483

 

[BTRACE][2017/09/26 08:48:23][SAM][X-d0b8-7483]:Send user detect fail message.

[BTRACE][2017/09/26 08:48:23][CM][X-d0b8-7483]:State from UP(substate:BUTT) to DELETING(substate:BUTT). (cib=343, event=CONN_DOWN)

[BTRACE][2017/09/26 08:48:23][CM][X-d0b8-7483]:Close user access ability (userid:343).

[BTRACE][2017/09/26 08:48:23][AAA][X-d0b8-7483]:AAA_ACCT_EX send accounting request message to AAA module (userid:343).

[BTRACE][2017/09/26 08:48:23][AAA][X-d0b8-7483]:

 AAA send AAA_SRV_MSG_ACCT_REQ message to AAA module.

[BTRACE][2017/09/26 08:48:23][AAA][X-d0b8-7483]:

    AcctType:Stop AcctMethod:RADIUS AcctSessionID:dsm-acc01033000000201b3c527000343

    ucIfTwoLevelAcct:255 RTAcctInterval:65535 AuthedPlace:3

    RdsGroup:0 TacTempletID:64 CopyRdsGroup:65535

    UpBytes:[0,0] DnBytes:[0,0]

    UpPkts:[0,0] DnPkts:[0,0]

    AcctStartTime:1506406703 UTCAcctStartTime:4294967295 UTCAcctStopTime:4294967295

    AcctStartSeconds:4294967295 AcctStopSeconds:4294967295 SessionLength:1800

    UserName:Xd0b87483 MAC:X-d0b8-7483 Domain:2

    AccessType:mac  AuthenCode:Invalid

    IP:255.255.255.255 Priority:[255,255]

    Slot:1 SubSlot:0 Port:33 Interface:89

[BTRACE][2017/09/26 08:48:23][AAA][X-d0b8-7483]:

 AAA send AAA_SRV_MSG_ACCT_REQ message to AAA module.

[BTRACE][2017/09/26 08:48:23][AAA][X-d0b8-7483]:

    AcctType:Stop AcctMethod:RADIUS AcctSessionID:dsm-acc01033000000201b3c527000343

    ucIfTwoLevelAcct:255 RTAcctInterval:65535 AuthedPlace:3

    RdsGroup:0 TacTempletID:64 CopyRdsGroup:65535

    UpBytes:[0,0] DnBytes:[0,0]

    UpPkts:[0,0] DnPkts:[0,0]

    AcctStartTime:1506406703 UTCAcctStartTime:4294967295 UTCAcctStopTime:4294967295

    AcctStartSeconds:4294967295 AcctStopSeconds:4294967295 SessionLength:1800

    UserName:Xd0b87483 MAC:X-d0b8-7483 Domain:2

    AccessType:mac  AuthenCode:Invalid

    IP:255.255.255.255 Priority:[255,255]

    Slot:1 SubSlot:0 Port:33 Interface:89

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:

 AAA send AAA_RD_MSG_ACCTSTOPREQ message to RADIUS module.

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:

    CID:169  TemplateNo:0

    SrcMsg:AAA_RD_MSG_ACCTSTOPREQ

    PriyServer:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF Vrf:4294967295

    SendServer:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF Vrf:4294967295

    CID:343 AcctType:2 UserName:Xd0b87483

    AcctSessionID:dsm-acc01033000000201b3c527000343

    Interface:89 SessionLength:1800 TerminateCause:2 Authentic:1

    UpBytes:[0,0] DnBytes:[0,0]

    UpPkts:0 DnPkts:0 FramedIP:4294967295

    NASPortType:15 Phy:1/0/33 Vlan:201

    Priority:255/255 Timestamp:1506408504 FramedProtocol:1

    Domain:desom IPHostAddr:255.255.255.255 X:d0:b8:74:83

    UpCIR:0 UpPIR:0 DnCIR:0 DnPIR:0

[BTRACE][2017/09/26 08:48:24][RADIUS][X-d0b8-7483]:Receive stop accounting request message from AAA module.

