ACL资源不足导致H3C E152上用户认证失败的故障处理实例

ACL资源不足导致H3C E152上用户认证失败的故障处理

实例

一、       组网：

 无

二、       问题描述：

使用H3C E152+ CAMS F0211 做802.1X（有策略服务器），在PC首次认证时，使用带ACL下发的账号会出现认证失败“10:35:49 连接失败，请确保用户身份信息正确”

详细现象：

1、认证失败后交换机上没有在线用户，CAMS上没有在线用户。

2、debug Radius可以发现交换的RADIUS是交互正常的报文。CAMS上也没有用户的认证失败记录。

3、如果首次认证使用不带ACL下发的账号，则正常。 此后在使用带ACL的账号则可以正常使用。

4、 如果关机或禁用网卡，又会出现原来的问题（即带ACL的账号认证不成功）。

5、.交换机上修改 dot1x 为 pap chap eap 均一样。

三、       过程分析：

查看配置发现配置中不但配置了动态下发的acl，还启用了EAD快速部署功能。

E152的mask资源是每8个100M口共用9个mask资源

配置EAD快速部署后，如果端口收到未知源mac的报文，那么会在该端口下发下面6类ACL，占用6个或7个ACL rule，占用4个或5个mask，数量的差异与配置的free ip数量和掩码相关。认证通过后，这些ACL都会被删除，否则，这些ACL需要在一段时间后才老化，这个时间由 dot1x timer acl-timeout 命令控制，默认30分钟。启用EAD快速部署功能之后，交换机检测到未知mac时，会下发如下的几类ACL:

1、deny 特定源mac的所有报文

2、permit 特定源mac的arp报文

3、permit 特定源mac的802.1x报文 （与第2条共用mask）

4、permit 特定源mac的dhcp报文

5、redirect 特定源mac的http报文到cpu （与第4条共用mask）

6、permit 特定源ip去往free ip网段的IP报文（目前最多支持2个free ip，如果配置了2个free ip，则这里会占有2条rule，如果这2个free ip的掩码不同则占用2个mask，否则只占用1个mask）

在了解了上述原理之后，我们可以通过原理来解释我们遇到的现象:

首次使用不带ACL下发的帐号，不会下发ACL，此时mask资源足够，可以正常认证。而且此时mac地址已经学习到了，这时再次使用带ACL的认证，此时因为是已知MAC,所以不下发EAD快速部署占用的ACL，此时即便下发ACL，资源也是够的，所以可以成功认证。如果关机或者禁用网卡，交换机上MAC老化重新变为未知MAC又下发了EAD快速部署的规则占用了ACL资源，所以这个时候使用带ACL的用户来认证又出现了Acl资源不足的情况，所以认证就又失败。问题原因在于EAD快速部署和ACL同时下发导致acl资源不足，如果去掉EAD快速部署的话，这个问题是不会出现的。

四、       解决方法：

在要使用EAD快速部署时，建议优化ACL，尽量减少对mask资源的占用。