أستكشاف أخطاء وحدة المعالجة المركزية (CPU) العليا وإصلاحها على المحولات باستخدام dot1x/MAB بسبب إطار عمل EAP ومدير AAA

المقدمة

يوضح هذا المستند كيفية أستكشاف أخطاء وحدة المعالجة المركزية (CPU)/الذاكرة العالية وإصلاحها بسبب إطار عمل بروتوكول المصادقة المتوسع (EAP) ومصادقة مدير المصادقة والتفويض والمحاسبة (AAA). وهذا يرى على المحولات التي تستخدم مصادقة dot1x/mab.

معلومات أساسية

تتعامل إدارة مصادقة IOS من Cisco مع طلبات مصادقة الشبكة وتفرض سياسات التفويض بغض النظر عن طريقة المصادقة. يحتفظ "مدير المصادقة" ببيانات التشغيل لجميع محاولات اتصال الشبكة المستندة إلى المنافذ والمصادقة والتفويض وحالات عدم الاتصال، ويعمل كمدير جلسة عمل.

ويعمل المحول كوسيط (وكيل) بين العميل وخادم المصادقة، ويطلب معلومات الهوية من العميل ويتحقق من هذه المعلومات باستخدام خادم المصادقة ويرسل إستجابة إلى العميل. يتضمن المحول عميل RADIUS، والذي يغلف ويفك كبسلة إطارات EAP ويتفاعل مع خادم المصادقة.

التكوين

يبدي هذا قسم cisco مفتاح أن يتم MAB/DOT1X (MAC AuthenticationBypass) صحة هوية.

يجب أن تفهم مفاهيم التحكم في الوصول إلى الشبكة المستندة إلى المنفذ وأن يكون لديك فهم لكيفية تكوين التحكم في الوصول إلى الشبكة المستندة إلى المنفذ على نظام Cisco الأساسي لديك. توضح هذه الصورة محطات العمل التي تحتوي على مصادقة dot1x/MAB.

هذا نموذج لتكوين:

interface FastEthernet0/8
 switchport access vlan 23
 switchport mode access
 switchport voice vlan 42
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority mab dot1x---> Priority order 
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate <value in sec>---->(Time after which the client auth would be re-negotiated)
 authentication violation protect
 mab
 mls qos trust dscp
 dot1x pae authenticator
 dot1x timeout tx-period 3
 storm-control broadcast level 2.00
 no cdp enable
 spanning-tree portfast
 spanning-tree bpduguard enable
 service-policy input Marking
end

استكشاف الأخطاء وإصلاحها

تحتوي المحولات التي تستخدم مصادقة dot1x/MAB في بعض الأحيان على إرتفاعات كبيرة في وحدة المعالجة المركزية (CPU)/الذاكرة بسبب إطار عمل EAP ومدير AAA. يمكن أن يؤثر ذلك على الإنتاج نظرا لإسقاط طلبات المصادقة.

لحل هذه المشكلة، يوصى باتخاذ الخطوات التالية:

الخطوة 1. أدخل أمر show proc cpu sort للتحقق من إستخدام وحدة المعالجة المركزية (CPU) العالي على المحول وتأكد من أن عمليات إطار عمل EAP وإدارة المصادقة لها أعلى إستخدام كما هو موضح في هذا المثال:

PU utilization for five seconds: 

97%

/2%; one minute: 90%; five minutes: 89%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
149   178566915 140683416       1269 

64.04% 47.11% 45.63%   0 EAP Framework

141   130564594  55418491       2355 

21.61% 29.05% 29.59%   0 Auth Manager

121   305295906 487695245        519  1.74%  1.84%  1.78%   0 Hulc LED Process
144    12070918  31365536        384  0.63%  0.43%  0.49%   0 MAB Framework
258   117344878 885817567        132  0.47%  0.79%  0.86%   0 RADIUS

الخطوة 2. تحقق من إستخدام الذاكرة على المحول للعمليات مثل مدير المصادقة و RADIUS باستخدام أمر show process cpu memory كما هو موضح في هذا المثال.

Processor Pool Total:   22559064 Used:   16485936 Free:    6073128
      I/O Pool Total:    4194304 Used:    2439944 Free:    1754360
Driver te Pool Total:    1048576 Used:         40 Free:    1048536

PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
   0   0   29936164   13273256   13856236          0          0 *Init*
   0   0   34797632   32603736    1091560    2481468     263240 *Dead*
  59   0     366860       6760     317940          0          0 Stack Mgr Notifi
141   0 

 569580564 3357129696

174176    2986956

          0 

Auth Manager

258   0 

1212276148 2456764884     140684   21066696

          0 

RADIUS

131   0  552345134 541235441      90736      20304          0 HRPC qos reque

الخطوة 3. إن يواجه أنت كثير مورد إستعمال على المفتاح، أنت أمكن رأيت التالي سجل لوصول المصادقة إخفاق كما هو موضح:

أدخل الأمر show logging.

%DOT1X-5-FAIL: Authentication failed for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-RESULT: 

Authentication result 'no-response'

 from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA

الخطوة 4. ثبتت ال re-authenticate مؤقت إلى قيمة أعلى (مثلا، 3600 ثاني) in order to ضمنت أن أنت لا يصدق كثيرا ل زبون، أي بالتالي يزيد الحمل على المفتاح.

للتحقق من صحة التكوين، أدخل الأمر show run interface <interface-name>:

interface FastEthernet0/8
switchport access vlan 23
switchport mode access
switchport voice vlan 42
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication periodic

authentication timer reauthenticate 60---------->Make sure we do not have any

 aggressive timers set
authentication violation protect

الخطوة 5. حدد عدد جلسات العمل التي يتم رؤيتها لعمليات MAB/dot1x، لأن عدد كبير من جلسات العمل المصدق عليها أحيانا يمكن أن يؤدي أيضا إلى وحدة المعالجة المركزية (CPU) عالية. دخلت in order to فحصت الرقم من نشط جلسة، هذا أمر:

SW#

show authentication registrations

Auth Methods registered with the Auth Manager:
  Handle  Priority  Name
    100       0      dot1x
    3        1      mab
    1        2      webauth

SW#Show authentication method dot1x

SW#Show authentication method mab

SW#Show authentication sessions

الخطوة 6. للتحقق من الإصدار الأخطاء المحتملة، أدخل الأمر show version.

إذا لم يكن الخطأ مدرجا في قسم "الأخطاء"، فافتح حالة مع مركز المساعدة التقنية (TAC) وأرفق جميع السجلات من الخطوات من 1 إلى 5.

حشرات

تسرب ذاكرة CSCus46997 وارتفاع وحدة المعالجة المركزية في مدير مسار مضيف بروتوكول الإنترنت والمصادقة

CSCtz06177 قد تعمل مادة حفازة 2960 على ذاكرة منخفضة.

يستخدم كل من CSCty49762 EAP Framework و AAA ATTRl All Process Memory 

تلميح: للحصول على مزيد من التفاصيل، ارجع إلى معرفات أخطاء Cisco CSCus46997، CSCtz06177 وCSCty49762.