技术文档
当前位置:技术文档

H3C S7506X 哑终端MAC地址+radius认证异常问题

来源:未知 时间:2022-10-10 16:13
 

      现场adcams组网,反馈SDN平台设置好的哑终端用户,接入网络上线,未看到mac-authentication认证表项;通过disp l2vpn mac-addres | in 命令过滤发现哑终端设备的mac地址进入到了vsi3508,而vsi3508属于应急的critical vsi,未按预期进入业务vsi 3514中。

  1、设备到radius 服务器地址可达,从完整上线过程的debug信息来看,为交换机一直未收到服务器侧的reply报文,达到3次后,将服务器置为block状态导致认证异常。

  2、通过在sdn接入交换机与leaf设备上对认证报文进行流量统计,从流统结果来看,sdn与leaf的统计数量是一致的。leaf设备是收到了服务器的回应报文,但是没有上送cpu处理。

  3、经远程及现场排查,定位是由于在ONU下私接交换机引起。私接交换机一直在向外发送BPDU报文,透传到leaf设备后,由于leaf设备上全局开启了stp ,另外设备上存在大量的onu端口,leaf设备需要向所有ONU接口软转发,引起接口板/主控板的 stp 进程CPU使用率都比较高。使得板间通信报文延迟较大,设备长时间未能处理 AAA 服务器的 reply 报文,从而认为到AAA服务器被 blocked,导致认证异常。现场关闭全局stp后cpu使用率明显下降到20%~30%,认证恢复正常。

  综上该问题是由于在 ONU 下私接交换机后,私接交换机一直在向外发送BPDU报文,透传到leaf S7506X 设备后,leaf 设备需要向所有的 ONU 接口进行软转发,引起 stp 进程CPU使用率高。使得板间通信报文延迟较大,设备长时间未能处理 AAA 服务器的 reply 报文,从而认为到AAA服务器被 blocked,导致认证异常。可通过全局关闭leaf设备的stp功能规避,解决方案为避免私接的场景。


上一篇:局域网组网几个常见问题答
下一篇:终端无法正常SSH登录设备的解决方法
蜀ICP备2020034250号-1   川公网安备 51010802000119号 keywords:成都H3C 成都H3C

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服