快速定位MAC认证失败原因
MAC认证失败时,首先需确保AAA认证域、MAC认证等基本配置正确,具体排查措施请参见3.1.2 认证域及相关配置错误,然后再通过下面方法快速定位认证失败原因。 l 查看display aaaonline-fail-record all命令的回显字段User online fail reason。 l 查看trace object mac-address mac-address命令的Trace信息。 常见的MAC认证失败原因如表3-1。
认证域及相关配置错误
执行命令display authentication mode确认NAC配置模式:
unified-mode:统一模式。
common-mode:传统模式。
统一模式
认证域之间存在优先级,终端在优先级高的认证域中进行认证:MAC OUI指定认证域 > 指定接入类型的强制域> 非指定接入类型的强制域> 用户名中携带的合法域> 指定接入类型的默认域> 非指定接入类型的默认域> 全局默认域。 首先确认全局是否根据MACOUI指定了认证域,然后再确认认证接口下绑定的认证模板是否通过access-domain指定了默认域或强制域,最后再确认全局默认域。请执行以下步骤进行检查。 1. 执行命令displaycurrent-configuration | include mac-authen force mac-address检查是否根据MAC OUI指定了认证域。
− 未配置时,请执行步骤2。 − 已配置时,请确认该配置是否正确。如果不正确,请在系统视图下执行命令domain domain-name mac-authen force mac-address mac-address mask mask修改配置。 2. 执行命令displayauthentication-profile configuration检查认证模板下认证域是否配置。
− 未配置时,请确认是否需要配置。如果无需配置,请执行步骤2;如果需要配置,请在认证模板视图下执行命令access-domain domain-name mac-authen [ force ]。 − 已配置时,请确认配置是否正确。如果不正确,请在认证模板视图下执行命令access-domain domain-name mac-authen [ force ]。 3. 执行命令display aaa configuration确认全局默认域。
根据全局默认域,执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。
然后执行命令display authentication-scheme、display accounting-scheme、display radius-serverconfiguration template确认配置是否正确。如果不正确,请执行相应的命令修改。
传统模式
认证域之间存在优先级,终端在优先级高的认证域中进行认证:MAC OUI指定认证域 > 接口下指定的MAC认证域 > 全局默认域。 首先确认全局是否根据MACOUI指定了认证域,最后再确认全局默认域。请执行以下步骤进行检查。 1. 执行命令displaycurrent-configuration | include mac-authen domain检查是否根据MAC OUI指定了认证域或接口下指定了认证域。
− 未配置时,请执行步骤2。 − 已配置时,请确认该配置是否正确。如果不正确,请在系统视图下执行命令mac-authen domain isp-name [ mac-address mac-address mask mask ]修改配置,或在接口视图下执行命令mac-authen domain isp-name修改配置。 2. 执行命令display aaa configuration确认全局默认域。
根据全局默认域,执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。
然后执行命令display authentication-scheme、display accounting-scheme、display radius-serverconfiguration template确认配置是否正确。如果不正确,请执行相应的命令修改。
RADIUS认证服务器拒绝
有两种方式快速确认RADIUS服务器是否回应认证拒绝。 方法一:执行命令display aaa online-fail-record all,发现User online fail reason字段显示为Radius authentication reject。
方法二:在系统视图下执行命令trace object mac-address mac-address可以看到服务器回应了拒绝报文。
服务器回应认证拒绝有多种原因,最常见的有用户名密码错误、RADIUS服务器授权策略无法匹配等,这些问题需要首先通过排查服务器日志找到根因后,再调整服务器、终端或设备配置解决。具体可参见Radius authentication reject (ERRCODE: 130)。 需要注意的是,对接CiscoISE或者ArubaClearpass服务器时,如果MAC认证的用户名为终端的MAC地址,则需要在设备的RADIUS服务器模板下执行命令radius-attribute set Service-Type 10 auth-type mac将RADIUS认证请求中的Service-Type属性需要设置为10(Call Check),否则会导致认证失败,因为设备默认携带的值是2(Framed)。同时服务器可能对RADIUS认证请求中的Calling-Station-Id属性格式有要求,需先确认好服务器支持的格式,然后在设备的RADIUS服务器模板下执行命令calling-station-id mac-format修改格式。
RADIUS服务器无响应
有两种方式快速确认RADIUS服务器是否回应。 方法一:执行命令display aaa online-fail-record all,发现User online fail reason字段显示为The radius server is up but has no reply或者The radius server is not reachable。
方法二:在系统视图下执行命令trace object mac-address mac-address可以看到服务器没有回应。
出现服务器无响应的情况首先确认服务器是否添加了设备IP。如果没有添加,请添加正确的设备IP。如果已经添加,那么需要确定服务器添加的设备IP与认证请求的源IP是否一致(设备默认出接口的IP地址作为向RADIUS服务器发送RADIUS报文时使用的源IP地址)。 用户可以执行命令display radius-server configuration template查看RADIUS服务器模板下是否配置了source-ip。
