!guide_close_btn!

【交换机在江湖 维护无忧系列】接入认证故障专题(上)故障诊断思路&故障处理

[复制链接]
发表于 : 2016-9-14 14:32:56 最新回复:2019-08-14 13:18:34
12012 15
交换机在江湖 官方号

1 故障诊断思路

用户上线过程包括认证和接入两部分,认证技术使用最多的为RADIUS协议、接入技术包括802.1xPortalMAC等。认证技术和不同的局域网接入技术结合,可以实现对接入用户的认证授权,从而实现对局域网接入用户的访问权限控制。

加之交换机作为接入设备时使用域对用户进行管理,用户接入时,首先判断用户使用的域,根据用户使用的域判断用户的认证、计费和授权信息(即AAA配置),最后接入设备根据认证和授权的结果修改用户的网络访问权限。

出现用户认证故障时,首先确认用户使用的接入类型。直观上看,802.1x认证需要需要用户在802.1x客户端上输入用户名和密码;Portal认证需要用户在浏览器中访问网址才能出发;MAC认证用户不需要任何操作。

确认除用户使用的接入类型后,根据如下思路排查:

1.???????? 认证域的配置是否正确

2.???????? AAA配置是否正确

3.???????? 接入相关的配置是否正确

20160914143201012001.jpg

l? 无线场景中,处理用户上线故障之前,首先要排除AP上线失败和终端关联失败的故障。

l? 无线场景中,802.1x用户认证成功后(接入设备已向客户端发送EAP Success报文),但用户仍无法上线时,需要排查密钥协商故障。


2 802.1x用户认证故障处理

引起802.1x用户认证故障的原因通常是由认证域、AAA802.1x接入配置三大部分配置问题导致。常见的802.1x认证故障的现象、原因及解决措施如2-1所示。

表2-1 802.1x认证故障的现象、原因及解决措施

故障现象

原因

解决措施

执行test-aaa命令测试失败(仅限于使用RADIUS认证

用户名和密码错误

详见2.2.1 使用服务器认证时,检查配置是否正确中的“执行test-aaa命令测试”

交换机与RADIUS服务器之间业务不通

用户认证失败、服务器收不到认证报文

交换机上没有开启802.1x认证功能

详见2.3 检查802.1x接入配置是否正确中的步骤1、步骤3、步骤4和步骤5

汇聚层认证场景中接入层交换机未透传802.1x认证报文

无线场景中安全模板的安全策略(加密方式)配置错误

802.1x客户端配置错误

交换机上配置的认证域不正确

详见2.1 检查认证域的配置是否正确中的“用户使用的认证域不正确”

用户认证失败、服务器能收到认证报文

交换机或服务器上的授权信息配置错误

详见2.2.1 使用服务器认证时,检查配置是否正确中的“检查授权相关的配置是否正确”

交换机上的802.1x认证协议配置错误

详见2.3 检查802.1x接入配置是否正确中的步骤1

交换机向RADIUS服务器发送的报文中的用户名格式与RADIUS服务器上配置的不一致

详见2.1 检查认证域的配置是否正确中的“交换机向RADIUS服务器发送的报文中的用户名格式与RADIUS服务器上配置的不一致”

2.1? 检查认证域的配置是否正确

2.2? 检查AAA配置是否正确

2.3? 检查802.1x接入配置是否正确

2.1 检查认证域的配置是否正确

简介

一个域是由属于同一个域的用户构成的群体。接入设备基于域对用户的认证、计费、授权方案进行管理,每个接入用户都属于一个域。

管理员希望用户使用哪个域时,接入设备上预先配置的认证、授权、计费方案就要绑定到该域下。

确认用户使用的域,需要根据域的生效优先级来决定。

对于V200R009C00及之后版本:

强制域、默认域和用户自带域的优先级由高到低依次是:认证模板下指定认证方式的强制域>认证模板下的强制域>用户自带认证域>认证模板下指定认证方式的默认域>认证模板下的默认域>全局默认域。

对于V200R009C00之前的版本:

强制域、默认域和用户自带域的优先级由高到低依次是:接口下指定认证方式的强制域>接口下的强制域>全局强制域>用户自带认证域>接口下指定认证方式的默认域>接口下的默认域>全局默认域。

常见问题

l?? 用户使用的域不正确,导致认证失败。如:默认域设置错误、域优先级不了解导致用户没有在期望的的域内认证

l?? 交换机向RADIUS服务器发送的报文中的用户名格式与RADIUS服务器上配置的不一致,一方用户名包含域名、另一方不包含

检查配置

l?? 用户使用的域不正确

对于V200R009C00及之后版本

要确认用户使用哪个域进行认证,需要检查认证模板下、全局下和用户自身携带的域。然后根据域的优先级确认用户使用的域。

命令行检查认证模板下域的配置:

[HUAWEI-authen-profile-p1] display this??
#??
authentication-profile name p1??
?mac-access-profile m1??
?access-domain huawei2 mac-authen force??
?access-domain huawei?
?access-domain huawei1 force??
#?
return

上例中:认证模板p1下配置默认域huawei、强制域huawei1和指定MAC认证类型的强制域huawei2。对于MAC认证用户来说,域huawei2优先级最高。

在认证模板视图下,执行命令access-domain domain-name [ dot1x | mac-authen | portal ] * [ force ],可以修改认证模板下配置的默认域或强制域。

在全局视图下,执行命令domain domain-name ,可以修改全局默认域的。

对于V200R009C00之前的版本:

要确认用户使用哪个域进行认证,需要检查接口下、全局下和用户自身携带的域。然后根据域的优先级确认用户使用的域。

命令行检查认证接口下域的配置:

[HUAWEI-GigabitEthernet1/0/1] display this?
#??
interface GigabitEthernet1/0/1???
?domain name huawei1 force?
?domain name huawei?
?domain name huawei2 mac-authen force??
?authentication mac-authen???
#??
return

上例中:认证接口GE1/0/1下配置默认域huawei、强制域huawei1和指定MAC认证类型的强制域huawei2。对于MAC认证用户来说,域huawei2优先级最高。

在接口视图下执行命令domain name domain-name [ dot1x | mac-authen | portal ] ?[ force ],可以修改接口下配置的默认域或强制域。

在全局视图下,执行命令domain domain-name force,可以修改全局下配置的默认域或强制域。

l?? 交换机向RADIUS服务器发送的报文中的用户名格式与RADIUS服务器上配置的不一致

如果RADIUS服务器上配置的用户名包含域名,要求交换机发送的报文中用户名也要包办域名;反之亦然。

命令行查看交换机向RADIUS服务器发送的报文中用户名的格式:

