锐捷1X认证成功后无法上网排查SOP
一、故障现象
用户使用802.1x认证成功之后,无法上网,用户客户端上显示认证成功。
二、组网拓扑
拓扑描述: PC通过接入、汇聚交换机连接到核心,PC的网关在核心上, 下联认证全部开在核心上
三、可能原因
-
用户只是显示认证成功,但是实际上用户表项没有安装到底层;
-
开启了IP授权,但是没有获取到地址;
-
用户只是1x认证通过,但是没有配置/获取到地址;
-
核心上有acl拦截了对应网段的流量;
-
外网不通/网关以外的设备异常;
-
认证服务器下发了动态acl,限制用户上网;
四、故障排查步骤
步骤一:检查认证用户的表项是否下发到底层
-
首先查看交换机上是否存在对应用户的1x认证表项及静态mac地址:show dot1x sum | in x.x.x用户的auth-state为authenticated;show mac add 用户的mac显示为other状态,否则检查认证问题
-
确认上层表项存在后,查看用户表项是否下发到底层:debug scc user查看是否存在对应mac的表项,如果不存在,则联系4008111000
步骤二:IP授权开启的情况下检查终端是否获取到地址
-
如果开启了IP授权(aaa authorization ip-auth-mode),则要求终端必须要获取到IP地址,如果没获取到地址,则检查地址获取问题。
-
如果获取到了IP地址,并且show dot1x sum中存在用户表项,则查看scc是否存在授权用户表项:debug scc user author,若没有,联系4008111000处理。
步骤三:检查用户是否获取到地址并且可以和网关通信
-
如果是静态地址,则检查本机配置的地址是否和网关在同一个网段并且是否可以ping通网关;如果是DHCP获取地址,检查本机是否获取到了正确的IP地址并且是否可以ping通网关。
-
若地址正确但是无法ping通网关,则通过检查终端到网关的环境问题。
步骤四:检查网关是否发出报文
-
终端上trace dns地址或者223.5.5.5,查看是否到网关后有下一跳。
-
若是到网关后就没有下一跳,则检查网关设备上是否有默认路由:show run | in ip route;show ip route检查是否有默认路由,如果没有则需要配置。
-
若默认路由准确无误,则检查设备上是否有acl拦截对应网段的上网流量
-
若路由正确,acl也没有拦截,则通过acl计数明确核心是否将流量发出,若发出流量,则检查下一跳设备及出口设备问题;若未发出,联系4008111000
步骤五:检查用户是否绑定了动态acl,绑定的acl是否放通上网流量
-
如果用户认证时,认证服务器有下发动态acl,且该acl没有放通上网流量,则用户也无法上网,可以通过show dot1x user mac/name/id查看用户是否关联了acl
五、信息收集
show dot1x user mac x.x.x
show mac add x.x.x
show dot1x sum
debug scc user
debug scc user bind
debug scc user author
debug scc user acl
debug scc user policy
debug scc portinfo
debug scc status
debug scc dump err
show mac
show arp
show cpu-protect sum
show run
show ver detail
show log
show ip route
show ip ref route
12x设备可以补充一键信息收集
六、总结与建议
-
认证成功后无法上网的,首先确认下是否交换机上表项是认证成功了,表项是否下发到底层
-
确认认证表项无误后,则先定界到是哪台设备的转发异常,再做进一步的排查
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4571.html
文章版权归作者所有,未经允许请勿转载。
THE END
