锐捷S7910E 部分终端web重定向认证故障
关键字:
S7910E、web重定向、无流量下线 、dhcp续约时间
一、故障现象描述
三个认证用户可以正常获取到地址,但重启电脑和桥接的路由器登录网页都无法弹出portal 认证页面。影响用户认证上网。
网络拓扑图如下:
二、故障排查分析
-
S7910E设备上做流统分析,查看核心有收到终端(mac为6018.9553.5366)发的arp报文,但是核心未回复
-
查看设备快转信息,显示arp报文被arp spoofingg过滤丢弃了,arp spoofingg类型的丢弃其中原因有无流量下线的周期大于dhcp租约时间导致的丢弃。
-
核心交换机上配置的地址池租约时间为8小时,但是终端dhcp续约时间到期后就会重新获取到ip地址,但是由于无流量下线功能关闭了,故对应的用户认证表项(IP+mac)一直还在(不感知终端的表项变化),此时终端使用新获取的ip,核心交换机校验新IP+mac不匹配原来的表项就丢弃用户正常的arp报文,导致用户端无portal页面弹出,无法认证上网。
三、故障根因说明
关闭无流量下线功能后,导致终端dhcp续约时间到期重新获取到ip地址后,但是认证表象没有感知到终端地址变化,因此S7910E核心交换机会把用户发送的arp报文丢弃,导致无法推送认证页面给终端,从而影响用户使用。
关闭无流量下线功能背景:设备存在开启dot1x/web无流量下线功能,配置无流量下线时间,用户有流量的情况下,到达无流量配置的检测时间之后也会导致终端下线,影响正常在线用户的使用,因此只能关闭无流量下线功能临时规避此问题发生。
四、故障解决方案
应急恢复措施
针对故障终端,删除对应的mac表象,手动踢下线后可以临时恢复。
clear mac-address-table dynamic address XXXX.XXXX.XXXX
解决方案
建议现场升级S7900_RGOS 12.5(4)B0501P1T2版本,从本质上解决无流量异常下线问题。升级版本后,再打开无流量下线功能,并调整无流量下线时间为小于或等于dhcp租约时间即可。
default offline-detect //恢复认证用户在线检测至默认配置,默认8 小时无流量检测下线
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4091.html
文章版权归作者所有,未经允许请勿转载。
THE END