<HUAWEI> display radius-server configuration template shiva
? ---------------------------------------------------------------
? Server-template-name????????? :? shiva
? Protocol-version????????????? :? standard
? Traffic-unit????????????????? :? B
? Shared-secret-key???????????? :? %#%#fhJH$w{-{6lGe%%#%#
? Timeout-interval(in second)?? :? 5
? Retransmission??????????????? :? 2
? EndPacketSendTime???????????? :? 0
? Dead time(in minute)????????? :? 5
? Domain-included?????????????? :? YES
? NAS-IP-Address??????????????? :? 0.0.0.0
?……

Domain-included 表示报文中的用户名是否包含域名:

YES:表示用户名包含域名;

NO:表示用户名不包含域名;

Original:用户原始输入的用户名,设备不对其进行修改。

RADIUS模板视图下,执行命令radius-server user-name命令带调整交换机向RADIUS服务器发送的报文中用户名的格式。

AAA视图下,执行命令domain-name-delimiter可以修改域分隔符,默认为@

2.2 检查AAA配置是否正确

2.2.1 使用服务器认证时,检查配置是否正确

下文介绍的是使用RADIUS服务器认证时主要检查的三个方面:执行test-aaa命令测试检查授权相关的配置是否正确检查计费相关的配置是否正确

使用HWTACACS服务器认证时,不支持通过test-aaa命令测试。除此之外,与RADIUS服务器认证的主要差异点是HWTACAS认证和授权是分开的,交换机必须分别配置认证方案和授权方案,否则会导致认证通过后不能走授权流程。

执行test-aaa命令测试

test-aaa命令用来测试RADIUS服务器的业务可达性。其实现机制是交换机向RADIUS服务器发送认证请求报文,若服务器回应认证成功报文,则表明交换机和RADIUS服务器之间业务是通的;若服务器不回应或回应认证拒绝报文,则表明交换机和RADIUS服务器之间业务不通。

现象描述:

执行test-aaa命令常见的故障提示信息包括:

l?? 提示超时,表明交换机和RADIUS服务器之间业务不通。

命令提示为:

[HUAWEI] test-aaa test test@123 radius-template policy
Error: Account test time out.

l?? 提示用户名或密码错误,表明RADIUS服务器对用户名密码校验失败而回应认证拒绝报文。

命令提示为:

[HUAWEI] test-aaa test test@123 radius-template policy
Error: User name or password is wrong.

提示超时的处理步骤:

1.???????? 交换机是否可以pingRADIUS服务器。

2.???????? RADIUS服务器进程是否已正常启动。

使用Controller作为RADIUS服务器时,通过以下步骤检查RADIUS服务器进行是否正常启动:

选择“开始 > 所有程序 > Huawei > Agile Controller > Server Startup Config”,查看RadiusServer组件和AuthServer组件是否处在“运行”状态,如果不是,手动点击“启动”。

20160914143206268002.png

3.???????? 查看RADIUS服务器模板下的配置是否与RADIUS服务器一致。主要排查以下几个方面,排查步骤如下:

??????????? 交换机的IP地址是否在RADIUS服务器上正确添加,否则服务器不识别交换机。

默认交换机发往服务器的RADIUS报文源IP地址是交换机连服务器接口上的IP地址,也可以通过radius-server authentication命令中的source ip-address关键字指定源IP地址。

[HUAWEI-radius-policy] radius-server authentication 172.16.1.1 1812 source ip-address 10.8.8.7

??????????? RADIUS服务器的认证侦听端口号是否与交换机上配的一致。

通常RADIUS服务器认证端口号是1812,计费端口号是1813

使用ControllerRADIUS服务器时,在服务器上运行netstat -nao | findstr 1812netstat -nao | findstr 1813命令,查看该端口是否被其他服务占用。

??????????? 交换机与RADIUS服务器的share-key(共享密钥)是否一致。

因为交换机与RADIUS服务器上共享密钥均是密文显示,不方便比较两者是否相同,可以通过重新配置的方式确保二者一致。

在交换机上配置RADIUS服务器模板:

[HUAWEI] radius-server template policy?
[HUAWEI-radius-policy] radius-server authentication 172.16.1.1 1812??? //
配置认证服务器的IP地址和端口号
[HUAWEI-radius-policy] radius-server accounting 172.16.1.1 1813?? //
配置计费服务器的IP地址和端口号
[HUAWEI-radius-policy] radius-server shared-key cipher Admin@123? //
配置共享密钥

4.???????? 在存在RADIUS中继的场景中,RADIUS中继设备上配置的共享密钥必须同交换机和RADIUS服务器上的保持一致。

提示用户名或密码错误的处理步骤:

1.???????? 确认test-aaa时使用的用户名和密码是否在已在RADIUS服务器上添加;

2.???????? 确认test-aaa时设备发往RADIUS服务器发的认证请求报文中携带用户名是否与服务器上配置一致;

补充说明:

20160914143201012001.jpg

l? 通过radius-server user-name命令带调整交换机向RADIUS服务器发送的报文中用户名的格式:

radius-server user-name domain-included:用户命中包含域名

radius-server user-name original:用户名为输入的原始名称,设备不对其进行修改

undo radius-server user-name domain-included:用户名中不包含域名

默认为格式为original

l? 通过domain-name-delimiter命令可以修改域分隔符,默认为@

3.???????? 部分RADIUS服务器会检查test-aaa命令所发的RADIUS认证请求报文。test-aaa命令所发的认证请求报文中不带MAC地址等信息,导致部分RADIUS服务器检查失败而回应reject,此种情况虽然test-aaa不成功,但不影响正常用户认证。

检查授权相关的配置是否正确

现象描述:

l?? 授权的VLAN不生效或客户端没有从新的VLAN内获取IP地址。

l?? 授权的ACL不生效。

l?? 授权的UCL组不生效。

可能原因:

l?? 使用服务器授权时:

??????????? 交换机上配置的授权信息与服务器上不一致时,导致授权失败。

??????????? 检查服务器授权属性是否正常携带。

l?? 使用本地授权时:本地授权信息配置错误。

处理步骤:

1.???????? 查看授权是否成功

授权信息会在用户表项中显示,因此可以通过查看用户表项(display access-user user-id/mac-address/ip-address命令)判断授权是否成功。

2.???????? 使用HWTACAS服务器授权时,检查是否配置了授权方案

??????????? 检查授权方案是否绑定到了认证域下

[HUAWEI-aaa-domain-a] display this???????????????????????????
#??????????????????????????? ?????????????????????????????????
?domain a????????????????????????????????????????????????????
? authentication-scheme s1???????????????????????????????
? authorization-scheme s1?????????????????????????????????
? hwtacacs-server t1?
#

??????????? 检查授权方式是否配置正确

[HUAWEI-aaa-author-s1] display this????????????????????
#??????????????????????????????????????????????????????
?authorization-scheme s1??????????????????????????????????????
? authorization-mode hwtacacs?????????????????????????????????
#?????????????? ???????????????????????????????????????????????
return

