SANGFOR ACSG v11度渠道高级认证培训13 用户认证排错指导.ppt

深信服社区资料库 社区资料库旨在为用户提供最新、最全的产品资料！ 访问方式： 资料分类： 深圳市南山区学苑大道1001号南山智园A1栋 market@ 培训内容 培训目标 IP/MAC绑定排错 1.掌握无法获取三层交换机arp表的排查方法 2. 掌握IP/MAC绑定冲突的排查思路和方法 密码认证/单点登录排错 1.掌握无法弹出密码认证框的排查思路和方法 2.掌握单点登录不成功排错思路和方法 1 2 IP/MAC绑定排错 密码认证排错 Contents 如图，AC路由部署在公网出口，内网有一台三层交换机，启用了SNMP。内网用户通过AC上网，需要通过AC的认证。客户使用IP/MAC认证，在设备上配置snmp服务器时，输入交换机的接口地址，提示获取失败？如何排查？ 排查思路： 1. 检查交换机SNMP的配置 2. 检查设备和交换机连通性 3. 使用第三方工具获取OID 4. 手动填写AC设备SNMP配置 问题一 ：设备无法通过SNMP搜索三层 交换机的arp表 问题一 ：设备无法通过SNMP搜索三层交换机的arp表 步骤1 在设备上测试到交换机的连通性，可以先将设备开直通观察是否解决。会产生影响的有设备的“防DOS攻击”模块，请检查确认是否因为交换机地址被识别为DOS攻击而被设备拦截掉数据了。 步骤2 检查交换机snmp的配置是否正确，可以通过第三方SNMP客户端工具连交换机看能否读出来。 步骤3 检查交换机snmp配置的community值是否为public。在设备上只能搜索到community值为public的OID列表。如果community值不为public，则需要借助第三方SNMP客户端工作。这里使用BPSNMPUtil这款工具。获取结果如下图示例： 问题一 ：设备无法通过SNMP搜索三层 交换机的arp表 步骤4 工具成功连接交换机后，需要过滤获取的结果，找到需要的OID。找到VALUE这一列值是MAC地址的OID即可，取OID值的前10位，填入设备snmp配置中 建议：添加服务器的MAC地址时请使用设备上arp表上显示的交换机接口的mac地址 问题一 ：设备无法通过SNMP搜索三层 交换机的arp表 问题二 ：IP/MAC绑定不生效 现在获取不到交换机OID的问题解决了，但是客户发现内网00这个用户还是上不了网，也添加不到用户组中怎么排查？ 排查思路： 1.查看在线用户列表 2.开启拦截日志，获取拦截信息 3.修改错误配置，或者删除错误的IP/MAC绑定 问题二： IP/MAC绑定不生效 步骤1 查看在线用户列表，检查用户是以00-00-00-00-00-00的MAC地址上线了，还是没有在在线用户列表中 。 如果用户上线的MAC地址显示为全0的MAC，则说明AC设备通过SNMP没有获取到用户电脑真正的mac地址（AC不会将内网电脑的IP地址与交换机的MAC地址绑定）。 1. 如果是通过AC设备搜索获得的OID，建议使用第三方扫描工具，在内网电脑上扫描交换机的OID，把通过设备没有搜索到的有效的OID填入AC设备snmp配置中。 2. 如果是手动获取OID并手动在AC设备上填写的snmp配置，则检查IP/MAC/OID/COMMUNITY配置是否正确。 问题二： IP/MAC绑定不生效 本案例中是由于将交换机的地址填写错误导致IP/MAC绑定不生效 问题二 ：IP/MAC绑定不生效 步骤2 如果在线用户列表没有用户出现，则开启拒绝列表，然后内网电脑访问外网，查看拦截日志 不勾选该项，才有助于排查 日志说明00存在mac绑定冲突的情况，设备通过SNMP获取到的电脑mac是B8-70-F4-3A-42-2B 问题二 ：IP/MAC绑定不生效 步骤3 到用户组去搜索内网电脑的IP00或MAC B8-70-F4-3A-42-2B，找到被绑定的用户，并删除 可以发现00绑定了错误的MAC地址。删除错误的绑定关系，或更改正确绑定关系。 问题二 ：IP/MAC绑定不生效 步骤4 到在线用户列表确认用户认证成功 重新在“用户绑定”列表查看00用户，发现已绑定正确 1 2 IP/MAC绑定排错 密码认证排错 Contents 问题一 ：电脑弹不出密码认证页面 如图，AC路由部署在公网出口，内网有一台三层交换机，内网用户通过AC上网，AC结合LDAP服务器做外部认证。现在用户发现上不了网，打开网页也没有弹出密码认证框。如何排查？ 排错思路： 1. 电脑的网关和DNS配置正确，能正常上网和解析域名 2. AC是否启用未通过认证的用户，允许访问DNS服务“ 3. AC设备和内网电脑的连通性是否正常，如AC设备路由配置是否正确？ 4. 认证策略是否启用密码认证 问题一：电脑弹不出密码认证页面 步骤1 检查AC