[BTRACE][2017/09/26 08:48:24][RADIUS][X-d0b8-7483]:

  Send a accounting request packet to radius server( server ip = 172.24.32.220).

[BTRACE][2017/09/26 08:48:24][RADIUS][X-d0b8-7483]:

  Server Template: 0

  Server IP   : 172.24.32.220

  Protocol: Standard

  Code    : 4

  Len     : 305

  ID      : 82

  [User-Name                          ] [14] [Xd0b87483]

  [NAS-IP-Address                     ] [6 ] [172.24.64.4]

  [NAS-Port                           ] [6 ] [16912585]

  [NAS-Identifier                     ] [15] [dsm-access-02]

  [Acct-Status-Type                   ] [6 ] [2]

  [Acct-Delay-Time                    ] [6 ] [0]

  [Acct-Input-Octets                  ] [6 ] [0]

  [Acct-Output-Octets                 ] [6 ] [0]

  [Acct-Session-Id                    ] [35] [dsm-acc01033000000201b3c527000343]

  [Acct-Authentic                     ] [6 ] [1]

  [Acct-Session-Time                  ] [6 ] [1800]

  [Acct-Input-Packets                 ] [6 ] [0]

  [Acct-Output-Packets                ] [6 ] [0]

  [Acct-Terminate-Cause               ] [6 ] [2]

  [Acct-Input-Gigawords               ] [6 ] [0]

  [Acct-Output-Gigawords              ] [6 ] [0]

[BTRACE][2017/09/26 08:48:24][RADIUS][X-d0b8-7483]:

  [Event-Timestamp                    ] [6 ] [1506408504]

  [NAS-Port-Type                      ] [6 ] [15]

  [Calling-Station-Id                 ] [16] [31 34 35 38 2D 64 30 62 38 2D 37 34 38 33 ]

  [NAS-Port-Id                        ] [37] [slot=1;subslot=0;port=33;vlanid=201]

  [Called-Station-Id                  ] [19] [04:F9:38:F3:F6:BE]

  [Framed-Protocol                    ] [6 ] [1]

  [HW-IP-Host-Address                 ] [35] [255.255.255.255 14:58:d0:b8:74:83]

  [HW-Connect-ID                      ] [6 ] [343]

  [HW-Access-Type                     ] [6 ] [2]

[BTRACE][2017/09/26 08:48:24][RADIUS][X-d0b8-7483]:

 Received a accounting response packet from radius server(server ip = 172.24.32.220).

[BTRACE][2017/09/26 08:48:24][RADIUS][X-d0b8-7483]:

  Server Template: 0

  Server IP   : 172.24.32.220

  Server Port : 1813

  Protocol: Standard

  Code    : 5

  Len     : 20

  ID      : 82

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:

 AAA receive AAA_RD_MSG_ACCTSTOP_ACK message from RADIUS module.

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:

    CID:169  TemplateNo:0

    SrcMsg:AAA_RD_MSG_ACCTSTOPREQ

    PriyServer::: Vrf:0

    SendServer::: Vrf:0

    SessionTimeout:0 RemanentVolume:0

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:

 AAA send AAA_SRV_MSG_ACCT_ACK message to AAA module.

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:

    Result:0 AcctType:2

    IfSessionTimeout:0 SessionTimeout:0

    IfRemanentVolume:0 RemanentVolume:0

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:

 AAA send AAA_SRV_MSG_ACCT_ACK message to AAA module.

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:

    Result:0 AcctType:2

    IfSessionTimeout:0 SessionTimeout:0

    IfRemanentVolume:0 RemanentVolume:0

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:AAA_ACCT_EX send cut command ack message to UCM module (userid:343).

[BTRACE][2017/09/26 08:48:24][AAA][X-d0b8-7483]:User make accounting request success (userid:343).

[BTRACE][2017/09/26 08:48:24][CM][X-d0b8-7483]:CM receive Message from AAA module (msg code: 192 userid:343).

[BTRACE][2017/09/26 08:48:24][TM][X-d0b8-7483]:

  [TM DBG]usSrcNode = 9, usDstNode = 9.