3.???????? 使用服务器授权时:

a.???????? 检查交换机上配置的授权信息与服务器上配置的授权是否一致

服务器授权时,要求服务器授权的ACLACL编号方式或描述信息)、VLAN等参数,交换机上必须有相应的配置。

如果交换机上没有配置授权信息对应的ACLVLAN等,则交换机检查授权信息时会检查失败。缺省情况下,交换机检查授权信息失败后,允许用户上线。此时,服务器下发的授权不生效。

20160914143201012001.jpg

通过命令authorization-info check-fail policy { online | offline },可以配置交换机检查授权信息失败后是否允许用户上线。

b.???????? 检查服务器授权属性是否正常携带

在服务器侧抓包检查授权属性是否正常携带。

n?? 服务器授权VLAN时需要携带的属性:

20160914143201012001.jpg

l? 服务器授权VLAN时,需要携带3个标准属性(646581)。

l? 服务器授权语音VLAN时,除了下发三个标准属性外,还要通过26-33号华为私有属性下发语音VLAN标记。

64

Tunnel-Type

取值为13,表示VLAN协议。

65

Tunnel-Medium-Type

固定为6,表示以太类型。

81

Tunnel-Private-Group-ID

对应VLAN ID

26-33

HW-Voice-Vlan

语音VLAN授权标记,数值为1表示授权的VLANVOICE VLAN。与VLAN授权属性配合使用。

n?? 服务器授权ACL时需要携带的属性:

20160914143201012001.jpg

l? 服务器授权ACL时,可以通过标准属性(11)或华为私有属性(26-82)。具体要看服务器支持通过哪种属性携带ACL授权信息。

l? 通过标准属性(11)授权ACL时,只能携带30003999(有线用户)或30003031(无效用户)范围内的ACL ID

l? 采用直接转发方式时,无线用户不支持通过华为私有属性(26-82)授权ACL

属性编号

属性名称

属性说明

11

Filter-Id

用户组名称或者用户的ACLAccess Control List IDRADIUS报文中只能携带ACL ID或用户组名中的一种,不能同时携带。

26-82

HW-Data-Filter

用户上线时由RADIUS通过该属性下发的ACL规则。

4.???????? 使用本地授权时,检查本地授权信息是否配置正确

如下为VLANACL授权的配置方法:

??????????? 认证成功授权VLAN

统一模式:通过在业务方案下绑定user-vlan,在域下绑定业务方案实现本地授权VLAN

传统模式:通过在用户组下绑定user-vlan,在域下绑定用户组实现本地授权VLAN

??????????? 认证成功前授权ACL

统一模式:通过在业务方案下绑定acl-iducl-group,在域下绑定业务方案实现本地授权ACL

传统模式:通过在用户组下绑定acl-id,在域下绑定用户组实现本地授权ACL

20160914143208199003.jpg

首先通过命令user-group group_name ?enable,全局使能用户组功能。

??????????? 认证前域授权VLAN

传统模式:通过guest-vlan/ critical-vlan/ restrict-vlan等功能进行不同场景进行授权VLAN

统一模式:通过authentication event命令进行不同场景认证前域授权。

??????????? 认证前域授权ACL

统一模式下通过authentication event命令进行不同场景认证前域授权。

5.???????? 采集如下信息并联系技术支持工程师

??????????? 问题现象

??????????? 设备的形态、版本、补丁、组网和配置信息

??????????? 服务器侧的抓包信息

??????????? 采集设备上的tracedebug信息,具体请参见附录中的7.1 接入认证类问题定位信息采集方法

知识拓展:

l?? Portal认证或包含Portal认证的混合认证用户不支持授权VLAN

l?? VLAN授权功能生效,对接口的链路类型和用户接入模式有如下要求:

??????????? 接口链路类型是TaggedHybrid类型时,不支持VLAN授权。

??????????? 接口链路类型是UntaggedHybrid类型时,用户接入模式可以任意配置(通过命令authentication mode配置)。

??????????? 接口链路类型是AccessTrunk类型时,用户接入模式只能配置为multi-share

l?? 终端如果通过DHCP方式获取IP地址,VLAN授权成功后或更改授权VLAN后,需要手动触发DHCP重新申请IP地址。

l?? 授权的ACL deny掉了服务器的IP地址,造成后续计费不成功,由于交换机默认在开始计费不成功时将用户下线,最终导致用户下线。

l?? 交换机上某些单板不支持UCL组授权,具体可查询规格列表。

检查计费相关的配置是否正确

很多RADIUS服务器自带的计费业务并非真实意义上的计费(例如Agile Controller服务器),配置计费的目的在于通过RADIUS服务器与接入控制设备交互的计费报文获取终端用户的上线时间和下线时间,在需要时通过发送计费报文强制终端用户下线,最终目的是实现通过RADIUS计费来实现RADIUS在线用户管理功能,控制终端用户的在线时长。

常见问题:

l?? 计费基本配置错误。

l?? 交换机与服务器配置的实时计费周期不一致,导致终端用户有规律的掉线。

处理步骤:

l?? 检查计费基本配置是否正确

??????????? 检查计费模板是否已经绑定在认证域下

[HUAWEI-aaa-domain-a] display this???????????????????????????
#????????????????????????????????????????????????????????????
?domain a????????????????????????????????????????????????????
? authentication-scheme radius???????????????????????????????
? accounting-scheme account1?????????????????????????????????
? radius-server default?
#

??????????? 检查计费方式是否配置正确

[HUAWEI-aaa-accounting-account1] display this?????????????????
#?????????????????????????????????????????????????????????????
?accounting-scheme account1???????????????????????????????????
? accounting-mode radius?????????????????????????? ????????????
#?????????????????????????????????????????????????????????????
return

20160914143201012001.jpg

accounting-mode radius//认证方式为radius,对应的计费方式也要为radius

accounting-mode hwtacacs//认证方式为hwtacacs,对应的计费方式也要为hwtacacs

??????????? 检查计费模板是否创建

<HUAWEI> display accounting-scheme
? -----------------------------------------------------------
? Accounting-scheme-name????????????? Accounting-method
? -----------------------------------------------------------
? default???????????????????????????? None
? radius-1??????????????????????????? RADIUS
? tacas-1???????????????????????????? HWTACACS
? -----------------------------------------------------------
? Total of accounting-scheme: 3

l?? 检查交换机与服务器配置的实时计费周期是否一致

服务器与交换机需要定期来核对两边的在线用户列表。如果不配置计费周期,或者两边配置的计费周期不一致,可能会导致计费周期长的一方来核对在线用户列表时,计费周期短的一方已经把在线用户踢下线了。如此一来会导致终端用户有规律的掉线。

计费周期的取值对设备和RADIUS服务器的性能有要求,取值越小对设备和RADIUS服务器的性能就越高。请根据用户数设置计费周期:

用户数

计费周期

199

3min

100499

6min

500999

12min

1000

15min

??????????? 在交换机上查看实时计费周期:

[HUAWEI-aaa-accounting-account1] display this????????????????
#????????????????????????????????????????????????????????????
?accounting-scheme account1??????????????????????????????????
? accounting-mode radius?????????????????? ???????????????????
? accounting realtime 15
#????????????????????????????????????????????????????????????
return

