小编 S5700开启MAC认证优先后设备上报RADIUS authentication server is down!
问题描述
组网:
PC----C厂IP话机----S5700交换机------S厂认证服务器
PC安装802.1X客户端,在S厂认证服务器进行802.1X认证;S5700交换机GigabitEthernet0/0/4接C厂IP话机,交换机开启voice-vlan,对IP话机进行802.1X 旁路认证;对接时S5700上报RADIUS authentication server is down! 但是PC上网正常。IP话机注册不稳定。
端口及认证相关配置:
#
interface GigabitEthernet0/0/4
voice-vlan 131 enable
voice-vlan legacy enable
port hybrid pvid vlan 101
undo port hybrid vlan 1
port hybrid tagged vlan 131
port hybrid untagged vlan 101
stp edged-port enable
dot1x mac-bypass
dot1x mac-bypass mac-auth-first
#
mac-authen domain voice mac-address 0007-0000-0000 mask ffff-0000-0000
mac-authen domain voice mac-address a8b1-d400-0000 mask ffff-ff00-0000
mac-authen domain voice mac-address b4b0-0000-0000 mask ffff-0000-0000
mac-authen domain voice mac-address 001b-0000-0000 mask ffff-0000-0000
#
aaa
authentication-scheme default
authentication-scheme 802.1x
authentication-mode radius
authentication-scheme noauth
authentication-mode none
authorization-scheme default
accounting-scheme default
accounting-scheme noauth
accounting start-fail online
domain default
authentication-scheme 802.1x
radius-server 802.1x
domain default_admin
domain voice
authentication-scheme noauth
accounting-scheme noauth
domain huawei.com
local-user admin password cipher %@%@Yxe'TBBf_"w:u2,i/1S:/)"=%@%@
local-user admin service-type http
local-user usr password cipher %@%@4[j'+q&8!ESB^DJ\WBZW/)"G%@%@
local-user usr privilege level 3
local-user usr service-type terminal
PC----C厂IP话机----S5700交换机------S厂认证服务器
PC安装802.1X客户端,在S厂认证服务器进行802.1X认证;S5700交换机GigabitEthernet0/0/4接C厂IP话机,交换机开启voice-vlan,对IP话机进行802.1X 旁路认证;对接时S5700上报RADIUS authentication server is down! 但是PC上网正常。IP话机注册不稳定。
端口及认证相关配置:
#
interface GigabitEthernet0/0/4
voice-vlan 131 enable
voice-vlan legacy enable
port hybrid pvid vlan 101
undo port hybrid vlan 1
port hybrid tagged vlan 131
port hybrid untagged vlan 101
stp edged-port enable
dot1x mac-bypass
dot1x mac-bypass mac-auth-first
#
mac-authen domain voice mac-address 0007-0000-0000 mask ffff-0000-0000
mac-authen domain voice mac-address a8b1-d400-0000 mask ffff-ff00-0000
mac-authen domain voice mac-address b4b0-0000-0000 mask ffff-0000-0000
mac-authen domain voice mac-address 001b-0000-0000 mask ffff-0000-0000
#
aaa
authentication-scheme default
authentication-scheme 802.1x
authentication-mode radius
authentication-scheme noauth
authentication-mode none
authorization-scheme default
accounting-scheme default
accounting-scheme noauth
accounting start-fail online
domain default
authentication-scheme 802.1x
radius-server 802.1x
domain default_admin
domain voice
authentication-scheme noauth
accounting-scheme noauth
domain huawei.com
local-user admin password cipher %@%@Yxe'TBBf_"w:u2,i/1S:/)"=%@%@
local-user admin service-type http
local-user usr password cipher %@%@4[j'+q&8!ESB^DJ\WBZW/)"G%@%@
local-user usr privilege level 3
local-user usr service-type terminal
告警信息
Jul 31 2014 14:36:24+08:00 HZIDF-5F2 %%01RDS/4/RDAUTHDOWN(l)[13]:RADIUS authentication server ( IP: Vpn-Instance: -- ) is down!
Jul 31 2014 14:34:54+08:00 HZIDF-5F2 %%01RDS/4/RDAUTHDOWN(l)[14]:RADIUS authentication server ( IP: Vpn-Instance: -- ) is down!
Jul 31 2014 14:33:23+08:00 HZIDF-5F2 %%01RDS/4/RDAUTHDOWN(l)[15]:RADIUS authentication server ( IP: Vpn-Instance: -- ) is down!
Jul 31 2014 14:31:53+08:00 HZIDF-5F2 %%01RDS/4/RDAUTHDOWN(l)[16]:RADIUS authentication server ( IP: Vpn-Instance: -- ) is down!
Jul 31 2014 14:34:54+08:00 HZIDF-5F2 %%01RDS/4/RDAUTHDOWN(l)[14]:RADIUS authentication server ( IP: Vpn-Instance: -- ) is down!
Jul 31 2014 14:33:23+08:00 HZIDF-5F2 %%01RDS/4/RDAUTHDOWN(l)[15]:RADIUS authentication server ( IP: Vpn-Instance: -- ) is down!
Jul 31 2014 14:31:53+08:00 HZIDF-5F2 %%01RDS/4/RDAUTHDOWN(l)[16]:RADIUS authentication server ( IP: Vpn-Instance: -- ) is down!
