Probleemoplossing met hoge CPU’s op switches met dot1x/Mab dankzij EAP-framework en AAA-Manager

Downloadopties

PDF (160.5 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (96.6 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (85.2 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:4 april 2016

Document-id:200372

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Achtergrondinformatie

Configuratie

Problemen oplossen

Bugs

Inleiding

In dit document wordt beschreven hoe u een hoge CPU/geheugen kunt oplossen door een MAP-framework (Extensible Authentication Protocol), een AAA-beheerder, en een verificatie-, autorisatie- en accounting-beheerder. Dit wordt gezien op switches die dot1x/mab authenticatie gebruiken.

Achtergrondinformatie

Cisco IOS Auth Manager behandelt verzoeken om netwerkverificatie en dwingt autorisatiebeleid af ongeacht de authenticatiemethode. De Auth Manager houdt operationele gegevens bij voor alle pogingen van de op haven gebaseerde netwerkverbinding, authenticaties, vergunningen, en ontbindingen en, dient als sessiemanager.

De switch treedt op als een intermediair (proxy) tussen de client en de authenticatieserver, vraagt om identiteitsinformatie van de client, verifieert die informatie met de authenticatieserver en geeft een reactie op de client. De schakelaar omvat de RADIUS-client, die de EAP-frames inkapselt en decapsulEERT en interageert met de authenticatieserver.

Configuratie

Deze paragraaf laat een Cisco-schakelaar zien die MAB/DOT1X (MAC AuthenticationBypass) verificatie doet.

U dient de concepten van de poort-gebaseerde controle op de toegang tot het netwerk te begrijpen en u hebt begrip van hoe u de op poort gebaseerde controle op de toegang tot het netwerk op uw platform van Cisco moet configureren. Dit beeld illustreert werkstations met dot1x/MAB-verificatie.

Dit is een voorbeeldconfiguratie:

interface FastEthernet0/8
 switchport access vlan 23
 switchport mode access
 switchport voice vlan 42
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority mab dot1x---> Priority order 
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate <value in sec>---->(Time after which the client auth would be re-negotiated)
 authentication violation protect
 mab
 mls qos trust dscp
 dot1x pae authenticator
 dot1x timeout tx-period 3
 storm-control broadcast level 2.00
 no cdp enable
 spanning-tree portfast
 spanning-tree bpduguard enable
 service-policy input Marking
end

[an error occurred while processing this directive]

Problemen oplossen

Switches die gebruik maken van dot1x/MAB-verificatie hebben soms hoge CPU/geheugensnelheden ten gevolge van het EAP-framework en de AAA-beheerder. Dit kan van invloed zijn op de productie aangezien de verzoeken om verificatie worden ingetrokken.

Om dit op te lossen, worden deze stappen aanbevolen:

Stap 1. Voer de opdracht Proc cpu-type tonen in om het hoge CPU-gebruik op de switch te controleren en zorg ervoor dat de EAP framework- en Auth Manager-processen het hoogste gebruik hebben zoals in dit voorbeeld wordt getoond:

PU utilization for five seconds:

97%

/2%; one minute: 90%; five minutes: 89%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
149   178566915 140683416       1269

64.04% 47.11% 45.63% 0 EAP Framework

141   130564594  55418491       2355

21.61% 29.05% 29.59% 0 Auth Manager

121   305295906 487695245        519  1.74%  1.84%  1.78%   0 Hulc LED Process
144    12070918  31365536        384  0.63%  0.43%  0.49%   0 MAB Framework
258   117344878 885817567        132  0.47%  0.79%  0.86%   0 RADIUS

[an error occurred while processing this directive]

Stap 2. Controleer het geheugengebruik op de schakelaar voor processen zoals Auth Manager en RADIUS met de opdracht Cpu-geheugen voor het show-proces zoals in dit voorbeeld.

Processor Pool Total:   22559064 Used:   16485936 Free:    6073128
      I/O Pool Total:    4194304 Used:    2439944 Free:    1754360
Driver te Pool Total:    1048576 Used:         40 Free:    1048536

PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
   0   0   29936164   13273256   13856236          0          0 *Init*
   0   0   34797632   32603736    1091560    2481468     263240 *Dead*
  59   0     366860       6760     317940          0          0 Stack Mgr Notifi
141   0

569580564 3357129696
174176 2986956

Auth Manager

258   0

1212276148 2456764884 140684 21066696

RADIUS

131   0  552345134 541235441      90736      20304          0 HRPC qos reque

[an error occurred while processing this directive]

Stap 3. Als u op de switch veel gebruik van middelen maakt, kunt u de volgende logbestanden zien voor de echtheidsfouten zoals getoond:

Typ de opdracht vastlegging tonen.

%DOT1X-5-FAIL: Authentication failed for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-RESULT:

Authentication result 'no-response'

 from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA

[an error occurred while processing this directive]

Stap 4. Stel de timer opnieuw op een hogere waarde (bijvoorbeeld 3600 seconden) in om er zeker van te zijn dat u niet vaak voor de clients echt maakt, waardoor de lading op de schakelaar wordt verhoogd.

Om het configuratie-formulier te valideren geeft u de opdracht interface <interface-naam>uitvoeren aan:

interface FastEthernet0/8
switchport access vlan 23
switchport mode access
switchport voice vlan 42
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication periodic

authentication timer reauthenticate 60---------->Make sure we do not have any

 aggressive timers set
authentication violation protect

[an error occurred while processing this directive]

Stap 5. Bepaal hoeveel sessies voor MAB/dot1x-processen worden gezien, omdat soms een hoog aantal geauthenticeerde sessies ook kan leiden tot een hoge CPU. U kunt het aantal actieve sessies controleren door deze opdrachten in te voeren:

SW#

show authentication registrations

Auth Methods registered with the Auth Manager:
  Handle  Priority  Name
    100       0      dot1x
    3        1      mab
    1        2      webauth

SW#Show authentication method dot1x
SW#Show authentication method mab

SW#Show authentication sessions
[an error occurred while processing this directive]

Stap 6. Om de versie en mogelijke fouten te controleren, voert u de opdracht Versie van het programma in.

Als het bug niet in het gedeelte "Bugs" staat, opent u een case met het Technical Assistance Center (TAC) en voegt u alle logbestanden toe van stap 1 tot en met 5.