提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

基础排查:步骤二、抓包确认具体什么环节导致用户注销

|

问题描述

抓包确认具体什么环节导致用户注销

解决方案

1、在PC及AC上同时抓取认证过程中的报文,确认是交换机主动发的还是PC主动发的
如何抓包:
PC上:直接抓取PC的整个网口的数据即可,具体如何抓参考如下文档。
AC上:直接抓取交换机ip地址的包即可
情况一、在没开启强制注销及未使用认证助手情况下,AC用户被注销:
AC抓取交换机的radius计费报文确认是否是交换机发的注销报文,这个情况下需要协调交换机排查注销原因,注销报文如图(前面带sangforclient字符的代表用的认证助手,没有代表没用):

情况二、在没开启强制注销及未使用认证助手情况下,AC用户未注销但是用户无法上网:
抓取PC的报文查看eap和eapol报文确认是否是交换机发送了注销报文(failure)或重认证报文给pc且未发送radius计费报文注销AC用户,导致PC下线而AC未注销改用户,具体报文如下:
注销报文(failure):
重认证报文(request,protected):


情况三、在没开启强制注销及使用认证助手情况下,AC用户未注销但是用户无法上网同情况二

情况四、在没开启强制注销及使用认证助手情况下,认证助手及AC都注销情况下:
1、在AC及PC上抓取交换机的报文,确认是交换机主动发的还是PC的认证助手主动发的
AC上注销报文(stop):

PC上的主动注销报文(logoff;检查PC上的UI.log):
PC上收到交换机的注销报文(failure;需协调交换机协助处理):


情况五、开启强制注销,认证助手及AC都注销情况下:
1、检查登录注销日志确认具体注销方式,开启强制注销功能后所有之前的注销方式都会触发802.1x注销。
2、根据登录注销日志去查具体当时是否是修改什么或者什么策略影响的。



情况六、开启强制注销,AC注销成功但是认证助手不注销:
这种情况下一般都是AC注销了,但是交换机没注销,可以抓包看是否有上网的流量过设备就能判断交换机是否注销(正常交换机802.1x注销是不会放通任何用户流量的)
1、检查登录注销日志确认具体注销方式,开启强制注销功能后所有之前的注销方式都会触发802.1x注销。
2、AC抓计费报文确认是否发送注销报文及对方是否回报,没回报就需要对端交换机协助排查,端口为udp3799的报文,如下:

操作影响范围

我要分享
文档编号: 219575
作者: admin
更新时间: 2023-01-05 17:29
适用版本: