用户信息客户端发送_S5700交换机用户业务VLAN不通导致用户dot1x认证失败

最新推荐文章于 2023-10-25 09:24:32 发布
最新推荐文章于 2023-10-25 09:24:32 发布
阅读量338 收藏 1
点赞数
文章标签: 用户信息客户端发送

问题描述

如图所示,Switch_1和Switch_2为S5700交换机,配置802.1x认证与城市热点认证服务器联动,有用户反馈在接入交换机Switch_1下使用http://Dr.COM认证客户端进行802.1x认证成功,但在接入交换机Switch_2下使用http://Dr.COM认证客户端进行802.1x认证失败,提示:获取用户属性超时!请检查防火墙配置允许UDP61440端口!
组网拓扑略图:

2aec9b6b21b541d2e9fe81f0fd3b0623.png

Switch_2的主要配置如下:
#
vlan batch 888 2172
#
domain huawei
#
dot1x enable
dot1x authentication-method eap
#
undo nap slave enable
#
radius-server template rd1
radius-server authentication 172.16.192.111 1812 weight 80
radius-server accounting 172.16.192.111 1813 weight 80
radius-server retransmit 2
undo radius-server user-name domain-included
#
vlan 888
description manage
#
......
domain huawei
authentication-scheme auth
accounting-scheme abc
radius-server rd1
#
interface Vlanif888
ip address 172.18.7.23 255.255.255.0
#
interface GigabitEthernet0/0/1 //交换机上行端口
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
......
#
interface GigabitEthernet0/0/48 //http://Dr.COM认证客户端接入端口
port link-type access
port default vlan 2172
dot1x enable
#

处理过程步骤 1 检查http://Dr.COM认证客户端是否异常
将认证失败的http://Dr.COM认证客户端接入交换机Switch_1,使用http://Dr.COM认证客户端接入认证成功,排除http://Dr.COM认证客户端导致802.1x认证失败。步骤 2 检查Switch_2上的配置是否正确
与Switch_1的配置相比较,Switch_2上除管理VLAN不一致,其余配置均相同,而且版本及补丁均一致,排除Switch_2的配置、版本导致802.1x认证失败。步骤 3 获取http://Dr.COM认证客户端与Switch_1和Switch_2的交互报文进行分析
在http://Dr.COM认证客户端上配置固定IP地址,然后在Switch_1和Switch_2上获取报文分析

  • 与Switch_1认证成功交互报文:

5f7082d2844ffa1455c3108e06eb2df9.png

与Switch_2认证失败交互报文:

91bbc43bf0cdfb2d9dac6f39de7d8678.png

对比两个认证报文分析:
1、http://Dr.COM认证客户端与Switch_1和Switch_2进行802.1x EAP认证均交互成功。
2、Switch_2接入http://Dr.COM认证客户端因一直未学习到网关ARP,未向服务器发送UDP 61440的用户属性控制报文,获取服务器认证授权。
3、待http://Dr.COM认证客户端认证超时后,http://Dr.COM认证客户端向设备发送了EAPOL-Logoff离线的报文,设备端把端口状态从授权状态改变成未授权状态,并向http://Dr.COM认证客户端发送EAP-Failure报文,所以http://Dr.COM认证客户端显示认证失败,并提示相关报错信息:获取用户属性超时!请检查防火墙配置允许UDP61440端口!步骤 4 检查Switch_2下http://Dr.COM认证客户端为什么无法学习到网关ARPhttp://Dr.COM认证客户端无法学习到网关ARP,可能原因如下:
1、ARP报文因网络故障、CPCAR不合理等学习异常。
2、用户业务VLAN与汇聚交换机二层不通。
在http://Dr.COM认证客户端的网关设备使用display mac-address命令无法查询到http://Dr.COM认证客户端接入MAC地址。
<Quidway>display mac-address 0021-ccc0-761f
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
Total items displayed = 0
从显示信息可以确认网关是没有学习到http://Dr.COM认证客户端接入MAC地址,导致用户业务VLAN与汇聚交换机二层不通。
然后,核实了解到实际网络中接入交换机与汇聚交换机级联了多台交换机。所以通过查询用户终端MAC信息方式逐层排查交换机客户端PC MAC学习情况,在其中一台级联交换机上可正常学习到客户端PC MAC地址。排查此级联交换机与上层交换机互连端口配置,发现该上层交换机未透传用户业务VLAN 2172,配置透传相关业务VLAN后问题解决。

