ACL资源不足导致H3C E152上用户认证失败的故障处理
实例
一、 组网:
无
二、 问题描述:
使用H3C E152+ CAMS F0211 做802.1X(有策略服务器),在PC首次认证时,使用带ACL下发的账号会出现认证失败“10:35:49 连接失败,请确保用户身份信息正确”
详细现象:
1、认证失败后交换机上没有在线用户,CAMS上没有在线用户。
2、debug Radius可以发现交换的RADIUS是交互正常的报文。CAMS上也没有用户的认证失败记录。
3、如果首次认证使用不带ACL下发的账号,则正常。 此后在使用带ACL的账号则可以正常使用。
4、 如果关机或禁用网卡,又会出现原来的问题(即带ACL的账号认证不成功)。
5、.交换机上修改 dot1x 为 pap chap eap 均一样。
三、 过程分析:
查看配置发现配置中不但配置了动态下发的acl,还启用了EAD快速部署功能。
E152的mask资源是每8个100M口共用9个mask资源
配置EAD快速部署后,如果端口收到未知源mac的报文,那么会在该端口下发下面6类ACL,占用6个或7个ACL rule,占用4个或5个mask,数量的差异与配置的free ip数量和掩码相关。认证通过后,这些ACL都会被删除,否则,这些ACL需要在一段时间后才老化,这个时间由 dot1x timer acl-timeout 命令控制,默认30分钟。启用EAD快速部署功能之后,交换机检测到未知mac时,会下发如下的几类ACL:
1、deny 特定源mac的所有报文
2、permit 特定源mac的arp报文
3、permit 特定源mac的802.1x报文 (与第2条共用mask)
4、permit 特定源mac的dhcp报文
5、redirect 特定源mac的http报文到cpu (与第4条共用mask)
6、permit 特定源ip去往free ip网段的IP报文(目前最多支持2个free ip,如果配置了2个free ip,则这里会占有2条rule,如果这2个free ip的掩码不同则占用2个mask,否则只占用1个mask)
在了解了上述原理之后,我们可以通过原理来解释我们遇到的现象:
首次使用不带ACL下发的帐号,不会下发ACL,此时mask资源足够,可以正常认证。而且此时mac地址已经学习到了,这时再次使用带ACL的认证,此时因为是已知MAC,所以不下发EAD快速部署占用的ACL,此时即便下发ACL,资源也是够的,所以可以成功认证。如果关机或者禁用网卡,交换机上MAC老化重新变为未知MAC又下发了EAD快速部署的规则占用了ACL资源,所以这个时候使用带ACL的用户来认证又出现了Acl资源不足的情况,所以认证就又失败。问题原因在于EAD快速部署和ACL同时下发导致acl资源不足,如果去掉EAD快速部署的话,这个问题是不会出现的。
四、 解决方法:
在要使用EAD快速部署时,建议优化ACL,尽量减少对mask资源的占用。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作