在计费方案视图下,执行命令accounting realtime,可以修改计费周期。

??????????? 在服务器上查看实时计费周期。

Controller为例:选择“资源 > 设备 > 设备管理”。

20160914143210025004.png

2.2.2 使用本地认证方式时,检查配置是否正确

常见问题

l?? 本地用户接入类型配置错误

l?? 本地用户级别配置错误

本地用户接入类型配置错误

处理步骤:

1.???????? 本地用户接入类型配置错误

执行如下命令检查本地用户接入类型是否配置正确:

<HUAWEI> display local-user
? ---------------------------------------------------------------
? User-name????????????????????? State? AuthMask? AdminLevel
? ---------------------------------------------------------------
? user-a???????????????????????? A????? -???????? 0
? user-c???????????????????????? A????? W???????? 0
? ---------------------------------------------------------------
? Total 2 user(s)

其中,AuthMask表示本地用户的接入类型:

??????????? 802.1x认证用户的接入类型对应显示为X

??????????? Portal认证用户的接入类型显示为W

2.???????? AAA视图下执行命令local-user user-name service-type { 8021x | web }可以修改本地用户的接入类型。其中:

??????????? 8021x表示802.1x用户接入;

??????????? web表示Portal用户接入。

20160914143201012001.jpg

MAC认证用户采用AAA本地认证时,不会匹配和检查本地用户的接入类型。

本地用户级别配置错误

为了限制不同用户对设备的访问权限,系统对用户也进行了分级管理。用户的级别与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令。缺省情况下,命令级别按03级进行注册,用户级别按015级进行注册,用户级别和命令级别对应关系如下表所示:

命令级别

说明

用户级别

参观级(0级)

网络诊断命令、访问外部设备的命令

015

监控级(1级)

系统维护命令

115

配置级(2级)

业务配置命令

215

管理级(3级)

系统基本运行命令、系统支撑模块命令

315

现象描述:

l?? 本地用户或管理员用户登录到设备后,无法操作设备、不能执行命令。

l?? 设备升级后,本地用户登录到设备后,无法操作设备、不能执行命令。

可能原因:

默认用户级别为0,没有修改用户级别。

处理步骤:

1.???????? 执行如下命令检查用户级别是否配置正确:

<HUAWEI> display local-user
? ---------------------------------------------------------------
? User-name????????????????????? State? AuthMask? AdminLevel
? ---------------------------------------------------------------
? user-a???????????????????????? A????? -???????? 0
? user-c???????????????????????? A????? W???????? 0
? ---------------------------------------------------------------
? Total 2 user(s)

其中,AdminLevel表示用户级别。

2.???????? 采用以下三种方式可以修改本地用户级别,优先级由上到下依次降低:

a.???????? 使用local-user privilege level命令配置的本地用户级别。

b.???????? 使用admin-user privilege level命令在域下配置的管理员用户级别。

c.???????? 使用user privilege命令在VTY模式下配置的用户级别。

20160914143212100005.jpg

l? 使用远端RADIUS服务器认证时,可以通过华为29号私有属性HW-Exec-Privilege下发用户级别。

l? 使用远端RADIUS服务器+本地认证是,本地用户级别只在远端认证服务器没有响应时启用。如果配置了本地用户级别,远端服务器认证响应通过后但是没有下发用户级别,此时本地用户的级别不会生效。

2.3 检查802.1x接入配置是否正确

常见问题

l?? 交换机上802.1x认证的相关配置错误,包括:

??????????? 认证接口没有开启802.1x认证功能

??????????? 802.1x认证方式配置错误

??????????? 802.1x认证功能与其他配置冲突

l?? RADIUS服务器上配置的授权信息与交换机上配置的授权信息不符

l?? 适用于汇聚层认证场景:接入层交换机未透传802.1x认证报文

l?? 适用于无线场景:安全模板的安全策略(加密方式)配置错误

l?? 802.1x客户端参数设置错误

处理步骤

??????????????????????????????? 步骤 1???? 检查交换机上802.1x认证的相关配置错误

1.???????? 检查认证接口是否开启了802.1x认证功能

对于交换机V200R009C00及之后版本:

只有认证接口上绑定了认证模板,并且该认证模板上已经绑定了802.1x接入模板,认证接口上的802.1x认证功能才能开启。

a.???????? 检查认证接口是否绑定了认证模板

20160914143201012001.jpg

对于无线场景,需要检查对应的VAP模板是否绑定了认证模板。

命令行查看认证接口下的配置:

[HUAWEI-GigabitEthernet1/0/12] display this??????????????????
#
interface GigabitEthernet1/0/12
? port link-type trunk
? port trunk allow-pass vlan 2 to 4094
? authentication-profile dot1x_authen_profile
#

b.???????? 检查认证模板是否绑定了802.1x接入模板

命令行查看认证模板的配置:

[HUAWEI-authen-profile-dot1x_authen_profile] display this
#
authentication-profile name dot1x_authen_profile
?dot1x-access-profile d1
#

对于交换机V200R009C00之前的版本

直接在认证接口上查看802.1x认证功能是否开启

[HUAWEI-GigabitEthernet1/0/1]display this????????????????????
#????????????????????????????????????????????????????????????
interface GigabitEthernet1/0/1??? ????????????????????????????
?authentication dot1x ?????????????????????????????????????????
#????????????????????????????????????????????????????????????
return

2.???????? 检查802.1x认证方式是否配置正确

802.1x认证方式包括EAP中继(对应的命令行参数为eap)和EAP终结(对应的命令行参数为chappap)。交换机上配置的认证方式服务器和终端必须都支持,认证才能成功。

20160914143201012001.jpg

l? 只有采用RADIUS认证才支持EAP中继方式,本地认证仅支持EAP终结方式。

l? 由于手机终端不支持EAP终结方式,故手机终端认证时不支持配置为802.1x+本地认证方式。笔记本电脑等终端也需要安装第三方客户端才能支持EAP终结方式。

对于交换机V200R009C00版本及之后版本

命令行查看802.1x接入模板使用的认证方式:

<HUAWEI> display dot1x-access-profile configuration name d1
? Profile Name???????????????? : d1
? Authentication method??????? : EAP
? Port control???????????????? : authorized-force
? Re-authen??????????????????? : Enable
? Client-no-response authorize : -
? Trigger condition??????????? : arp
? Unicast trigger?????????? ???: Enable
? Trigger dhcp-bind??????????? : Enable
? Handshake??????????????????? : Disable
? Handshake packet-type??????? : request-identity
? Max retry value????????????? : 2
? Reauthen Period????????????? : 3600s
? Client Timeout?????????????? : 5s
? Handshake Period???????????? : 60s
? Eth-trunk handshake period?? : 120s
? Bound authentication profile : -

