SANGFOR ACSG V5.X 07 用户认证排错指导.ppt

培训内容 培训目标 IP/MAC绑定排错 1.掌握获取不到OID的排查思路和方法 2. 掌握IP/MAC绑定冲突的排查思路和方法 密码认证排错 1.掌握无法弹出密码认证框的排查思路和方法 2. 掌握外部认证密码不正确的排查思路和方法 IP/MAC绑定排错 问题一 搜索不出三层交换机的OID 如图，AC路由部署在公网出口，内网有一台三层交换机，启用了SNMP。内网用户通过AC上网，需要通过AC的认证。客户使用IP/MAC认证，在设备上配置snmp服务器时，输入交换机的接口地址，提示获取SNMP服务器OID列表失败？如何排查？ 排查思路： 1. 检查交换机SNMP的配置 2. 检查设备和交换机连通性 3. 使用第三方工具获取OID 4. 手动填写AC设备SNMP配置 问题一 搜索不出三层交换机的OID 步骤1 检查交换机snmp的配置是否正确，可以通过第三方扫描工具在内网电脑对交换机的OID值进行扫描，看能否扫描出来。 步骤2 在设备上测试到交换机的连通性。对连通性会产生影响的有设备的“防DOS攻击”模块，请检查确认是否因为交换机地址被识别为DOS攻击而被设备拦截掉数据了。 问题一 搜索不出三层交换机的OID 步骤3 检查交换机snmp配置的community值是否为public。在设备上只能搜索到community值为public的OID列表。如果community值不为public，则需要借助第三方扫描工具扫描。这里使用BPSNMPUtil这款扫描工具。详细操作步骤请参考渠道技术论坛《snmp跨三层绑定mac功能用工具取交换机oid的方法》。在内网电脑扫描结果如下： OID以开头，填这前4位即可 问题一 搜索不出三层交换机的OID 步骤4 当扫描完毕后，需要过滤扫描出来的OID值，只需要VALUE这一列值是MAC地址的OID即可，取OID值的前10位，填入设备snmp配置中 建议：添加服务器的MAC地址时请使用设备上arp表上显示的交换机接口的mac地址 问题二 IP/MAC绑定不生效 现在获取不到交换机OID的问题解决了，但是客户发现内网00这个用户还是上不了网，也添加不到用户组中怎么排查？ 排查思路： 1.查看在线用户列表 2.开启拦截日志，获取拦截信息 3.修改错误配置，或者删除错误的IP/MAC绑定 问题二 IP/MAC绑定不生效 步骤1 查看在线用户列表，检查用户是以临时用户身份出现，还是没有在在线用户列表中 如果用户是以临时用户身份出现，则说明AC设备通过SNMP没有获取到用户电脑真正的mac地址（AC不会将内网电脑的IP地址与交换机的MAC地址绑定）。 1. 如果是通过AC设备搜索获得的OID，建议使用第三方扫描工具，在内网电脑上扫描交换机的OID，把通过设备没有搜索到的有效的OID填入AC设备snmp配置中。 2. 如果是手动获取OID并手动在AC设备上填写的snmp配置，则检查IP/MAC/OID/COMMUNITY配置是否正确。 问题二 IP/MAC绑定不生效 本案例中是由于将交换机的地址填写错误导致IP/MAC绑定不生效 问题二 IP/MAC绑定不生效 步骤2 如果在线用户列表没有用户出现，则开启拒绝列表，然后内网电脑访问外网，查看拦截日志 不勾选该项，才有助于排查 日志说明00存在mac绑定冲突的情况，设备通过SNMP获取到的电脑mac是B8-70-F4-3A-42-2B 问题二 IP/MAC绑定不生效 步骤3 到用户组去搜索内网电脑的IP00和MAC B8-70-F4-3A-42-2B，找到被绑定的用户，并删除 通过搜索IP发现00和另外一个mac绑定在一起了，删除该用户 问题二 IP/MAC绑定不生效 步骤4 到在线用户列表确认用户认证成功 常见IP/MAC绑定错误汇总，请查看渠道技术论坛：《 SANGFOR_ACSG_v3.X_MAC地址绑定错误排错专题》 密码认证排错 问题一 客户端弹不出密码认证框 如图，AC路由部署在公网出口，内网有一台三层交换机，内网用户通过AC上网，AC结合LDAP服务器做外部认证。现在用户发现上不了网，打开网页也没有弹出密码认证框。如何排查？ 排错思路： 当认证策略启用密码认证后，设备监听到内网电脑访问外网网站时发起的http_get请求包时，会充当服务器回应http_get请求包，将访问网站的页面重定向到用户认证页面。要使内网电脑能发起http_get请求包有2个前提条件： 1. 电脑的网关和DNS配置正确，能正常上网和解析域名 2. AC允许用户认证成功之前能访问DNS服务 此外还需要检查： 3. AC设备和内网电脑的连通性 4. 认证策略是否启用密码认证 问题一 客户端弹不出密码认证框 步骤1 检查AC设备认证策略是否启