背景信息
如下图所示,若某一用户在60秒内认证失败的次数超过命令dot1x quiet-times fail-times规定的值,则设备会将该用户静默一段时间,该时间由命令dot1x timer quiet-period quiet-period-value指定,在静默时间内,设备会丢弃该用户的802.1X认证请求,从而避免用户在短时间内频繁认证失败对系统造成冲击。
故障现象
Trace诊断信息显示:User is still in quiet status。
处理步骤
执行命令display dot1x quiet-user all,查看802.1X用户处于静默状态的剩余静默时间
对应MAC地址的802.1X用户需要等待静默时间结束后,再重新尝试认证。也可以在系统视图下执行命令dot1x timer quiet-period quiet-period-times调小802.1X用户被静默的时间。
背景信息
用户认证过程中,设备会发送认证请求报文到RADIUS服务器。为避免由于网络故障、时延等原因导致设备无法收到服务器的回应报文,设备在发送认证请求报文到服务器时具有超时重传超时机制,重传次数和重传间隔通过定时器进行控制。如下图所示,在重传停止后,如果设备仍没有收到RADIUS服务器的回应报文,则会将RADIUS服务器的状态标记为Down状态或者无响应。
故障现象
RADIUS服务器无响应时,查看命令display aaa online-fail-record all和Trace诊断信息的显示如下:
执行命令display aaa online-fail-record all,发现User online fail reason字段显示为The radius server is up but has no reply或者The radius server is not reachable。
Trace诊断信息显示AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(73)。
处理方法
情况一:RADIUS服务器上配置的shared-key与设备上配置的不一致
在设备上,RADIUS服务器模板视图下,执行命令radius-server shared-key cipherkey-string重新配置共享密钥;在RADIUS服务器上,重新配置共享密钥,保证与设备上配置的一致。
情况二:RADIUS服务器没有添加设备的IP地址或者添加的IP地址不正确
RADIUS服务器上添加的设备IP地址必须是设备发送认证请求报文的源IP地址。源IP地址可以在RADIUS服务器模板下通过命令配置;如果未配置,则使用缺省值,即发送认证请求报文出接口的IP地址作为源IP地址。确认源IP地址的步骤如下:
通过命令display radius-server configuration template name,可以确认是否通过命令配置了源IP地址。回显中字段Source IP表示源IP地址:
有显示,则表示通过命令配置了源IP地址,RADIUS服务器上的配置必须与显示的值保持一致;
1、无显示,则表示源IP地址使用的是默认值,需要通过第2步确认具体值。
2、源IP地址使用的是默认值(即发送认证请求报文出接口的IP地址)时,需要通过查路由确认源IP地址。以简单的直连路由场景为例,RADIUS服务器的IP地址是192.168.1.1,通过查询路由可以看到NextHop是192.168.1.101,这个地址即作为认证请求报文的源IP,RADIUS服务器上的设置需要与该值保持一致。
情况三:防火墙未放通RADIUS服务器的端口号
如果RADIUS服务器上设置的设备IP地址没有问题,需要进一步在设备和服务器侧同时进行报文分析确认中间链路是否存在问题。常见的链路问题有网络中存在防火墙,防火墙未放通RADIUS服务器的端口号(默认认证端口:1812,计费端口:1813)。
情况四:RADIUS服务器或者中间网络出现异常
如果大量用户无法认证,并且设备上有日志RDAUTHDOWN(表示RADIUS服务器Down),大概率是RADIUS服务器或中间网络出现异常,需要逐一排查。
背景信息
RADIUS服务器回应认证拒绝报文(Access-Reject),表示客户端发送的Access-Request报文中某些属性未通过验证,客户端认证失败。
故障现象
RADIUS服务器回应认证拒绝报文时,查看命令display aaa online-fail-record all和Trace诊断信息的显示如下:
执行命令display aaa online-fail-record all,User online fail reason字段显示为Radius authentication reject。
Trace诊断信息显示Received a authentication reject packet from radius server(server ip = 10.1.1.1),可以直接看到服务器的IP地址信息,定位到具体的服务器。
处理步骤
服务器回应认证拒绝有多种原因,最常见的有用户名密码错误、RADIUS服务器授权策略无法匹配等,这些问题需要首先通过排查RADIUS服务器日志并且借助设备上的test-aaa功能,找到根因后,再调整服务器、终端或设备配置解决。
此外,对于使用到证书的802.1X认证,终端和服务器需要检验证书的合法性(终端采用EAP-PEAP认证时可以取消验证服务器证书)。遇到这类问题需要在终端或者服务器获取报文分析。常见的证书错误包括CA证书未加入终端信任列表,证书过期等,例如报错Unknown CA。
背景信息