802.1x接入模板下,通过命令dot1x authentication-method { chap | pap | eap },可以修改802.1x认证方式。

对于交换机V200R009C00之前的版本:

命令行查看交换机配置的802.1x认证方式:

<HUAWEI> display dot1x
? Global 802.1x is Enabled??????????????????????????????????
? Authentication method is CHAP ?????????????????????????????
? Max users: 32768??????????????????????????????????????????
? Current users: 0??????????????????????????????????????? ???????????……
? GigabitEthernet1/8/0/15 status: DOWN? 802.1x protocol is Enabled
?? Authentication mode is multi-authen????????????????????????
? ?Authentication method is CHAP?????????????????????????????????
?? Reauthentication is disabled?????????? ???????????????????????????……

接口下配置的优先级高于全局下的。

在全局或接口视图下,通过命令dot1x authentication-method { chap | pap | eap },可以修改802.1x认证方式。

3.???????? 检查是否存在与802.1x认证功能冲突的配置

接口上配置以下功能后,不能再配置802.1x认证功能:

命令

功能

mac-limit

配置接口的最大MAC地址学习个数

mac-address learning disable

关闭接口的MAC地址学习功能

port link-type dot1q-tunnel

配置接口的链路类型为QinQ

port vlan-mapping vlan map-vlan

port vlan-mapping vlan inner-vlan

配置接口的VLAN Mapping功能

port vlan-stacking

配置灵活QinQ功能

port-security enable

配置接口安全功能

mac-vlan enable

使能接口的MAC VLAN功能

ip-subnet-vlan enable

使能接口基于IP子网划分VLAN的功能

??????????????????????????????? 步骤 2???? 检查RADIUS服务器上配置的授权信息和交换机上配置的授权信息是否正确

检查方法和步骤请参见2.2.1 使用服务器认证时,检查配置是否正确中的“检查授权相关的配置是否正确”。

??????????????????????????????? 步骤 3???? 检查接入层交换机是否配置了EAP报文透传功能(适用于认证设备位于汇聚层的场景)

命令行查看是否配置了EAP报文透传功能,如果没有显示信息则代表没配置该功能:

display l2protocol-tunnel group-mac user-defined-protocol 802.1x

按以下步骤在接入层设备上配置EAP报文透传功能:

1.???????? 在接入层设备的系统视图下执行命令l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002定义二层透明传输EAP报文。

2.???????? 在接入层设备的下行与用户连接的接口以及上行与认证设备连接的接口上执行命令l2protocol-tunnel user-defined-protocol 802.1x enable使能接口的二层协议透明传输功能。

??????????????????????????????? 步骤 4???? 检查安全模板中的安全策略是否配置正确(适用于无线场景)

以下为NAC各种认证方式建议使用的安全策略:

l?? 外置Portal认证、内置Portal认证、MAC认证:开放认证。

l?? 802.1x认证:WPA/WPA2-802.1x认证。

命令行查看安全策略模板使用的安全策略和加密方式:

<HUAWEI> display security-profile name default
------------------------------------------------------------
Security policy?????????????? : Open system
Encryption??????????????????? : -
……

在安全模板下,通过命令security { wpa | wpa2 | wpa-wpa2 } dot1x { aes | tkip | aes-tkip },修改802.1x用户使用的安全策略。

??????????????????????????????? 步骤 5???? 检查802.1x客户端的参数设置是否正确

具体请参见附录中的7.2 操作系统自带标准802.1x客户端的配置方法

??????????????????????????????? 步骤 6???? 请收集如下信息,并联系技术支持工程师

一般用全流程跟踪trace就可以,下面调试诊断命令只在业务量很小的情况下才能使用,通过以下命令收集相关信息:

命令

功能

debugging dot1x all

802.1x认证调试开关

debugging cm all

用户UCM模块调试开关

debugging aaa all

AAA模块调试开关,用来查看用户认证域的相关信息

debugging radius all

查看用户与RADIUS模块交互的认证信息

----结束


3 Portal用户认证故障处理

3.1? Portal认证页面无法推送

3.2? Portal证页面可以推送但认证失败

3.1 Portal认证页面无法推送

Portal认证页面无法推送时,可以检查终端是否能够通过IP地址访问Portal服务器(即访问“http://Portal服务器-IP:8080/portal”),已确认终端与Portal服务器之间的网络连接是否正常。

3.1.1 终端能够通过IP地址访问Portal服务器

可能原因

终端能够通过IP地址访问Portal服务器(即能够访问“http://Portal服务器-IP:8080/portal”),说明终端与Portal服务器之间的网络连接正常。此时,造成Portal认证页面无法推送的原因有:

l?? 交换机上Portal认证功能没有开启

l?? 交换机上配置的Portal认证页面的URL地址不正确,导致交换机/AC无法将终端的http请求重定向至Portal服务器

l?? 交换机上终端访问页面的IP地址被配置成免认证资源

l?? 终端浏览器使用的是HTTPS协议,但交换机上没有开启HTTPS重定向功能

l?? 交换机或终端上DNS的相关配置不正确

定位思路

如下图所示,在终端浏览器***问“http://x.x.x.x”(x.x.x.x为认证后域的IP地址),检查是否能够跳转到Portal认证页面。确认是不是交换机配置有误导致终端无法打开Portal认证页面:

20160914143201012001.jpg

交换机是通过检测终端HTTP流量触发Portal页面推送动作。在终端的浏览器访问“http://x.x.x.x”,终端发出的HTTP流量会经过接入控制设备,触发Portal认证页面推送动作。访问URL地址“http://x.x.x.x”而不是“http://www.example.com”,可以排除DNS解析故障

l?? 不能跳转:则表明接入控制设备配置有误,请检查交换机的配置。

l?? 正常跳转:则表明终端HTTP流量能够正常触发Portal认证页面推送动作,可能是DNS解析问题导致Portal认证页面无法推送。

20160914143213175006.png

处理步骤

访问认证后域的IP地址时,不能正常跳转的处理步骤:

??????????????????????????????? 步骤 1???? 检查交换机上的Portal认证功能是否开启

对于交换机V200R009C00及之后版本:

只有认证接口上绑定了认证模板,并且该认证模板上已经绑定了Portal接入模板,Portal接入模板上已经绑定了Portal服务器模板,认证接口上的Portal认证功能才能开启。

l?? 命令行检查认证接口下是否绑定了认证模板

[HUAWEI-Vlanif10] display this
#
interface Vlanif103
?ip address 172.16.2.2 255.255.255.0
?authentication-profile p1
#

l?? 命令行检查认证模板下是否绑定了Portal接入模板

[HUAWEI-authen-profile-p1] display this
#
authentication-profile name p1
?portal-access-profile web1
#

l?? 命令行检查Portal接入模板下是否绑定了Portal服务器模板

[105-S5720HI-portal-acces-profile-web1] display this
#
portal-access-profile name web1?
?web-auth-server portal_huawei layer3?
#

