1、Web认证页面无法弹出，怎么办？

A：下面给出问题排查步骤：

步骤一：终端PC是否正常获取到了IP地址

1）            终端上通过ipconfig/all查看IP地址获取情况

2）            N18K上可以通过show ip dhcp binding | include xxxx.xxxx.xxxx（用户的mac地址）

步骤二：终端通路检查

1）            通过arp –a查询终端是否正常学到了网关的ARP信息

2）            终端上ping一个常用的网站，验证DNS的通路是否正常，默认Web认证是放行DNS协议的

3）            终端上ping Portal服务器的IP地址，验证直通Portal是否能够生效，若无法生效，请检查N18K的直通IP地址有包含Portal的地址，如：http redirect direct-site 172.18.18.35

步骤三：N18K上通过show arp | include IP地址查看对应PC的ARP，是否正确学习到

1）            假若查看的ARP是动态学习的，而且该MAC地址不是实际终端的MAC地址，可以通过clear arp+IP地址清除后，进行快速恢复

2）            假若查看的ARP是静态学习的，而且该MAC地址不是实际终端的MAC地址，那么需要查看Web在线的表项信息

3）            假若查询到的在线用户信息与终端不一致，可能出现在线用户信息残留，可以通过clear web-auth user ip x.x.x.x；clear ip dhcp binding x.x.x.x，进行快速恢复

 

2、802.1x的基本配置环境都没有问题，为什么还是无法进行1x认证？

A：查看下联的设备中是否存在S21设备，如果有，则需要删除全局的802.1x配置和AAA配置，否则即使关闭掉接口的802.1x认证受控，S21设备也不会转发1x认证报文；S26、S26I、S29、S29E、S32、S37、S57可选删除全局的802.1x配置与AAA配置，只需要关闭端口的802.1x认证，端口就可以透传802.1x认证报文；另外，极简网络方案部署过程中的一个关键配置信息就是VLAN裁剪，所以在部署扁平化网络时，要注意用户所在的VLAN是否有被VLAN裁剪排除在外，如果被裁剪，那报文一定就无法透传的。

 

3、设备提示用户认证超时，是什么原因呢？

A：原因如下：

1.   通常碰到用户认证超时的原因是SAM忘记添加NASIP或者把NASIP添加错了，可以通过SAM上查阅认证日志，是否提示NASIP不对

2.   Su客户端在多网卡环境下未选择正确的网卡，导致认证超时

3.   SAM服务器不可达，可以在N18K上ping SAM服务器的IP地址

4.   汇聚设备缺少接入设备的VLANID，EAP报文无法透传到N18K，导致无法认证

5.   S21设备必须要删除全局1x配置，不然也不会透传1x报文

 

4、单机转换成VSU模式后，为什么控制台突然挂死，无法进入了？

A：在操作习惯上，网络管理员一般会把设备的波特率调整为115200，并且保存配置，但是在进行单机切换VSU模式的过程中，设备会加载VSU的配置模板，并不是使用单机配置模板，此时，如果VSU是第一次进行配置的话，波特率默认是9600，所以在设备切换重启后，无法进入系统，CLI界面挂住，因为波特率不一致所导致的，此时，需要调整波特率为9600才可以进行配置操作。

 

5、终端出现异常，网管员如何能够快速定位到具体的位置？

A：SAM的日志会记录用户的NASIP、Port、VLANID等信息；结合VLAN规划列表，可以查到该用户对应的接入设备的IP地址以及用户的端口号

 

6、用户进行1x认证通过后，手动修改IP地址后，为什么不能上网了？

A：因为用户进行1x认证通过后，设备上会生成用户的静态arp表项，例如：1.1.1.10 mac1，此时，如果用户手动修改自己的IP地址，例如改成1.1.1.11，这样，在设备上的静态arp表项对应的IP地址将与实际用户修改后的IP地址不一致，报文将不会正常转发，并且此时，该用户也不会触发设备发起重认证，导致用户无法使用网络

 

7、网络改造后，有些用户进行1x认证时，提示“您不在许可范围内，请确认您的权限”，导致无法通过1x认证？

A：如果用户在1x认证时，提示如下信息，见截图，此时用户可以执行如下操作即可恢复：开始-à运行-àcmd-àipconfig /release-àipconfig /renew执行如下操作后，客户端设备将会重新获取IP地址，然后用户再进行1x认证即可解决问题。出现此问题的原因是：网络改造后，重新指定了新的网段IP地址，但是由于客户端并无感知，依然使用以前动态获取到的IP地址进行1x认证，则会提示不在权限范围内，解决方案就是手动操作，让客户端重新获取到新网段内的IP地址即可，具体操作如上。

8、N18K上进行一些操作后，某些命令丢失

设备存在大量Clear arp后，发现show arp命令不存在，

Debug dot1x event后，发现show dot1x summary命令不存在，

原因是设备该进程在此场景下重启了，等待进程后台自动重启后即可恢复，一般等1-2分钟。

 

9、在网络中有Bras设备，影响客户端的1x认证

当网络环境中存在Bras（华为ME60）与n18k时，如果1x认证的报文透传至me60，me60没有开启802.1x认证，则会回应eap failure报文导致客户端结束正在进行的EAP认证。解决方案，过滤me60到客户端的0x888e报文。