802.1X认证系统使用可扩展认证协议EAP(Extensible Authentication Protocol)来实现客户端、设备和认证服务器之间的信息交互。EAP认证方法可分为EAP中继(常用的有EAP-TLS、EAP-TTLS、EAP-PEAP)和EAP终结(常用的有PAP和CHAP)。
配置EAP认证方法时需要注意以下几点:|
1、需要保证客户端、设备和认证服务器上EAP认证方法配置一致。
仅RADIUS认证支持EAP中继方式。|
2、本地认证仅支持EAP终结方式。
3、对于绝大多数终端,设备需配置EAP中继方式。
4、由于手机终端通常不支持EAP终结方式,故手机终端认证时不支持配置为802.1X+本地认证方式。笔记本电脑等终端也需要安装第三方客户端才能支持EAP终结方式。
5、当接口下已经有802.1X用户在线时,在接口绑定的802.1X接入模板下修改EAP认证方法,如果是EAP终结和EAP中继两种方式之间切换,已经在线的用户会下线,如果是EAP终结之间的CHAP和PAP之间切换,用户不会下线。
处理步骤
注:
NAC配置模式分为统一模式和传统模式两种,不同模式下的故障处理方法有差异。故障处理前,请先执行命令display authentication mode确认NAC配置模式:
1、回显信息中显示Current authentication mode is unified-mode,表示当前为统一模式。
2、回显信息中显示Current authentication mode is common-mode,表示当前为传统模式。
统一模式
执行命令display dot1x-access-profile configuration,根据Authentication method字段检查设备配置的EAP认证方法与客户端和RADIUS服务器是否一致。
统一模式下,802.1X用户认证方式默认为eap(即EAP中继认证方式)。如果不一致,请在802.1X接入模板视图下执行命令dot1x authentication-method { chap | pap | eap }修改802.1X用户认证方式。
传统模式
执行命令display current-configuration | include dot1x authentication-method,检查设备配置的EAP认证方法与客户端和RADIUS服务器是否一致。
传统模式下,802.1X用户认证方式默认为chap(即CHAP的EAP终结认证方式)。如果不一致,请在系统视图或接口视图下执行命令dot1x authentication-method { chap | pap | eap }修改802.1X用户认证方式。
注:
系统视图和接口视图下同时配置dot1x authentication-method时,接口视图下的配置优先生效。
注:
1、本内容适用于有线802.1X认证和无线802.1X认证场景。通常情况下,802.1X认证会涉及多个第三方客户端和服务器,如果故障出现在第三方设备上,需要协同第三方设备供应商进行处理。
2、以华为S系列交换机V200R019C10版本为例
快速定位802.1X认证失败原因
802.1X用户上线过程包括认证和接入两部分,认证技术使用的是AAA功能,用的最多是RADIUS协议,接入技术就是802.1X协议。定位802.1X认证失败首先需要排除相关配置错误,然后根据命令或者Trace诊断功能定位具体失败原因。如下所示,通常分为三步:
1、确认AAA配置和802.1X配置是否正确。
2、查看用户上线失败原因。
执行命令display aaa online-fail-record,根据User online fail reason字段确认用户上线失败原因。
如果仅通过失败原因无法直接修复故障时,可以执行步骤3,根据用户的MAC地址或IP地址,输出指定用户在认证过程中的状态变化、协议处理结果等Trace诊断信息进行故障修复。
3、查看Trace诊断信息。开启Trace诊断功能的方法如下:
系统视图下,执行命令trace enable,开启Trace诊断功能。
系统视图下,执行命令trace object mac-address mac-address,根据用户的MAC地址创建诊断对象。
常见的802.1X认证失败原因如下图:
用户使用了错误的域
一、背景信息
设备基于域统一管理AAA配置信息(认证协议、授权协议、计费协议和认证服务器等),用户使用哪些AAA配置信息是由用户使用的域决定的。为保证用户能够使用预期的AAA配置信息,首先要保证用户使用正确的域。域分为强制域、用户自带域和默认域三大类,使用时有优先级顺序。
二、处理步骤
说明:
1、NAC配置模式分为统一模式和传统模式两种,不同模式下的故障处理方法有差异。故障处理前,请先执行命令display authentication mode确认NAC配置模式:
2、回显信息中显示Current authentication mode is unified-mode,表示当前为统一模式。
3、回显信息中显示Current authentication mode is common-mode,表示当前为传统模式。
三、统一模式下
用户使用域的优先级顺序如下:
1、认证模板下802.1X用户的强制域,通过命令access-domain domain-name dot1x force配置
2、认证模板下所有用户的强制域,通过命令access-domain domain-name force配置
3、用户自带域,由用户名携带,例如用户认证时输入的用户名为user1@huawei.com,设备配置的域名分隔符为@,则用户自带域为huawei.com
注:如果用户名中不携带域名或携带的域名不存在,用户将会在以下默认域中进行认证。
4、认证模板下802.1X用户的默认域,通过命令access-domain domain-name dot1x配置