如果已配置,则服务器上添加的设备IP必须要是这个source-ip。 如果未配置,则可以执行命令display ip routing-table查路由确认认证请求报文的源IP是否是服务器添加的设备IP。例如RADIUS服务器IP是192.168.1.1,通过查询路由的命令可以看到NextHop是192.168.1.101,这个地址即作为认证请求报文的源IP。
如果服务器上添加设备IP没有问题,就需要在设备和服务器上同时获取报文确认中间链路是否存在问题,例如中间网络存在防火墙,防火墙未放通RADIUS(默认认证端口:1812)报文。 另外一种服务器无响应场景是服务器和设备配置的shared-key不一致,可以通过test-aaa命令测试。Debug信息如下所示,出现这种情况需要确保设备和服务器上的shared-key一致。
如果出现大量用户无法认证,日志里出现RADIUS服务器Down记录,那么大概率是服务器或中间网络出现异常,需要逐一排查。
终端MAC地址静默
执行命令display aaa online-fail-record all,查看User online fail reason字段,可以看到其取值为Quiet table check fail。
可以执行以下步骤排查问题。 1. 执行命令display mac-authenquiet-user all,查看用户MAC处于静默状态的剩余静默时间。
该终端用户在60s内连续MAC认证失败达到一定次数,需等到用户MAC退出静默状态后再重新尝试。也可以在系统视图下执行命令mac-authen timerquiet-period 0关闭MAC认证静默功能。 2. 执行命令display aaa online-fail-record,根据User online fail reason字段检查其他上线失败原因来定位问题。 详情请参见接入认证常见原因参考。
MAC认证账号被锁定
执行命令display aaa online-fail-record all,查看User online fail reason字段,如果是采用远端服务器认证方式,其取值为Remote user is blocked;如果是采用本地认证方式,其取值为Local Authentication user block。可以执行以下步骤排查问题。
如果是Remote user is blocked
a. 执行命令display remote-userauthen-fail blocked,确认远端认证账号被锁定是否需要立即激活。
如果需要,请在AAA视图下执行命令remote-user authen-fail unblock激活该用户。同时激活后需要使用正确的用户名密码登录,否则失败次数达到条件后仍会被锁定,请执行步骤2。
如果不需要,请执行步骤2。
b. 执行命令display aaa online-fail-record,根据User online fail reason字段检查其他上线失败原因来定位问题。
详情请参见接入认证常见原因参考。
如果是Local Authentication user block
a. 执行命令display local-user stateblock,根据State、BlockTime字段检查本地用户是否被配置为block状态。BlockTime表示本地用户被锁定时间,如果无值,本地用户被配置为block状态。
如果是,请执行步骤2。
如果不是,请执行步骤3。
b. 检查本地用户为block状态是否合理。
如果合理,无需关注。
如果不合理,请在AAA视图下执行命令local-user state active激活该用户。
c. 输错多次被锁定时检查本地账户是否需要立即激活。
如果需要,请在AAA视图下执行命令local-user state active激活该用户。同时激活后需要使用正确的用户名密码登录,否则失败次数达到条件后仍会被锁定,请执行步骤4。
如果不需要,请执行步骤4。
d. 执行命令display aaa online-fail-record,根据User online fail reason字段检查其他上线失败原因来定位问题。 详情请参见接入认证常见原因参考。
IP地址冲突
执行命令display aaa online-fail-record all,查看User online fail reason字段,其取值为IP address conflict。出现这种情况首先要排查网络中是否存在某些终端或者终端上安装了“飞秋”等局域网通信工具同时发送相同IP地址的ARP报文,导致设备不允许使用相同IP地址的终端上线。可以采用如下方法解决问题。
通过获取报文确认冲突的IP地址,排查这些终端或工具,禁止发送相同IP地址的ARP报文。
V200R013C00及之后的版本,可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。
信息采集
采集的信息包括:
设备的日志信息。
用户上下线记录信息:display aaaonline-fail-record all、display aaa offline-recordall、display aaa abnormal-offline-record all。
一键式采集设备当前的诊断信息:displaydiagnostic-information。
Debugging信息:debugging cm all、debugging aaa all、debugging radius all、debugging tm all、debugging sam all、debugging web all(VLANIF接口下使能MAC认证)、debugging dot1x all(物理接口下使能MAC认证)。
Trace信息:trace enable、trace object mac-address mac-address。
接入认证故障处理全集:
1、802.1X认证失败手故障处理
2、802.1X认证用户掉线故障处理
3、MAC认证失败故障处理(本期)
4、MAC认证用户掉线故障处理(敬请期待)
5、Portal认证页面无法弹出故障处理(敬请期待)
6、Portal认证失败故障处理(敬请期待)
点击“阅读原文”,查看更多精彩内容
相关资源:华为网络设备mac安全认证_h3c交换机mac地址认证配置-网络设备文档...
————————————————
版权声明:本文为CSDN博主「weixin_39942318」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_39942318/article/details/111283961
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/2416.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
