S5700SI (V2R1C00SPC300)做802.1X MAC旁路认证经常容易掉线

发布时间:  2016-12-22 浏览次数:  443 下载次数:  3
问题描述

radius----核心----S5700SI ---pc

S5700配置802.1X功能,对于一些无法安装认证客户端的终端启用mac旁路认证,但是反馈这些终端每隔几分钟就掉一次线

配置见附件
拓扑如下:

处理过程

对于此问题找了两台电脑进行测试:

1、172.XX.XX.56这台交换机目前只连接了2台计算机,一台IP是172.XX.XX.16(win7系统),另一台IP是172.XX.XX.43(XP系统) ,网关在S9306上。

2、管理电脑连接在另外一台接入层交换机上,此台S5700SI交换机做MAC旁路认证,通过ping包,发现172.XX.XX.16这台每隔几分钟就丢8个包,172.XX.XX.43这台一直可以ping通 。

3、Radius服务器(10.XX.XX.48)是直接连接在核心交换机上的


ping测试截图如下:

cid:_Foxmail.1@D9F6DC98-C92F-42CC-85D4-C7C14B73D90F


从ping测试结果看,是很有规律的丢包,怀疑出现问题的时候终端掉线了,然后重新认证又再次上线,当设备再次探测失败后,终端再次掉线,此时就会出现ping有规律的丢包现象,具体可以通过dis  aaa offline-record  mac H-H-H 查看掉线记录
出现异常掉线的终端所在的交换机S5700SI版本是V2R1,其中内网有一台是老版本S5700SI (V1R5)下的终端认证都没有问题(不管是WIN7、WINXP、乌班图),只要将WIN7或乌班图放置到V2R1的交换机上就会出现此类情况,一会儿掉线,一会儿上线。 因此怀疑这是和版本有关。

接着在出问题设备上进行镜像抓包:

发现设备发的探测报文(ARP-Request报文)源IP默认为255.255.255.255,而终端并没有回应

经过确认得知:

原因是用户上线时设备会进行周期性探测(探测周期默认为5分钟),在探测周期内设备收不到用户的探测应答报文(ARP-Response报文),则认证用户已不在线,将用户下线,下线原因显示为探测下线。
对物理口上未起三层IP情况下,设备发的探测报文(ARP-Request报文)源IP默认为255.255.255.255,在些终端不对该种类型的ARP报文不作回应,导致探测失败。

根因

此版本设备对物理口上未起三层IP情况下,设备发的探测报文(ARP-Request报文)源IP默认为255.255.255.255,在些终端不对该种类型的ARP报文不作回应,导致探测失败。

解决方案

1、通过在物理口上起vlanif,在vlanif配置IP,此时探测报文的源IP将为vlanif口的IP。(注:该方案客户环境已验证OK)

如下配置:给连接终端的接口对应vlanif 配置一个ip地址

interface Vlanif30
ip address 172.18.xx.xx 255.255.255.0

interface GigabitEthernet0/0/1
port link-type access
port default vlan 30
dot1x mac-bypass

dot1x max-user 200

2、用access-user arp-detect vlan命令指定探测的源IP和源MAC。(注:该命令在V2R3之后版本才支持,当前版本是V2R1,需要升级后才支持该命令)

建议与总结

这个问题虽然和设备特性有一定关系,但是出现类似现象的时候可以参考下此案例,另外增加一些此类认证问题采集信息方法

采集下trace信息和用户下线原因,在线用户较少且CPU较低的话也采集下debug信息
PS:对于认证类问题如果允许,采集以上信息。

1、采集trace信息命令
打开trace(系统视图):
[huawei]trace object mac H-H-H
[huawei]trace enable

关闭trace(系统视图):
[huawei]undo trace enable

2、查看用户下线失败原因命令(诊断视图、用户视图和系统视图都执行下):
dis  aaa online-fail-record mac H-H-H
dis  aaa abnormal-offline-record mac H-H-H
dis  aaa offline-record  mac H-H-H

3、debug信息(PS: 在线用户较少且CPU较低的时才可以打开debug开关,否则debug命令会对设备影响较大,根据情况也可以选择打开部分开关)
打开debug开关(用户视图):
<huawei>deb web all
<huawei>deb cm all
<huawei>undo deb cm timer
<huawei>deb aaa all
<huawei>deb radius all
<huawei>deb tm all
<huawei>deb sam all <slot-id>
<huawei>undo deb sam syn <slot-id>
<huawei>t  m
<huawei>t  d
<huawei>d  t  0

收集完后关闭debug(用户视图):
<huawei>u  t  m
<huawei>undo deb all

END