对于交换机V200R009C00之前的版本

开启Portal认证功能需要同时在认证接口上使能Portal认证并绑定Portal服务器模板。

[HUAWEI-GigabitEthernet1/0/1] display this??????????? ?????????
#??
interface GigabitEthernet1/0/1?
?authentication portal?
?web-auth-server s1 direct?
#?
return

??????????????????????????????? 步骤 2???? 检查交换机上配置的Portal认证页面的URL地址是否正确

在终端浏览器访问Portal认证页面URL地址,如果能正常显示Portal认证页面则表明正常。

如果不能正常显示,则需要执行以下检查步骤。

检查WEB服务器模板下配置的URL地址是否正确

[107-S7712]display web-auth-server configuration??
? ……????????????????????????????????????????????
? URL????????????????? : http://192.168.1.1:8080/portal???????????? URL Template???????? :?????????????????????????????????????
? ……

如果WEB服务器模板通过绑定URL模板来指定Portal认证页面的URL地址,则需要检查URL模板下配置的URL地址是否正确

<HUAWEI> display url-template name huawei
? ……
? URL? :????????????????????????????????????????????????????????????????????????
??? 1. http://192.168.1.1:8080/portal?
? ……

Agile Controller作为Portal服务器为例,其URL地址必须配置为以下格式:

l?? http://Agile ControllerIP地址:8080/portal

l?? http://Agile Controller的域名:8080/portal

20160914143201012001.jpg

如果Portal认证页面的URL地址使用域名格式,在不能正常显示的情况下还需要步骤3

??????????????????????????????? 步骤 3???? 请收集如下信息,并联系技术支持工程师

l?? 终端的类型、浏览器的类型与版本、Portal服务器的类型

l?? 交换机上的配置信息以及环境的组网信息

l?? 终端侧和服务器侧的抓包信息

l?? Debug信息,无线场景下,在AP设备上收集Debug信息

命令

功能

debugging portal all

打开Portal模块调试开关

----结束

访问认证后域的IP地址时,正常跳转的处理步骤:

在终端浏览器访问通过域名指定的认证后域时(即访问http://www.example.com):

l?? 如果能正常跳转,则执行步骤1步骤2

l?? 如果不能正常跳转,则执行步骤3

??????????????????????????????? 步骤 1???? 检查终端访问页面的IP地址是否被配置成免认证网络资源

如果访问的IP地址被配置成了免认证网络资源,设备不会对其进行重定向。

命令行检查免认证网络资源的配置信息:

[HUAWEI-free-rule-default_free_rule] display this????????????
#??????????????????????????????????????????????
free-rule-template name default_free_rule????????????????????
?free-rule 1 destination ip 10.72.55.101 mask 255.255.255.255?
#?????????????????????????????????????????????????????????????
return

??????????????????????????????? 步骤 2???? 检查终端访问的页面使用的否是HTTPS协议

用户访问HTTPS协议的网站时,交换机默认不对其进行重定向。未认证的Portal用户如果需要在访问HTTPS协议的网站时做重定向处理,需要开启Portal认证HTTPS重定向功能:

[HUAWEI] portal https-redirect enable

??????????????????????????????? 步骤 3???? 检查交换机或终端上DNS的相关配置是否正确

如果在浏览器中直接输入Portal服务器的IP地址能推出认证页面,但是输入域名无法推送页面,需要检查交换机或终端上DNS的相关配置是否正确。

l?? 检查终端上DNS服务器的IP地址是否配置正确

Microsoft Windows 7为例,检查终端DNS服务器IP地址的配置情况:“控制面板 > 网络和Internet > 网络和共享中心”,点击“本地连接”进入“本地连接状态”页面,在“本地连接状态”页面点击“详细信息”。

20160914143213488007.jpg

如果终端通过DHCP方式获取IP地址,则DNS会自动配置。如果终端用户使用静态IP地址访问网络,则DNS必须手工配置。

l?? 检查交换机上DNS服务器的IP地址是否已添加到免认证的IP地址内

命令行查看免认证规则的配置信息:

[HUAWEI-free-rule-default_free_rule] display this????????????????
#?????????????????????? ????????????????????????????????????
free-rule-template name default_free_rule???????????????
?free-rule 1 destination ip 10.72.55.10 mask 255.255.255.255
#???????????????????????????????????????????????????????????
return

配置DNS服务器的IP地址(10.72.55.1)为免认证IP地址:

[HUAWEI] free-rule-template name default_free_rule???????????
[HUAWEI-free-rule-default_free_rule]free-rule 2 destination ip 10.98.48.39 mask 255.255.255.255??

l?? 如果DNS服务器IP地址配置免认证的IP地址后,还不能PingDNS服务器,则联系DNS相关人员进行排查,例如电信的DNS 114.114.114.114无法Ping通则联系电信技术人员进行处理。

??????????????????????????????? 步骤 4???? 请收集如下信息,并联系技术支持工程师

l?? 终端的类型、浏览器的类型与版本、Portal服务器的类型

l?? 交换机上的配置信息以及环境的组网信息

l?? 终端侧和服务器侧的抓包信息

l?? Debug信息,无线场景下,在AP设备上收集Debug信息

命令

功能

debugging portal all

打开Portal模块调试开关

----结束

3.1.2 终端不能通过IP地址访问Portal服务器

可能原因

终端不能通过IP地址访问Portal服务器(即不能访问“http://Portal服务器-IP:8080/portal”),说明终端与Portal服务器之间的网络连接不正常。此时,造成Portal认证页面无法推送的原因有:

l?? 终端与Portal服务器之间存在链路故障、路由或网关配置错误

l?? Portal服务器的进程没有正常启动

l?? 终端浏览器设置了代理服务器

定位思路

如下图所示,在终端上通过Ping命令测试与Portal服务器的网络连接是否正常。

l?? 不能Ping通:则表明终端与Portal服务器之间存在链路故障、路由或网关配置错误

l?? Ping通:则表明终端与Portal服务器之间路由可达

20160914143214845008.png

处理步骤

终端Ping Portal服务器的IP地址,不能Ping通时的操作步骤:

??????????????????????????????? 步骤 1???? 检查终端与Portal服务器之间是否存在链路故障、路由或网关的配置是否错误。

----结束

终端Ping Portal服务器的IP地址,能够Ping通时的操作步骤:

??????????????????????????????? 步骤 1???? 检查Portal服务器的进程是否正常启动

在浏览器中输入Portal服务器的IP地址,查看是否能推出认证页面,如果直接输入服务器的IP地址也不能推送页面,需要检查Portal服务器的进程是否正常启动。

使用Controller作为Portal服务器时,通过以下步骤检查Portal服务器进行是否正常启动:

选择“开始 > 所有程序 > Huawei > Agile Controller > Server Startup Config”,查看PortalServer组件是否处在“运行”状态,如果不是,手动点击“启动”。

