华三交换机802.1x失败做mac地址认证

参考链接：https://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Switches/00-Public/Maintenance/Maintenance_Treasure/H3C-WHBD-Long/02/#_Toc177732934

18.3  MAC地址认证故障处理

18.3.1  MAC地址认证失败

1. 故障描述

MAC地址认证用户认证失败或认证异常。

2. 常见原因

本类故障的常见原因主要包括：

·     用户已通过其它认证方式上线。

·     全局或接口MAC地址认证功能未开启。

·     设备配置的认证方式与RADIUS服务器不一致。

·     MAC地址认证用户使用的认证域及相关配置错误。

·     RADIUS服务器无回应。

·     本地认证或RADIUS服务器认证拒绝。

·     授权属性下发失败。

·     用户MAC地址被设置为静默MAC。

·     MAC地址认证在线用户数达到最大值。

3. 故障分析

本类故障的诊断流程如图149所示。

图149 MAC地址认证用户认证失败的故障诊断流程图

4. 处理步骤

(1)     检查用户是否已通过其它认证方式上线。

当前端口默认的认证方式顺序为：802.1X认证->MAC地址认证->Web认证。

通过display dot1x connection命令查看当前MAC地址是否已经通过了802.1X认证成功上线。如果已经在线，请判断是否需要通过MAC地址认证重新上线，如果需要，则将相应的802.1X用户下线并关闭802.1X认证功能，然后再尝试进行MAC地址认证。

(2)     检查全局或接口MAC地址认证功能是否开启。

a.     执行display mac-authentication命令，如果提示“MAC authentication is not configured.”，表示全局MAC地址认证未开启，需要在系统视图下执行mac-authentication命令。

b.     执行display mac-authentication命令，如果有全局配置信息，无接口下的配置信息显示，则需要在用户认证的接口视图下执行mac-authentication命令。

(3)     检查设备上配置的认证方法与RADIUS服务器是否一致。

设备上MAC地址认证支持两种认证方法：CHAP和PAP。

执行dis mac-authentication命令查看“Authentication method”字段显示的当前MAC地址认证的认证方法与RADIUS服务器上配置的认证方法是否一致。如果不一致，则可以执行mac-authentication authentication-method命令修改设备上的配置。

(4)     检查认证域及相关是否配置错误。

端口上接入的MAC地址认证用户将按照如下先后顺序选择认证域：端口上指定的认证域 > 系统视图下指定的认证域 > 系统缺省的认证域。

a.     通过在设备上执行display mac-authentication命令查看系统和认证接口下是否配置了MAC地址认证用户使用的认证域。

<Sysname> display mac-authentication

 Global MAC authentication parameters:

   MAC authentication                  : Enabled

   Authentication method               : PAP

   Authentication domain                      : Not configured, use default domain

…

 GigabitEthernet1/0/1  is link-up

   MAC authentication                         : Enabled

   Carry User-IP                              : Disabled

   Authentication domain                      : Not configured

…

b.     如果认证接口下配置了MAC地址认证用户使用的认证域，请执行display domain命令检查认证域下的认证方案是否配置准确；如果认证接口下未配置认证域，而系统视图下配置了认证域，则同样通过display domain命令检查该认证域下的认证方案。

c.     如果认证接口和系统视图下都没有配置MAC地址认证用户使用的认证域，则检查缺省认证域的配置。

d.     如果不存在缺省认证域，若通过domain if-unknown命令配置了unknown域，则检查unknown域下的认证方案是否正确。

e.     如果根据以上原则决定的认证域在设备上都不存在，则用户无法完成认证。

(5)     检查RADIUS服务器有无响应。

请参见《AAA故障处理》的“RADIUS服务器无响应”进行故障定位和处理。

(6)     检查下线原因是否为认证拒绝。

a.     执行debugging mac-authetication event命令打开MAC地址认证事件调试开关：

-     若系统打印调试信息“Local authentication request was rejected.”，则表示本地认证拒绝。导致本地认证拒绝的原因有本地用户不存在、用户名密码错误、服务类型错误等。

-     若系统打印调试信息“The RADIUS server rejected the authentication request.”，则表示RADIUS服务器认证拒绝。服务器认证拒绝有多种原因，最常见的有服务器上未添加用户名、用户名格式不一致、用户名密码错误、RADIUS服务器授权策略无法匹配等。在设备上通过debugging radius error命令打开RADIUS错误调试信息开关查看相关的Debug信息，并且同时可以在设备上执行test-aaa命令发起RADIUS请求测试，定位故障问题后，调整服务器、设备及客户端配置。

b.     执行display aaa online-fail-record命令，通过显示信息里的Online failure reason字段确认认证失败原因，具体请参见《AAA故障处理》。

(7)     检查授权属性是否下发失败。

通过debugging mac-authentication event命令打开MAC地址认证事件调试开关。如果设备上打印了“Authorization failure.”的调试信息，则表示授权失败。

a.     检查设备的系统视图下是否通过port-security authorization-fail offline命令配置了授权失败用户下线功能。如果未配置授权失败用户下线功能，缺省情况下授权失败用户也可以保持在线，则用户不是因为授权失败而导致认证失败，继续定位其它可能原因。

b.     如果配置了授权失败用户下线功能，执行mac-authentication access-user log enable failed-login命令打开MAC地址认证上线失败日志功能，确认授权失败的属性有哪些（例如授权ACL、VLAN）。

c.     检查RADIUS服务器上的授权属性设置是否正确，确保服务器下发的授权属性内容准确。

d.     通过display acl或display vlan等命令查看设备上对应的授权属性是否存在，如果不存在，需要在设备上创建相应的授权属性，确保用户能够获取到授权的信息。

(8)     检查用户的MAC地址是否被设置为静默MAC。

执行display mac-authentication命令查看“Silent MAC users“字段显示的静默MAC信息。如果用户的MAC地址属于静默MAC，则需要等待静默时间老化后，才能再次进行MAC地址认证。用户可通过mac-authentication timer quiet命令重新配置静默时间。

(9)     检查MAC地址认证用户数是否达到了最大用户数限制。

a.     执行display mac-authentication查看认证接口下的信息，“Max online users”字段为该接口下配置的最大用户数，“Current online users”字段为接口下当前在线用户数，对比两组数据判断MAC地址认证在线用户数是否已经达到最大值。

b.     如果已经达到最大用户数，可以执行mac-authentication max-user命令增大最多允许同时接入的MAC地址认证用户数。

c.     如果MAC地址认证的在线用户数无法再增大，则需要等其他用户下线或切换用户的接入端口。

(10)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

¡     执行mac-authentication access-user log enable命令收集的日志信息。

¡     执行debugging mac-authentication all、debugging radius all命令收集的调试信息。

混合认证

https://www.h3c.com/cn/d_201908/1222091_30005_0.htm