  [TM DBG] Rev CM_SET(MsgCode=197) from UCM. Slot:9 SourceIndex:343

  Command:DEL_CIB Slot:1 LocalCid:367

[BTRACE][2017/09/26 08:48:24][TM][X-d0b8-7483]:

  [TM DBG]usSrcNode = 9, usDstNode = 1.

  [TM DBG] Send DEL_CIB to  SAM. Slot:1 SequenceId:626 Num:1 StartIndex:-1

[BTRACE][2017/09/26 08:48:24][TM][X-d0b8-7483]:

  The detailed CIB information of TM send to SAM: 

 

  GlobalCid:343 LocalCid:367 

  Slot:1 Port:33 IfIndex:89 Vlan:0xc9 QinQVlan:0 

  IpType(1):IPv4

  Gateway:255.255.255.255 

  Mac:X-d0b8-7483 

[BTRACE][2017/09/26 08:48:24][TM][X-d0b8-7483]:

  SrvAccessType:Other(21) BindType:255 EncapType:4

 

[BTRACE][2017/09/26 08:48:24][TM][X-d0b8-7483]:

  SrvAccessType:Other(21) BindType:255 EncapType:4

 

[BTRACE][2017/09/26 08:48:24][TM][X-d0b8-7483]:Send setting CIB message To SAM

[BTRACE][2017/09/26 08:48:24][SAM][X-d0b8-7483]:

 Table cmd :del cib, table type :2.

 Main board slot cid :367    GlobalCID :343

 Bind :255  Encape:4    AccessType :21

 Slot :1    Port  :33   IfIndex:0x59 

 VPI  :0    VCI   :0    VLAN   :0xc9

 DynamicVlan :201  DefultVlan :201  IsPortBased :0    AclNum:0   

 UserMAC:X-d0b8-7483 IPAddr:0xffffffff/32 IpV6: ulInstanceID: 3

[BTRACE][2017/09/26 08:48:24][SAM][X-d0b8-7483]:SAM send ack message to TM module.

[BTRACE][2017/09/26 08:48:24][TM][X-d0b8-7483]:TM send ack message to CM module, result: Delete CIB OK

[BTRACE][2017/09/26 08:48:24][CM][X-d0b8-7483]:CM receive SRV_MSG_CIB_SET_ACK from TM module (msg code: 198 userid:343).

[BTRACE][2017/09/26 08:48:24][CM][X-d0b8-7483]:CM receive SRV_MSG_CUT_CMD_ACK from EAPOL module (msg code: 192 userid:343).

[BTRACE][2017/09/26 08:48:24][CM][X-d0b8-7483]:User connection down (userid:343).

 

2) На основе этого trace, мы попросили показать вывод этой команд:

 

<HUAWEI> display aaa statistics offline-reason

[demucsw0100]dis aaa statistics offline-reason

19 user request to offline :1

29 ARP detect fail :701

90 Idle cut :1

145 console reset or disable port :1

 

Из этого вывода стало понятно, что имело место 701 неудачных ARP detect попыток.

 

Причина неисправности

 

Устройство отправляло ARP probe пакет, чтобы проверить on-line статус пользователя. Если пользователь не отвечал на запрос в течение установленного периода времени, то устройство считало пользователя отключившимся. Если VLAN, которому принадлежил пользователь не имел VLANIF интерфейс или VLANIF интерфейс не имел IP-адрес, то устройство посылало offline detection пакет, используя 255.255.255.255 в качестве адреса отправителя. В данном случае пользователь не отвечал на запрос и считался отключившимся.

 

Решение

Если пользователь не может ответить на ARP probe пакет с адрес отправителя 255.255.255.255, то можно запустить команду access-user arp-detect default ip-address, чтобы прописать адрес отправления по умолчанию для offline detection packet.

 

После применения указанной команды, проблема была решена:

 

access-user arp-detect default ip-address 0.0.0.0

access-user arp-detect vlan 171 ip-address XXXXX mac-address XXXXX 

  • x

2559godji
Опубликовано 2021-8-10 10:14:06
Спасибо за подробный вывод и решение
Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.