20160914143206268002.png

??????????????????????????????? 步骤 2???? 检查终端浏览器是否设置了代理服务器

如果终端浏览器上启用了代理服务器,代理服务器会改变终端的路由,导致终端无法Portal服务器,进而导致终端无法访问Portal认证页面。

Internet Explorer 8为例,参见以下步骤取消设置代理服务器:

选择“工具 > Internet选项 > 连接”,单击“局域网设置”,在“局域网(LAN)设置”页面,取消代理服务器选项。

20160914143215673009.jpg

??????????????????????????????? 步骤 3???? 请收集如下信息,并联系技术支持工程师

l?? 终端的类型、浏览器的类型与版本、Portal服务器的类型

l?? 交换机上的配置信息以及环境的组网信息

l?? 终端侧和服务器侧的抓包信息

l?? Debug信息,无线场景下,在AP设备上收集Debug信息

命令

功能

debugging portal all

打开Portal模块调试开关

----结束

3.2 Portal认证页面可以推送但认证失败

引起Portal用户认证故障的原因通常是由认证域、AAAPortal接入配置三大部分配置问题导致。常见的Portal认证故障的现象、原因及解决措施如3-1所示

表3-1 Portal认证故障的现象、原因及解决措施

故障现象

原因

解决措施

执行test-aaa命令测试失败(仅限于使用RADIUS认证

用户名和密码错误

详见2.2.1 使用服务器认证时,检查配置是否正确中的“执行test-aaa命令测试”

交换机与RADIUS服务器之间业务不通

用户认证失败、服务器收不到认证报文

交换机上配置的认证域不正确

详见2.1 检查认证域的配置是否正确中的“用户使用的认证域不正确”

交换机上Portal服务器模板的配置与Portal服务器上的不一致

详见3.2.3 检查Portal接入配置是否正确

用户认证失败、服务器能收到认证报文

交换机或服务器上的授权信息配置错误

详见2.2.1 使用服务器认证时,检查配置是否正确中的“检查授权相关的配置是否正确”

交换机向RADIUS服务器发送的报文中的用户名格式与RADIUS服务器上配置的不一致

详见2.1 检查认证域的配置是否正确中的“交换机向RADIUS服务器发送的报文中的用户名格式与RADIUS服务器上配置的不一致”

3.2.1 检查认证域的配置是否正确

相关方法和步骤请参见2.1 检查认证域的配置是否正确

3.2.2 检查AAA配置是否正确

相关方法和步骤请参见2.2 检查AAA配置是否正确

3.2.3 检查Portal接入配置是否正确

可能原因

交换机上Portal服务器模板的配置与Portal服务器上的不一致

处理步骤

??????????????????????????????? 步骤 1???? 交换机上Portal服务器模板的配置与Portal服务器上的不一致

l?? 交换机的IP地址与Portal服务器上添加的IP地址是否一致

默认交换机发往Portal服务器的Portal报文源IP是交换机连Portal服务器接口上的IP(默认是根据Portal服务器IP查看路由的方法获取的源IP),也可以在Portal服务器模板下通过命令source-ip配置交换机的IP

l?? Portal服务器的IP地址在Portal服务器模板下通过命令server-ip配置正确

l?? 终端的IP地址段是否在Portal服务器的接入终端IP地址列表内。

IP地址段是否在Portal服务器终端,Portal服务器收到其请求后将不会向设备发Portal认证请求,终端也就无法真正认证成功。

l?? 交换机使用的端口号与Portal服务器上设置的端口一致

默认值为2000Portal服务器模板视图下通过命令web-auth-server listening-port port-number配置。

l?? Portal服务器使用的端口号与交换机上配置的端口一致

默认值为50100Portal服务器模板视图下通过命令port port-number [ all ]配置。

l?? 共享密钥保持一致

由于交换机和Portal服务器上共享密钥均是密文显示,不方便比较两者是否相同,可以通过重新配置的方式确保二者一致。

??????????????????????????????? 步骤 2???? 请收集如下信息,并联系技术支持工程师

l?? 问题现象与初步判断排查结果。

l?? 用户上线失败和下线原因。

??????????? 查看异常下线记录的信息

[HUAWEI-diagnose] display aaa abnormal-offline-record mac-address 148f-c661-b424

??????????? 查看上线失败记录的信息

[HUAWEI-diagnose] display aaa online-fail-record mac-address 148f-c661-b424

??????????? 查看下线记录信息

[HUAWEI-diagnose] display aaa offline-record mac-address 148f-c661-b424

l?? 交换机上的配置信息以及环境组网信息。

l?? 终端侧和服务器侧的抓包。

l?? 设备上的tracedebug信息。

一般用全流程跟踪trace就可以,下面调试诊断命令只在业务量很小的情况下才能使用,通过以下命令收集相关信息:

命令

功能

debugging portal all

Portal模块调试开关

debugging web all

WEB认证模块调试开关

debugging cm all

用户UCM模块调试开关

debugging aaa all

AAA模块调试开关,查看用户认证域等信息

debugging radius all

查看用户与RADIUS模块的交互信息

debugging tm all

TM模块调试开关

----结束


4 MAC用户认证故障处理

引起MAC用户认证故障的原因通常是由认证域、AAAMAC接入配置三大部分配置问题导致。常见的MAC认证故障的现象、原因及解决措施如4-1所示。

表4-1 MAC认证故障的现象、原因及解决措施

故障现象

原因

解决措施

执行test-aaa命令测试失败(仅限于使用RADIUS认证

用户名和密码错误

详见2.2.1 使用服务器认证时,检查配置是否正确中的“执行test-aaa命令测试”

交换机与RADIUS服务器之间业务不通

用户认证失败、服务器收不到认证报文

交换机上没有开启MAC认证功能

详见4.3 检查MAC接入配置是否正确中的步骤1

交换机上配置的认证域不正确

详见2.1 检查认证域的配置是否正确中的“用户使用的认证域不正确”

用户认证失败、服务器能收到认证报文

交换机或服务器上的授权信息配置错误

详见2.2.1 使用服务器认证时,检查配置是否正确中的“检查授权相关的配置是否正确”

交换机向RADIUS服务器发送的报文中的用户名格式与RADIUS服务器上配置的不一致

详见2.1 检查认证域的配置是否正确中的“交换机向RADIUS服务器发送的报文中的用户名格式与RADIUS服务器上配置的不一致”

MAC认证的用户名格式与服务器配置的不一致

详见4.3 检查MAC接入配置是否正确中的步骤2

4.1? 检查认证域的配置是否正确

4.2? 检查AAA配置是否正确

4.3? 检查MAC接入配置是否正确

4.1 检查认证域的配置是否正确

相关方法和步骤请参见2.1 检查认证域的配置是否正确

4.2 检查AAA配置是否正确

相关方法和步骤请参见2.2 检查AAA配置是否正确

4.3 检查MAC接入配置是否正确

常见问题

l?? 认证接口没有开启MAC认证功能

l?? MAC认证的用户名格式与服务器配置的不一致

l?? MAC认证功能与其他配置冲突

处理步骤

??????????????????????????????? 步骤 1???? 检查认证接口是否开启了MAC认证功能

对于交换机V200R009C00版本及之后版本:

