Print

ADCampus因重复认证导致认证失败

组网及说明

ADcampus标准组网

问题描述

认证服务器上因每个终端均收到两个认证报文导致重复认证失败。

过程分析

1. 现网终端不能上线的直接原因为EIA收到双份的认证报文,EIA对第一份认证报文返回成功,对第二份认证报文返回失败。 Leaf设备收到两次回复后,根据最后收到的EIA回复报文,认为终端认证失败。

 2. 在spine上做流统,当leaf ping EIA时,发现Spine入方向收到5个icmp报文,但是在Spine上行口(连接EIA)却转发出去10个icmp报文。双份报文是由Spine设备发出的。 查看Spine入方向配置,发现有配置远程镜像,反射vlan为11。 

3.在spine设备上配置了int vlan11三层虚接口,导致通过镜像复制的报文,在spine上执行三层转发。leaf发送的认证报文通过SPINE转发给EIA的同时,也被镜像一份报文再通过SPINE查路由转发给EIA,出现了一个终端的认证报文重复发现给认证服务器EIA,因而在认证服务器上出现重复认证下线的现象。

解决方法

删除远程镜像的配置恢复。