1、故障现像

PC通过1x认证后，无法跳转到对应的vlan中，导致认证用户无法正常上网。

 

2、故障可能原因

1) 服务器未配置vlan下发。

2) 交换机接口下未配置vlan跳转功能。

3) 接口已跳转到某vlan下，不允许再跳转到其他vlan。

 

3、故障处理步骤

注意：DEBUG信息有风险，需要和客户同步风险后才能收集，最好和抓包一起进行

步骤1、检查是否开户vlan跳转功能

首先确认，1x认证的基本配置环境是否正确，如果正确，则查看接口下是否开启了dot1x dynamic-vlan功能，缺省情况下，此命令是关闭的，保证上述配置 。如果1x认证基本功能不正确，请查看1x认证不成功章节。

 

步骤2、检查服务器是否配置vlan下发功能

检查服务器是否配置vlan下发，同时交换机也配置了相应的vlan。具体操作步骤如下：

步骤2.1：登录SAM服务器---》接入控制管理---》接入控制管理

步骤2.2：选中相应的接入控制名（例：1x_test）---->点击编辑：

步骤2.3：选择网络使用控制---》用户所属VLAN，确认此选择中是否输入正确的跳转vlan。

注：基础SAM配置请参见SAM实施一本通。

 

步骤3、检查接口是否已经跳转到某vlan中

检查接口是否已经跳转到某vlan，如果已经跳转，则该接口不能再跳转到其他vlan。      

步骤3.1：查看vlan配置：

Ruijie#sh run interface fastEthernet 1/1

 

Building configuration...

Current configuration : 66 bytes

!

interface FastEthernet 1/1

 duplex auto

 speed auto

 no shutdown

从上配置可知接口下默认属于vlan1 。

步骤3.2：通过show dot1x summary和show dot1x user id xx查看接口是否已转到某vlan：

 

 

从上show信息可以看到接口fa0/1已跳转到vlan 2.

 

 

4、故障信息搜集

收集log信息（注意时间开关和时间的准确性）提供后台分析。

[设备debug信息、配置、软硬件版本、设备log、操作log]

基础信息收集

show version

show version slots

show run

show log

show ip interface brief

show interface status

show interface counter sum  

show interface counter  rate

show interfaces counters errors

show interfaces counters

show arp counter

show arp

show arp detail

show mac-address-table

show mac-address-table counter

show ip route

show ip route count

show memory

dir

show vlan

show cpu

show cpu-protect mb

show cpu-protect

show cpu-protect slot X（对于S76、S86、S12000交换机要求获取每个线卡的CPP统计信息2次）

show spanning-tree

show spanning-tree summary

 

Dot1x相关信息收集

1、端口镜像抓包，收集认证口的eapol报文和上联口的radius报文;

2、收集debug信息,debug开关如下:

注意：DEBUG操作有风险（最坏情况可能需要重启设备才能恢复），需要客户知晓风险并同意后才能收集，建议在低峰期操作（若是核心设备，必须更加慎重评估）！若故障排查还需要抓包，DEBUG和抓包最好同时收集！

debug dot1x event

debug dot1x packet

debug dot1x stm

debug radius event

debug aaa event

1）如果查看到有服务器不响应和返回reject的情况,需要收集服务器端的radius-client配置及日志;

2）如果客户端不响应认证报文,收集客户端的配置;