5、认证模板下所有用户的默认域,通过命令access-domain domain-name force配置
6、全局默认域,系统视图下通过命令domain domain-name配置
依次检查认证模板下配置的强制域、默认域、用户自带域和全局默认域。并按照以上描述的域的优先级顺序,确定用户使用的域。找到用户使用的域后检查域内的AAA配置信息是否是预期的内容(例如是否是RADIUS认证、RADIUS服务器是不是要用的服务器等),如果是,则排除域配置错误的原因;如果不是,则需要修改域下的配置或重新指定域。
1、执行命令display authentication-profile configuration,确认认证模板下域的配置信息。
2、确认用户自带域,例如用户认证时输入的用户名为user1@huawei.com,设备配置的域名分隔符为@,则用户自带域为huawei.com。
3、执行命令display aaa configuration,确认全局默认域。
4、找到用户使用的域后,执行命令display domain name domain-name,确认该域下的AAA配置信息是否是预期的内容。
然后执行命令display authentication-scheme、display accounting-scheme、display radius-server configuration template确认配置是否正确。
四、传统模式下
用户使用域的优先级顺序如下:
1、802.1X用户认证接口下配置的域,通过命令dot1x domain domain-name配置。
2、用户自带域,由用户名携带,例如用户认证时输入的用户名为user1@huawei.com,设备配置的域名分隔符为@,则用户自带域为huawei.com
3、全局默认域,系统视图下通过命令domain domain-name配置
依次检查用户认证接口下配置的域、用户自带域和全局默认域。并按照以上描述的域的优先级顺序,确定用户使用的域。找到用户使用的域后检查域内的AAA配置信息是否是预期的内容(例如是否是RADIUS认证、RADIUS服务器是不是要用的服务器等),如果是,则排除域配置错误的原因;如果不是,则需要修改域下的配置或重新指定域。
先确认接口下是否指定了802.1X认证域,最后再确认全局默认域。可以执行以下步骤进行排查。
1、执行命令display current-configuration | include dot1x domain,确认802.1X用户认证接口下配置的域。
2、自带域、全局默认域和AAA配置的检查方法与统一模式下相同
如果在使用过程中,固态硬盘出现一些莫名奇妙的问题,则可能需要更新固件
点此下载英睿达Crucial Storage Executive应用软件 ,可以通过此软件手动或者自动更新固件
注:如果下载地址失效,请到英睿达官网下载
下载完成并安装 、运行,软件界面如下图:
如果在窗口右侧出现有“New Firmware Available”或者“新固件”字样,表示当前固态硬盘有新固件程序可以更新,没有的话,则表示当前固态硬盘固件程序已是最新版本,不需要更新
点击“固件更新”
1、自动更新————点击 Update Firmware Now或者“现在更新”,则在线更新固件
2、手动更新————–点击“选择文件”,选择完成后,在点击“立即更新固件”
RS-232C引脚说明
RS-485/RS-422输出信号及接线端子引脚说明
UT-503接口转换器支持以下二种通信方式
1、点到点/两线半双工
2、点到多点/两线半双工
转换器作为全双工或半双工接线时,为了防止信号的反射和干扰,需在线路的终端接一个匹配电阻 (参数为120欧姆1/4w )
通信连接示意图
1、RS-422点到点/四线全双工通信
2、RS-422点到多点/四线全双工通信
3、UT-503接口转换器之间全双工通信连接
4、RS-485点到点/两线半双工
5、RS-485点到多点/两线半双工
6、UT-503接口转换器之间半双工通信连接
RS-232C引脚说明
RS-485/RS-422输出信号及接线端子引脚说明
UT-218 接口转换器支持以下四种通信方式
1、点到点/四线全双工
2、点到多点/四线全双工
3、点到点/两线半双工
4、点到多点/两线半双工
转换器作为全双工或半双工接线时,为了防止信号的反射和干扰,需在线路的终端接一个匹配电阻 (参数为120欧姆1/4W)
通信连接示意图
1、RS-422点到点/四线全双工通信
2、RS-422点到多点/四线全双工通信
3、UT-218接口转换器之间全双工通信连接
4、RS-485点到点/两线半双工
5、RS-485点到多点/两线半双工
6、UT-218接口转换器之间半双工通信连接
RS-232C引脚说明
RS-485输出信号及接线端子引脚说明
UT-2216接口转换器支持以下两种通信方式
1、点到点/两线半双工
2、点到多点/两线半双工
转换器作为半双工接线时,为了防止信号的反射和干扰,需在线路的终端接一个匹配电阻 (参数为120欧姆1/4w )
通信连接示意图
1、RS-485点到点/两线半双工通信
2、RS-485点到多点/两线半双工通信
3、UT-2216接口转换器之间半双工通信连接
RS-232C引脚说明
RS-485/RS-422输出信号及接线端子引脚说明
UT-502接口转换器支持以下二种通信方式
1、点到点/两线半双工
2、点到多点/两线半双工
转换器作为半双工接线时,为了防止信号的反射和干扰,需在线路的终端接一个匹配电阻 (参数为120欧姆1/4w )
通信连接示意图
1、RS-485点到点/两线半双工通信
2、RS-485点到多点/两线半双工通信
3、UT-502接口转换器之间半双工通信连接,只须连接任何一组D1或D2
