全网行为管理准入排障手册.docx

PAGE

PAGE

全网行为管理准入排障手册

深信服科技股份有限公司

修订历史

编号

修订内容简述

修订日期

修订前版本号

修订后版本号

修订人

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服科技股份有限公司所有，受到有关产权及版权法保护。任何个人、机构未经深信服科技股份有限公司的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录

TOC\o1-4第1章 前言 5

1.1 手册使用说明 5

第2章 认证功能排障 5

2.1 802.1x认证排障 5

2.1.1 桌面没有认证助手图标 5

2.1.2 双击认证助手无响应 6

2.1.3 认证助手提示认证超时 8

2.1.4 认证助手提示用户名或密码错误 17

2.1.5 终端认证成功后没有在AC上线 24

2.1.6 准入在线用户异常下线 24

2.2 MAB认证排障 26

2.2.1 MAC免认证没有上线 26

2.2.2 MAC免认证失败 27

2.2.3 802.1x+MAB认证慢 29

2.2.4 IP电话机认证失败 30

2.2.5 认证成功后IP电话不能正常使用 31

2.3 Portal认证排障 31

2.3.1 Portal认证没有弹出重定向页面 31

第3章 合规性检查排障 32

3.1 终端检查策略不生效（通用检查步骤） 32

3.2 杀软检测不生效 35

3.3 外网检测不生效 36

3.4 违规后无法阻断用户网络 37

第4章 ssl解密排障 37

4.1 ssl解密失败（通用检查步骤） 37

第5章 通用排障信息收集 42

5.1 客户端 42

5.1.1 PC抓包 42

5.1.2 PC准入日志 43

5.2 接入设备 43

5.2.1 交换机抓包 43

5.2.2 交换机debug调试日志 45

5.3 认证服务器 46

5.3.1 AC抓包 46

5.3.2 AC打开系统日志 47

5.3.3 AC后台打开Radius调试日志 48

第6章 附录 49

附录1：如何查找交换机配置手册 49

附录2：深信服交换机配置工具 50

前言

手册使用说明

此手册对准入产品实施过程中产生的一些问题给出基本的排查指导。

认证功能排障

802.1x认证排障

桌面没有认证助手图标

【现象】从AC下载、安装准入客户端后，桌面没有认证助手图标。

排查步骤一：

检查[接入管理/准入客户端配置]是否勾选[开启准入客户端802.1x功能]，需要勾选并提交后，重新下载、安装准入客户端，如图：

双击认证助手无响应

【现象】双击认证助手无响应。

排查步骤一：

通过在检查快捷方式目标路径是否缺失-startigs参数（-startigs前面有空格），加上此参数，如图：

排查步骤二：

到计算机的[任务管理器]或[服务]中查看IngressManager（Mgr）是否启动，若未启动到服务中把IngressManager设为自启动：

认证助手提示认证超时

【现象】802.1x认证时勾选自动认证，开机后认证助手提示登录超时。

排查步骤一：

打开认证助手，确认网卡选择正确，手动点击登录确认能否认证成功。如图：

如果去掉自动登录可以成功，那么需要检查交换机是否有开启边缘端口（快速端口），未开启则建议先开启边缘端口（快速端口），否则交换机可能处在静默状态，不响应认证助手请求包。如果已经开启，转步骤二。

排查步骤二：

在测试PC本地网卡上抓包，筛选条件为eap||eapol。以下为认证成功的标准报文，对比查看报文停留在哪个阶段。通过在PC端和AC同时抓包，可以定位出故障节点是发生在802.1x认证系统（客户端、设备、服务器）的哪一部分，进而排查具体原因。

若PC一直发EAPOL-start包，没有交换机发过来的EAP-request包，则可能是交换机上未开启dot1x，请对照交换机配置工具再检查一遍配置。

若交换机一直发EAP-request包，终端PC没有回EAP-response包，可使用系统自带802.1x客户端来尝试登录，若系统自带的客户端登录成功，可判断准入助手异常，请检查PC是否有安装winpcap，把winpacp和准入助手卸载并重启电脑再次尝试，若还不行请转400工程师进行排查。（可选）

系统自带客户端开启方法：/plugin.php?id=sangfor_databases:indexmod=viewdatabasetid=100169

准入助手排障（由2判定准入助手异常，进一步排查）

服务是否开启

npf服务是否运行

管理员打开cmd，然后执行如下命令scquerynpf，正常情况下会显示