|
名词解释: 双向绑定:用户和地址双向绑定,指的是用户只能使用指定的地址且指定的地址只能给该用户使用,地址和用户是互为一一对应的关系,这里的地址可以是ip地址,mac地址或ip/mac同时绑定。
单向绑定:用户和地址单向绑定,指的是用户只能使用指定的地址,但其它用户也可以使用该地址,用户被绑定到指定的地址上,反过来,地址并没有被绑定到用户上。同样这里的地址也可以是ip地址,mac地址或ip/mac同时绑定。一般用于将多个用户绑定至一个或一段地址上。如某公司IT部有10个帐号,分配192.168.1.10-192.168.1.100这段IP给这10个客户使用,则需要通过单向绑定实现。
常见问题及排查步骤: 一、AC上看不到在线用户
1. 检查全局排除地址中是否添加了需要认证上网的网段或IP地址。
2. 旁路模式检查监控列表中是否添加正确
3. 检查内网PC的上网数据是否经过AC(可以在AC界面上抓包,若不方便看数据包的,这里提供一个简单的方法:把AC上的防火墙规则全部配置为拒绝,再测试内网用户上网是否正常,若这时还是可以正常上网,那数据有可能是没有经过AC的。)
二、二层环境下,不需要认证,认证丢包 1. 在内网找台测试PC开启拒绝列表,看拒绝列表日志的丢包提示。一般会显示是authd 或webattest丢包,并且后面跟上丢包原因描述信息。例如:bind mac err 0x12345678.
如上就需要根据提示的错误MAC地址去组织结构搜索,看是否被其他用户绑定或绑定错误。然后删除错误的绑定用户,重新认证测试。
2. 检查【用户与策略管理】-【认证选项】-【其他认证选项】中"mac地址发生变动时需要重新认证"是否勾选,2层环境中,此选项需要勾选。
三.三层环境下,不需要认证,认证丢包
1.如果做了IPMAC绑定,先检查跨三层绑定是否正确配置,这里需要注意一点,内网如果有多个三层交换机,不是所有的三层交换机都要填写到跨三层绑定列表,我们只需要填写有接入用户的三层交换机即可。
2. 选择测试PC开启拒绝列表,看拒绝列表日志的丢包提示。一般会显示是authd 或webattest丢包,并且后面跟上丢包原因描述信息。例如:bind mac err 0x12345678.
注意,提示绑定的错误MAC,需要确认下是否是下面三层交换机的MAC: 如果是,说明跨三层识别有问题,请用BPSNMPUtil工具,看是否能获取到SNMP服务器上的ARP信息,如下图:
如果不是三层交换机MAC,就需要根据提示的错误MAC地址去组织结构搜索,看是否被其他用户绑定或绑定错误。然后删除错误的绑定用户,重新认证测试。
四、启用了WEB认证,弹不出认证页面 1、设备到内网是否路由可达,内网有三层环境,需要添加到内网的回包路由;
2、网桥模式下,要正确配置设备的网关地址指向前置设备
3、AC设备上的认证选项设置中需要启用“未通过认证的用户允许访问dns服务”
4、如果内网打开网页通过非80端口,且内网通过代理服务器上网,AC设备上的认证选项设置中需要启用“未通过认证的用户允许访问根组基本权限”。
5、根组关联的上网策略不能拒绝http应用和dns应用。
6、防火墙规则不能拒绝80和53端口。
7、如果是PC使用正常,手机弹不出,请确认手机用户使用的是什么浏览器(建议使用手机自带浏览器,不要用第三方的)
| 
发表于 2015-9-6 16:20
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-1-8 14:02
技术研究员2级 