只有认证接口上绑定了认证模板,并且该认证模板上已经绑定了MAC接入模板,认证接口上的MAC认证功能才能开启。

1.???????? 检查认证接口是否绑定了认证模板

20160914143201012001.jpg

对于无线场景,需要检查对应的VAP模板是否绑定了认证模板。

命令行查看认证接口下的配置:

[HUAWEI-GigabitEthernet1/0/12] display this??????????????????
#
interface GigabitEthernet1/0/12
? port link-type trunk
? port trunk allow-pass vlan 2 to 4094
? authentication-profile mac_authen_profile
#

2.???????? 检查认证模板是否绑定了MAC接入模板

命令行查看认证模板的配置:

[HUAWEI-authen-profile-mac_authen_profile] display this
#
authentication-profile name mac_authen_profile
?mac-access-profile m1
#

对于交换机V200R009C00之前的版本

直接在认证接口上查看MAC认证功能是否开启

[HUAWEI-GigabitEthernet1/0/1] display this????????????????????
#????????????????????????????????????????????????????????????
interface GigabitEthernet1/0/1????????????????? ??????????????
?authentication mac ?????????????????????????????????????????
#????????????????????????????????????????????????????????????
return

??????????????????????????????? 步骤 2???? 检查MAC认证的用户名格式与服务器配置的是否一致

1.???????? 检查服务器上配置的MAC用户名格式:

Controller为例:选择“资源 > 用户 > 用户管理”,在“用户”页签,点击查看进入“查看账号”界面。

20160914143215087010.png

2.???????? 检查交换机上配置的MAC认证用户名格式

命令行检查交换机上配置的MAC用户名格式:

[HUAWEI] display mac-access-profile configuration name m1
? Profile Name???????????????? : m1?
? Username format????????????? : fixed username: a ?
? Password type??????????????? : cipher??
? Fixed password????????? ?????: %^%#`2ML)8skyH9-y_Atgh@,c\VY"rXYATw:t)Q;MeNF%^%#?????????
? Re-authen??????????????????? : Enable?
? Trigger condition??????????? : arp dhcp nd dhcpv6?
? Offline dhcp-release???????? : Enable??
? Re-authen dhcp-renew???????? : Enable?
? Reauthen Period????????????? : 1800s??
? Bound authentication profile : -

Username format表示MAC用户使用的用户名格式,包括三种:固定用户名格式、MAC地址格式和DHCP Option选项格式。

其中MAC地址格式包括以下几种:

??????????? xxxx-xxxx-xxxx:指定MAC地址4位一组带有分隔符“-”,对应的参数为with-hyphen

??????????? xx-xx-xx-xx-xx-xx:指定MAC地址2位一组带有分隔符“-”,对应的参数为with-hyphen normal

??????????? xxxxxxxxxxxx:指定MAC地址不带有分隔符“-”,对应的参数为without-hyphen

另外,通过参数uppercase可以指定MAC地址中的字母区分大小写。

MAC接入模板视图下执行以下命令,可以修改交换机上配置的MAC用户名格式:

mac-authen username { fixed username [ password cipher password ] | macaddress [ format { with-hyphen [ normal ] | without-hyphen } [ uppercase ] [ password cipher password ] ] | dhcp-option option-code { circuit-id | remote-id } password cipher password }

??????????????????????????????? 步骤 3???? 检查是否存在与MAC认证功能冲突的配置

接口上配置以下功能后,不能再配置MAC认证功能:

命令

功能

mac-limit

配置接口的最大MAC地址学习个数

mac-address learning disable

关闭接口的MAC地址学习功能

port link-type dot1q-tunnel

配置接口的链路类型为QinQ

port vlan-mapping vlan map-vlan

port vlan-mapping vlan inner-vlan

配置接口的VLAN Mapping功能

port vlan-stacking

配置灵活QinQ功能

port-security enable

配置接口安全功能

mac-vlan enable

使能接口的MAC VLAN功能

ip-subnet-vlan enable

使能接口基于IP子网划分VLAN的功能

----结束


?

更多交换机故障处理过程和技巧,请猛戳我:交换机在江湖汇总贴

本帖最后由 交换机在江湖 于 2016-10-09 09:08 编辑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
p00187531  版主 发表于 2016-9-14 15:31:59 已赞(0) 赞(0)

常见的问题
  • x
  • 常规:

点评 回复

merven
merven   发表于 2016-9-26 14:42:42 已赞(0) 赞(0)

很经典,真好需要用到,有没有ME60相关的哦~
  • x
  • 常规:

点评 回复

merven
merven   发表于 2016-9-26 14:44:28 已赞(0) 赞(0)

附件的压缩包是空的。。。。
  • x
  • 常规:

点评 回复

清湾彪记电脑
清湾彪记电脑   发表于 2016-10-8 17:42:03 已赞(0) 赞(0)

里面没有内容,请检查下
  • x
  • 常规:

点评 回复

共祝愿祖国好   发表于 2016-11-26 17:34:44 已赞(0) 赞(0)

非常好的资料!我要好好学习,感谢分享【交换机在江湖 维护无忧系列】接入认证故障专题(上)故障诊断思路&故障处理-2107539-1
  • x
  • 常规:

点评 回复

不忘初心  方得始终——只有不忘记自己最初的想法,才能有始有终地去完成自己的梦想。
beloved818414  导师 发表于 2016-11-29 14:21:13 已赞(0) 赞(0)

很给力,资料很实用。谢谢分享
  • x
  • 常规:

点评 回复

心动不如行动
jun_gaoj  新锐 发表于 2016-12-5 08:40:48 已赞(0) 赞(0)

接入认证故障专题,资料不错,内容丰富。很实用,感谢分享。
  • x
  • 常规:

点评 回复

华为改变世界  新锐 发表于 2016-12-5 23:42:27 已赞(0) 赞(0)

接入认证故障专题!太全了!给力!学习了!
  • x
  • 常规:

点评 回复

jianghao001  新锐 发表于 2016-12-10 15:36:59 已赞(0) 赞(0)

交换机与企业网关使用感受

S系列的交换机在我司用作core和aggregate层面,目前来讲表现很好,华为的补丁可以解决大多数遇到的小问题。有大家一起交流,也更放心!
交换机与企业网关使用感受

步骤方法,清晰准确。比喻形象, 最重要的是 看交换机在江湖 就和看武侠小说一样, 还是很有代入感的,越看越过瘾

这个资料来源于 交换机在江湖吧? 那前几个月已经帮版主负责人进行了纠错,很多的错误已经通过e_support邮箱反馈了!

华为,加油
  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!

登录参与交流分享

登录

华为企业互动社区
华为企业互动社区
屏蔽
!block_confirm_cont!