处理过程
交换机上报RADIUS authentication server is down可能原因有:
1)交换机到认证服务器路由不可达;
2)认证服务器配置有问题;
3)交换机和认证服务器报文交互时某些属性不兼容;
针对可能原因逐步排查:
1)在交换机上ping 赛门铁克认证服务器,能ping通,说明路由可达;
2)只有PC到认证服务器去认证,现场PC能正常通过认证且上网正常,说明认证服务器802.1X认证相关配置没有问题;
3)分析交换机配置,PC 802.1X认证通过,说明802.1X认证配置没有问题,但看到端口有dot1x mac-bypass mac-auth-first
配置,作用为接口优先使用终端的MAC地址信息进行MAC认证,若认证失败则触发802.1x认证,问题很可能出现在MAC优先认证上。进行debug radius 和mac认证报文,发现交换机对PC优先进行了MAC认证,并将认证报文发给赛门铁克认证服务器,认证服务器没有回应,交换机认为认证服务器不可用,上报RADIUS authentication server is down。MAC认证失败后转802.1X认证成功,所以PC上网正常。和赛门铁克确认,现网认证服务器不支持MAC认证。将交换机侧dot1x mac-bypass mac-auth-first配置去掉后问题解决。
补充:
现网将dot1x mac-bypass mac-auth-first去掉后,交换机不再上报RADIUS authentication server is down,问题解决。但又出现思科IP换机运行不稳定,或长时间注册不上,话机显示“未注册”。分析原因为交换机默认会对mac-authen用户进行 arp detect,如果arp交互异常,则认为用户认证异常,强制下线。原来配置dot1x mac-bypass mac-auth-first,即MAC优先快速认证,重认证时间小于探测时间,即使探测失败又回进行快速重认证,IP话机感知不到。去掉MAC优先认证后,交换机发送arp探测报文探测在线用户,由于IP换机所在vlan为voice vlan,没有起三层地址,交换机发探测ARP报文封装的源IP地址为255.255.255.255,思科IP话机收到ARP报文后看到源IP是255.255.255.255,认为不合法,没有响应,导致探测失败,认证异常。在交换机上配置ARP探测的源IP为单播IP问题解决:access-user arp-detect vlan 131 ip-address x.x.x.x mac-address H-H-H
1)交换机到认证服务器路由不可达;
2)认证服务器配置有问题;
3)交换机和认证服务器报文交互时某些属性不兼容;
针对可能原因逐步排查:
1)在交换机上ping 赛门铁克认证服务器,能ping通,说明路由可达;
2)只有PC到认证服务器去认证,现场PC能正常通过认证且上网正常,说明认证服务器802.1X认证相关配置没有问题;
3)分析交换机配置,PC 802.1X认证通过,说明802.1X认证配置没有问题,但看到端口有dot1x mac-bypass mac-auth-first
配置,作用为接口优先使用终端的MAC地址信息进行MAC认证,若认证失败则触发802.1x认证,问题很可能出现在MAC优先认证上。进行debug radius 和mac认证报文,发现交换机对PC优先进行了MAC认证,并将认证报文发给赛门铁克认证服务器,认证服务器没有回应,交换机认为认证服务器不可用,上报RADIUS authentication server is down。MAC认证失败后转802.1X认证成功,所以PC上网正常。和赛门铁克确认,现网认证服务器不支持MAC认证。将交换机侧dot1x mac-bypass mac-auth-first配置去掉后问题解决。
补充:
现网将dot1x mac-bypass mac-auth-first去掉后,交换机不再上报RADIUS authentication server is down,问题解决。但又出现思科IP换机运行不稳定,或长时间注册不上,话机显示“未注册”。分析原因为交换机默认会对mac-authen用户进行 arp detect,如果arp交互异常,则认为用户认证异常,强制下线。原来配置dot1x mac-bypass mac-auth-first,即MAC优先快速认证,重认证时间小于探测时间,即使探测失败又回进行快速重认证,IP话机感知不到。去掉MAC优先认证后,交换机发送arp探测报文探测在线用户,由于IP换机所在vlan为voice vlan,没有起三层地址,交换机发探测ARP报文封装的源IP地址为255.255.255.255,思科IP话机收到ARP报文后看到源IP是255.255.255.255,认为不合法,没有响应,导致探测失败,认证异常。在交换机上配置ARP探测的源IP为单播IP问题解决:access-user arp-detect vlan 131 ip-address x.x.x.x mac-address H-H-H
根因
交换机端口接IP话机,IP换机下接PC,由于PC开启802.1X认证,话机不能安装802.1X客户端,需要在交换机端口开启dot1x mac-bypass。为了IP话机快速通过认证,同时开启了dot1x mac-bypass mac-auth-first,但同时导致802.1X认证的PC也先进行MAC认证,由于现网赛门铁克认证服务器不支持MAC认证,导致交换机和认证服务器报文交互异常,交换机认为认证服务器不可用,上报RADIUS authentication server ( IP: Vpn-Instance: -- ) is down
解决方案
将dot1x mac-bypass mac-auth-first 关闭,同时配置arp探测源IP为和终端路由可达的单播IP地址。
建议与总结
1、IP话机下接PC如果开启802.1X认证,由于IP换机不支持安装802.1X客户端,需要在接IP换机端口开启旁路认证;
2、和第三方认证服务器对接时,如果对接失败,建议进行抓包或者同时进行debugging cm、debugging radius all 、debugging aaa all、debugging dot1x all等找到根本原因。
2、和第三方认证服务器对接时,如果对接失败,建议进行抓包或者同时进行debugging cm、debugging radius all 、debugging aaa all、debugging dot1x all等找到根本原因。
1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » S5700开启MAC认证优先后设备上报RADIUS authentication server is down!
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » S5700开启MAC认证优先后设备上报RADIUS authentication server is down!
作者: 小编
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm