簡介
本文描述如何對由於可擴展身份驗證協定(EAP)框架和身份驗證、授權和記帳(AAA)管理器而導致的高CPU/記憶體進行故障排除。在使用dot1x/mab驗證的交換器上會顯示此情況。
背景資訊
Cisco IOS Auth Manager無論採用何種身份驗證方法,都會處理網路身份驗證請求並實施授權策略。身份驗證管理器維護所有基於埠的網路連線嘗試、身份驗證、授權和斷開的運算元據,並充當會話管理器。
交換機充當客戶端與認證伺服器之間的中介(代理),它請求來自客戶端的身份資訊,驗證與認證伺服器之間的資訊,並將響應轉發給客戶端。交換機包括RADIUS客戶端,它封裝和解封EAP幀,並與身份驗證伺服器互動。
組態
本節介紹執行MAB/DOT1X(MAC AuthenticationBypass)驗證的Cisco交換器。
您應該瞭解基於埠的網路訪問控制的概念,並瞭解如何在Cisco平台上配置基於埠的網路訪問控制。此圖說明具有dot1x/MAB身份驗證的工作站。
以下是組態範例:
interface FastEthernet0/8
switchport access vlan 23
switchport mode access
switchport voice vlan 42
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x---> Priority order
authentication port-control auto
authentication periodic
authentication timer reauthenticate <value in sec>---->(Time after which the client auth would be re-negotiated)
authentication violation protect
mab
mls qos trust dscp
dot1x pae authenticator
dot1x timeout tx-period 3
storm-control broadcast level 2.00
no cdp enable
spanning-tree portfast
spanning-tree bpduguard enable
service-policy input Marking
end
[an error occurred while processing this directive]
疑難排解
由於EAP框架和AAA管理器,使用dot1x/MAB身份驗證的交換機有時具有高CPU/記憶體峰值。這可能會影響生產,因為身份驗證請求會被丟棄。
為了解決此問題,建議採取以下步驟:
步驟1。輸入show proc cpu sort命令以檢查交換器上的CPU使用率高,並確保EAP Framework和Auth manager進程具有最高使用率,如以下範例所示:
PU utilization for five seconds:
97%
/2%; one minute: 90%; five minutes: 89%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
149 178566915 140683416 1269
64.04% 47.11% 45.63% 0 EAP Framework
141 130564594 55418491 2355
21.61% 29.05% 29.59% 0 Auth Manager
121 305295906 487695245 519 1.74% 1.84% 1.78% 0 Hulc LED Process
144 12070918 31365536 384 0.63% 0.43% 0.49% 0 MAB Framework
258 117344878 885817567 132 0.47% 0.79% 0.86% 0 RADIUS
[an error occurred while processing this directive]
步驟2.使用show process cpu memory指令檢查交換器上的記憶體使用率,以瞭解Auth Manager和RADIUS等程式,如以下範例所示。
Processor Pool Total: 22559064 Used: 16485936 Free: 6073128
I/O Pool Total: 4194304 Used: 2439944 Free: 1754360
Driver te Pool Total: 1048576 Used: 40 Free: 1048536
PID TTY Allocated Freed Holding Getbufs Retbufs Process
0 0 29936164 13273256 13856236 0 0 *Init*
0 0 34797632 32603736 1091560 2481468 263240 *Dead*
59 0 366860 6760 317940 0 0 Stack Mgr Notifi
141 0
569580564 3357129696
174176 2986956
0
Auth Manager
258 0
1212276148 2456764884 140684 21066696
0
RADIUS
131 0 552345134 541235441 90736 20304 0 HRPC qos reque
[an error occurred while processing this directive]
步驟3.如果在交換機上面臨較高的資源使用率,您可能會看到以下身份驗證失敗的日誌,如下所示:
輸入show logging命令。
%DOT1X-5-FAIL: Authentication failed for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-RESULT:
Authentication result 'no-response'
from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
[an error occurred while processing this directive]
步驟4.將重新驗證計時器設定為更高的值(例如3600秒),以確保您不經常對使用者端進行驗證,因此會增加交換器上的負載。
若要驗證設定,請輸入show run interface <interface-name>指令:
interface FastEthernet0/8
switchport access vlan 23
switchport mode access
switchport voice vlan 42
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication periodic
authentication timer reauthenticate 60---------->Make sure we do not have any
aggressive timers set
authentication violation protect
[an error occurred while processing this directive]
步驟5.確定MAB/dot1x進程可見多少會話,因為有時大量經過身份驗證的會話也會導致高CPU。若要檢查作用中作業階段數量,請輸入以下命令:
SW#
show authentication registrations
Auth Methods registered with the Auth Manager:
Handle Priority Name
100 0 dot1x
3 1 mab
1 2 webauth
SW#Show authentication method dot1x
SW#Show authentication method mab
SW#Show authentication sessions
[an error occurred while processing this directive]
步驟6.若要檢查版本和潛在錯誤,請輸入show version指令。
如果錯誤未列在「錯誤」一節中,請向技術協助中心(TAC)建立一個案例,並附上步驟1至5中的所有日誌。
錯誤
IP Host Track and Auth Manager中的CSCus46997記憶體洩漏和高CPU
CSCtz06177 A catalyst 2960的記憶體可能不足。
CSCty49762 EAP框架和AAA AttrL Sub使用所有進程記憶體
提示:如需更多詳細資訊,請參閱Cisco錯誤ID CSCus46997、CSCtz0617和CSCty49762。