根因
用户业务VLAN接入交换机至汇聚交换机二层不通导致用户认证客户端802.1x认证失败。

解决方案
将接入交换机与汇聚交换机互连链路接口均配置透传相关业务VLAN。

建议与总结
从正常认证报文可以看出用户认证业务完整的交互过程。客户端PC在EAP认证交互完成后,客户端PC会主动向服务器发送UDP 61440的用户属性控制报文(三层数据转发需要由主机网关设备转发数据),待服务器正确响应授权后客户端PC才会显示认证成功。但存在问题的交换机,在客户端PC与交换机EAP交互完成后一直没有学习到网关ARP信息,无法向服务器发送UDP 61440的用户属性控制报文,导致http://Dr.COM认证客户端认证超时后主动发送了EAPOL-Logoff离线报文。
因此,对于802.1x认证不成功问题可先在客户端PC和服务器端同时分析认证报文流程,确认是否是设备侧原因导致,还是客户端、服务器或其它原因导致。如过确认为设备侧原因导致,可在设备侧打开EAPOL、AAA、RADIUS等各个模块的调试开关,跟踪认证流程,看在哪个模块处理出错。
用户视图下执行以下命令:
 terminal monitor
 terminal debugging
 EAPOL:debugging dot1x all、debugging dot1x packet
 RADIUS::debugging radius packet
 AAA:debugging aaa all

