对因EAP框架和AAA管理器而带dot1x/Mab的交换机上的高CPU进行故障排除

下载选项

  • PDF     (197.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (87.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (73.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 4 月 4 日
文档 ID:200372

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何排除由于可扩展身份验证协议(EAP)框架和身份验证、授权和记帐(AAA)管理器导致的高CPU/内存故障。在使用dot1x/mab身份验证的交换机上会看到这一点。

背景信息

Cisco IOS身份验证管理器处理网络身份验证请求并实施授权策略,而不考虑身份验证方法。身份验证管理器维护所有基于端口的网络连接尝试、身份验证、授权和断开的运行数据,并充当会话管理器。

交换机充当客户端和身份验证服务器之间的中间(代理),它从客户端请求身份信息,向身份验证服务器验证该信息,并向客户端中继响应。交换机包括RADIUS客户端,该客户端封装和解封EAP帧并与身份验证服务器交互。

配置

本部分显示执行MAB/DOT1X(MAC AuthenticationBypass)身份验证的思科交换机。

您应该了解基于端口的网络访问控制的概念,并了解如何在思科平台上配置基于端口的网络访问控制。此图显示了具有dot1x/MAB身份验证的工作站。

以下是配置示例:

interface FastEthernet0/8
 switchport access vlan 23
 switchport mode access
 switchport voice vlan 42
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority mab dot1x---> Priority order 
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate <value in sec>---->(Time after which the client auth would be re-negotiated)
 authentication violation protect
 mab
 mls qos trust dscp
 dot1x pae authenticator
 dot1x timeout tx-period 3
 storm-control broadcast level 2.00
 no cdp enable
 spanning-tree portfast
 spanning-tree bpduguard enable
 service-policy input Marking
end
[an error occurred while processing this directive]

故障排除

由于EAP框架和AAA管理器,使用dot1x/MAB身份验证的交换机有时具有较高的CPU/内存峰值。这会影响生产,因为身份验证请求被丢弃。

要解决此问题,建议执行以下步骤:

步骤1.输入show proc cpu sort命令以检查交换机上的CPU使用率较高,并确保EAP框架和身份验证管理器进程的使用率最高,如本例所示:

PU utilization for five seconds: 
97%
 
/2%; one minute: 90%; five minutes: 89%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
149   178566915 140683416       1269 
64.04% 47.11% 45.63%   0 EAP Framework
 
141   130564594  55418491       2355 
21.61% 29.05% 29.59%   0 Auth Manager
 
121   305295906 487695245        519  1.74%  1.84%  1.78%   0 Hulc LED Process
144    12070918  31365536        384  0.63%  0.43%  0.49%   0 MAB Framework
258   117344878 885817567        132  0.47%  0.79%  0.86%   0 RADIUS
[an error occurred while processing this directive]

步骤2.使用show process cpu memory命令检查交换机上的内存使用情况,查找身份验证管理器和RADIUS等进程的内存使用情况,如本示例所示。

Processor Pool Total:   22559064 Used:   16485936 Free:    6073128
      I/O Pool Total:    4194304 Used:    2439944 Free:    1754360
Driver te Pool Total:    1048576 Used:         40 Free:    1048536

PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
   0   0   29936164   13273256   13856236          0          0 *Init*
   0   0   34797632   32603736    1091560    2481468     263240 *Dead*
  59   0     366860       6760     317940          0          0 Stack Mgr Notifi
141   0 
 569580564 3357129696
 
174176    2986956
 
          0 
Auth Manager
 
258   0 
1212276148 2456764884     140684   21066696
 
          0 
RADIUS
 
131   0  552345134 541235441      90736      20304          0 HRPC qos reque
[an error occurred while processing this directive]

步骤3.如果交换机上资源使用率较高,则可能会看到以下身份验证失败日志,如图所示:

输入 show logging 命令。

%DOT1X-5-FAIL: Authentication failed for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-RESULT: 
Authentication result 'no-response'
 
 from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
[an error occurred while processing this directive]

步骤4.将重新验证计时器设置为更高的值(例如,3600秒),以确保您不经常为客户端进行身份验证,从而增加交换机的负载。

要验证配置,请输入show run interface <interface-name>命令:

interface FastEthernet0/8
switchport access vlan 23
switchport mode access
switchport voice vlan 42
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication periodic
authentication timer reauthenticate 60---------->Make sure we do not have any
 
 aggressive timers set
authentication violation protect
[an error occurred while processing this directive]

步骤5.确定MAB/dot1x进程看到的会话数,因为有时,经过身份验证的会话数过多也会导致CPU使用率过高。要检查活动会话的数量,请输入以下命令:

SW#
show authentication registrations
 
Auth Methods registered with the Auth Manager:
  Handle  Priority  Name
    100       0      dot1x
    3        1      mab
    1        2      webauth


SW#Show authentication method dot1x
 
SW#Show authentication method mab

SW#Show authentication sessions
 [an error occurred while processing this directive]

步骤6.要检查版本和潜在错误,请输入show version命令。

如果Bug未列在“Bugs”部分,请向技术支持中心(TAC)提交案例,并附加步骤1至5中的所有日志。

错误

IP主机跟踪和身份验证管理器中的CSCus46997内存泄漏和高CPU

CSCtz06177 A catalyst 2960的内存可能不足。

CSCty49762 EAP框架和AAA AttrL子使用所有进程内存 

提示:有关详细信息,请参阅Cisco Bug ID CSCus46997CSCtz06177CSCty49762

TAC Authored

由思科工程师提供

  • Aditya Ganjoo
    思科TAC工程师

此文档是否有帮助?

Feedback反馈

联系我们