03 步骤2、通过客户端提示、交换机Log、Radius日志信息判断故障点

步骤2、 通过客户端提示、交换机Log、Radius日志信息判断故障点

对于1X认证涉及多个组件（客户端、NAS(network access server)交换机、Radius服务器），所以需要通过分析完整的Log信息，才可以判断故障点。 通常我司的SU、Radius(SAM、SMP)对认证的情况会输出较为详细的Log或日志提示，结合SU及服务器日志信息可以清楚的定位故障原因。

步骤2.1：典型的SU客户端提示认证失败的现像及产生的原因分析：

2.1.1 寻找认证服务器

a.NAS没有收到EAPoL Start报文

原因：Su认证网卡选择错误、Su发出的EAPoL-Start报文被防火墙软件过滤了、Su与NAS连通性问题（网络断路或报文过滤）

b.NAS收到了EAPoL Start报文，但没有回应

原因：NAS没有配置认证、NAS收到EAPoL-Start的端口没有开启认证

c.Su没有收到EAP-Request报文

 原因：NAS发出的EAP-Request报文被中途网络设备过滤了

2.1.2 连接认证服务器

a.SAM没有收到Access-Request

原因：NAS中SAM服务器地址错误、NAS与SAM连通性问题（网络断路或报文过滤）、SAM服务器开启了防火墙

b.SAM一直没有回应Access-Challenge

原因：SAM中没有添加该设备（服务管理器与系统日志中提示）

c.SAM直接回应Access-Reject

原因：NAS验证字与SAM配置不符（认证日志中提示）

2.1.3 认证失败 

可能的故障原因在服务器认证日志内记录如下：

a.用户名或密码错误

b.已达到同时在线用户数量上限

c.信息校验错误（IP、MAC、NAS IP、NAS PORT、IP地址类型）

d.账户处于欠费状态

e.不在认证时段内

f.客户端版本过低

g.客户端完整性被破坏

h.该服务不存在

i.本日内不能使用该公有服务

j.不能使用地区受限服务

k.用户处于黑名单中

步骤2.2：若初步判定为Radius服务器问题时，请参考软件类产品故障处理技术规范寻找处理办法。

步骤2.3：交换机认证失败的情况Syslog提示说明:

1)  AAA-7-FAILOVER-Failing: over from dot1x for client [user-mac] on Interface [interface-name].

 AAA-7-NOMOREMETHODS: Exhausted all authentication methods for client %s[user-mac] on Interface [interface-name].

 原因：该log是在服务器不响应认证请求报文的情况下打印的,因此,认证时查看如果看到设备上打印这两句log,说明是服务器端没有响应报文;

2)  radius]find first srv fail.

原因：认证时debug radius event打印这句log时,说明认证用户所用的认证方法列表中的服务器组中没有配置服务器,这个时候需要确认配置,是否应用错方法列表了;

3)  pkt vid [vlan-id] mac [user-mac] ifx [interface-index]

原因：认证时debug dot1x packet打印了这句log,说明设备收到了认证报文.在认证口镜像报文有到设备,但是设备不响应认证报文的情况,设备上开启这个debug,可以查看报文是否有送到1x认证模块,如果没有,说明底层收包流程有问题;

4) source mac [nas-mac1], switch real mac [nas-mac2].

原因：[nas-mac1]:交换机发送eapol报文给客户端实际使用的source-mac；[nas-mac2]:是指交换机的实际mac地址；该log的开关是debug dot1x packet，交换机有发送eapol报文到客户端。这个可以作为客户端不响应认证报文的简单依据,如果有打印这个log,说明交换机有发认证报文给客户端,但是客户端没有发EAP Response报文给交换机，下图是具体的交互过程。

【客户端没有回应的具体报文案例】：

*Sep  6 14:51:25: %7: D1X-7-EVENT:send eap packet: eap length 5

*Sep  6 14:51:25: %7: D1X-7-PKT:source mac 001a.a917.ffff, switch real mac 1414.4b5b.b160.

*Sep  6 14:51:25: %7: D1X-7-EVENT:authen state: Connecting

*Sep  6 14:51:25: %7: D1X-7-EVENT:authen state: Connecting

*Sep  6 14:51:26: %7: D1X-7-EVENT:Auto-Req Arrival ifx 1

*Sep  6 14:51:26: %7: D1X-7-EVENT:auto-req send permit

*Sep  6 14:51:26: %7: D1X-7-EVENT:send eap packet: eap length 5

*Sep  6 14:51:26: %7: D1X-7-PKT:source mac 001a.a917.ffff, switch real mac 1414.4b5b.b160.

*Sep  6 14:51:28: %7: D1X-7-EVENT:authen state: Connecting

*Sep  6 14:51:28: %7: D1X-7-EVENT:send eap packet: eap length 5

*Sep  6 14:51:28: %7: D1X-7-PKT:source mac 001a.a917.ffff, switch real mac 1414.4b5b.b160.

*Sep  6 14:51:28: %7: D1X-7-EVENT:authen state: Connecting

*Sep  6 14:51:28: %7: D1X-7-EVENT:authen state: Connecting

2.3.5 DOT1X-5-MAB_START:Interface [interface-name] start MAB.

原因：这句log是端口进入单MAB模式,在开启单MAB功能时不会马上进行MAB认证,打了这句log后才会进行MAB认证; 

也可通过查询交换机配套软件版本的Syslog手册查询相关log含义。

如需更精确的定位到故障节点时，请进下一步骤。