weixin_39967812
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为S5700怎么划分VLANS5700交换机配置VLAN的方法
10-01
下面我们将详细介绍如何在华为S5700交换机上配置VLAN。 首先,进入配置模式是配置VLAN的第一步。通过在命令行界面输入`<Huawei>system-view`,我们可以进入交换机的系统视图。在这个模式下,我们可以执行一系列高级...
华为交换设备-企业网络冗余设计-配置
qq_42966610的博客
04-12 1024
华为、华三、思科模拟器会分享给大家,方便大家一起学习。步骤一Vlan、Trunk、Eth-Trunk配置。步骤四BFD与VRRP联动配置。步骤二 MSTP配置。
等保基线核查——交换机
最新发布
weixin_43965325的博客
10-25 2750
交换机基线核查常用命令行
华为S5700系列交换机配置
qq_38508040的博客
06-22 3970
华为S5700系列交换机配置 vlan ba 9 11 93 //批量创建vlan int vlan 93 //进入三层接口 ip add 10.93.1.115 24 //配置三层网关地址 des maneger_network //接口描述 qu ip route-static 0.0.0.0 0.0.0.0 10.93.1.1 //增加默认路由 stelnet server enable //开启SSH服务 ss
华为 S5720 配置
热门推荐
tan88881111的博客
10-18 1万+
vlan batch 10 to 11 16 20 22 24 30 # telnet server enable # dhcp enable # diffserv domain default # acl number 3000  description vlan6  rule 10 permit ip source 192.168.0.0 0.0.0.255 destination 192.1...
管理vlan不通_VLAN的基本原理和网络划分
weixin_31764905的博客
01-08 1491
大家知道,交换机会把广播报文和未知单播报文从所有端口转发出去,这就是广播。一般交换机发送很多广播报文,如果按照上面的处理方法,势必会影响整个网络的通信。VLAN就是为了划分广播域而产生的。划分VLAN之后,广播只在一个VLAN内进行,这就大大减少了广播报文对网络性能的影响。但是VLAN在实际环境中,尤其在企业级环境中,不可能只是使用一台交换机,而是多台交换机共同作用。每台交换机都划分VLAN,且...
HCIE-Security_备考指南——DHCP_Snooping(S5700交换机)1
08-03
5. **配置DHCP Snooping 用户数限制**:通过`dhcp snooping user-limit`命令,可以设置每个接口或VLAN上允许的最大DHCP用户数,超出限制则拒绝新的请求。 以上配置和功能的组合使用,能够有效地提升S5700交换机在...
华为S5700交换机绑定客户端IP、MAC和端口[定义].pdf
10-13
华为S5700交换机绑定客户端IP、MAC和端口定义 华为S5700交换机绑定客户端IP、MAC和端口是指将客户端的IP地址、MAC地址和端口绑定到一起,以便更好地管理和控制网络流量。在这个过程中,我们可以使用am user-bind...
华为s5700交换机vlan设置[整理].pdf
10-13
华为 S5700 交换机 VLAN 设置 华为 S5700 交换机 VLAN 设置是软件网络技术中的一种重要配置。通过本文,读者可以了解华为 S5700 交换机 VLAN 设置的基本概念、配置步骤和相关命令。 基本概念 VLAN(Virtual Local...
华为交换机典型配置举例
09-12
华为交换机典型配置举例,可以根据实际的举例去理解命令和配置过程。
交换机基本原理与配置
qq_54235967的博客
07-05 497
的设备会回包,其余接口的设备会丢弃,回复方PC2也会发送一个数据帧,内容:源mac地址22-22-22 目的mac地址11-11-11。dis int Ethernet x/x/x 或GigabitEthernet x/x/x //查看接口详细信息,包括状态、mac地址等。display startup ///交换机上电时,从默认存储路径中读取配置文件进行交换机的初始化操作,因此该配置文件中的配置称为初始配置。display version //查看版本号 dis ver。
CCNP之802.1x实验案例
weixin_33849215的博客
11-08 612
实验要求: VLAN4终端及外部Web Server使用路由器模拟,ACS Server使用一台2003 Server,Laptop使用任意笔记本(需开启EAP服务),各节点地址见拓扑,各VLAN网关为本网段的最后一个可用地址,请按拓扑要求选择设备,尽量使用固定拓扑连接。 1、 Catalyst 3560实现VLAN间路由(共4个VLAN),并做为DHCP服务器...
exsp同一网段不同vlan能ping通吗_VLAN知识点整理之vlan划分篇
weixin_39571749的博客
11-30 373
经过前一篇的vlan基础篇的介绍,大家对vlan有了初步的认识。vlan在生成环境中应用比较普通,所以,学习如何划分vlan是非常重要的。VLAN划分的方式:基于接口划分VLAN: 根据交换机接口分配VLAN ID。配置简单,可以用于各种场景。基于MAC划分VLAN: 根据报文的源MAC地址分配VLAN ID。经常用在用户位置变化,不需要重新配置VLAN的场景。基于子网划分VLAN: 根据报文的源...
VLAN无法互通的问题解决
autofei的专栏
06-19 4189
 在5600上划分了几个vlan,但是始终无法互通。vlan配置的IP为172.29.0.0的B类地址。如vlan1为172.29.51.0,vlan2为172.29.52.0,子网掩码设置为255.255.0.0,标准的B类掩码。问题就在这里了,掩码错误。因该设置为255.255.255.0。为什么呢?因为255.255.0.0会使vlan1和vlan2认为是同一子网,从而采取广播而不是路由,但
access h3c交换机光口_H3C交换机常用配置命令转载
weixin_39747721的博客
12-21 909
一.用户配置:system-view[H3C]super password H3C 设置用户分级密码[H3C]undo super password 删除用户分级密码[H3C]localuser bigheap 123456 1 Web网管用户设置,1(缺省)为管理级用户,缺省admin,admin[H3C]undo localuser bigheap 删除Web网...
802.1x认证失败配置(guest vlan
夜邢的博客
07-23 2175
802.1x认证前域配置(guest vlan) 华三802.1x认证guest vlan 华为802.1x认证前域配置(guest vlan
aaa dot1x (cisco)
weixin_33798152的博客
05-28 803
aaa new-model                                  全局开启AAA服务 aaa authentication login noacs none            定义认证保护策略 aaa authentication dot1x default group radius 定义dot1x认证策略 aaa authorization exec noa...
报错分享:port trunk allow-pass vlan 10 20
武师叔的博客
10-04 3725
命令参考上面把接口改为access的命令。(灵感来源:百度回答)
ping 不通 华为三层交换机vlan_s5700配置vlanif后不能ping通不能up
06-10
这可能是因为您配置的 VLANIF 接口没有正确设置 IP 地址或者没有开启接口。您可以按照以下步骤进行排查: 1. 确认 VLANIF 接口已经正确地绑定到了对应的 VLAN 上,可以使用命令 `display vlan vlan-id` 查看 VLAN 配置信息。 2. 确认 VLANIF 接口已经正确地设置了 IP 地址,可以使用命令 `display interface vlanif vlan-id` 查看 VLANIF 接口的设置信息。注意,IP 地址必须要在同一网段内,才能够被正确地通信。 3. 确认 VLANIF 接口已经开启了,可以使用命令 `display interface vlanif vlan-id` 查看 VLANIF 接口的状态信息。如果状态为 DOWN,则需要手动将其 UP。 如果以上步骤都已经确认无误,但是仍然无法 ping 通,可以尝试检查交换机的防火墙配置,或者检查主机的防火墙设置,以确定是否存在防火墙阻挡的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值