基本说明:1、13.0.9及以后版本增加了强制注销功能,但是需要结合交换机的coa-dm功能才能使用;
![]()
2、在不开启强制注销的功能情况下,设备不会注销用户,需要交换机通知注销;3、开启强制注销功能后,支持各种场景下的802.1x用户注销(无流量注销,MAC变动注销,修改密码注销等等),设备会发送UDP3799的注销报文(该报文中不会携带用户名),如下图:
如何抓包:
PC上:直接抓取PC的整个网口的数据即可,具体如何抓参考如下文档。
AC上:直接抓取交换机ip地址的包即可
![]()
情况一、在没开启强制注销及未使用认证助手情况下,AC用户被注销:
AC抓取交换机的radius计费报文确认是否是交换机发的注销报文,这个情况下需要协调交换机排查注销原因,注销报文如图(前面带sangforclient字符的代表用的认证助手,没有代表没用):
情况二、在没开启强制注销及未使用认证助手情况下,AC用户未注销但是用户无法上网:
抓取PC的报文查看eap和eapol报文确认是否是交换机发送了注销报文(failure)或重认证报文给pc且未发送radius计费报文注销AC用户,导致PC下线而AC未注销改用户,具体报文如下:
注销报文(failure):
重认证报文(request,protected):
情况三、在没开启强制注销及使用认证助手情况下,AC用户未注销但是用户无法上网同情况二
情况四、在没开启强制注销及使用认证助手情况下,认证助手及AC都注销情况下:1、在AC及PC上抓取交换机的报文,确认是交换机主动发的还是PC的认证助手主动发的
AC上注销报文(stop):
![]()
PC上的主动注销报文(logoff;检查PC上的UI.log):PC上收到交换机的注销报文(failure;需协调交换机协助处理):
![]()
情况五、开启强制注销,认证助手及AC都注销情况下:
1、检查登录注销日志确认具体注销方式,开启强制注销功能后所有之前的注销方式都会触发802.1x注销。
2、根据登录注销日志去查具体当时是否是修改什么或者什么策略影响的。
情况六、开启强制注销,AC注销成功但是认证助手不注销:
这种情况下一般都是AC注销了,但是交换机没注销,可以抓包看是否有上网的流量过设备就能判断交换机是否注销(正常交换机802.1x注销是不会放通任何用户流量的)
1、检查登录注销日志确认具体注销方式,开启强制注销功能后所有之前的注销方式都会触发802.1x注销。
2、AC抓计费报文确认是否发送注销报文及对方是否回报,没回报就需要对端交换机协助排查,端口为udp3799的报文,如下:
