本帖最后由 霸气你蕾哥 于 2019-10-14 17:07 编辑
【IMC单点登录认证原理】 用户通过H3C的IMC系统认证后,IMC系统向AC发送一个UDP包(UDP包,Radius协议); AC通过IMC认证后台创建一个线程进行监听,如果收到 IMC.上线通知包,解析出上线用户名和IP, 走单点登录流程,将用户添加到组织结构,然后上线;
【问题现象】 imc组单点登录失败以不需要认证上线,没有实现客户需求。
起初同事转过来的远程,协助排查没有发包,让华三工程师查看imc的配置问题,因是周五,周末私人问题没有及时协调跟进,导致周末华三哥们一人排查半天什么结论没出来,周一华三销售群里大发脾气,挨人叼,后吃了个扣除绩效的处罚,也是第一个处罚,自我检讨下,协调协调永远是最重要的一环,真是优秀的一批...
后安排此上门协助排查:
1.检查配置,几个注意的点:华三imc配置私有报文协议传输,AC与h3c IMC对接的时候,IMC默认端口是61442,端口是否放通等,发现配置等无异常
2.在AC的eth0抓取与IMC设备通信的数据包,发现只要IMC发送给AC登录的数据包,用户都能够在设备上面单点登录上来
(图找不到了,凑合看看。。)
3.现场华三IMC设备在重新认证后重新上线也没有发出数据包。测试发现,账号下线后imc依然在线且1个多小时后仍然在线,重新上线后按照之前上线账号时长计时,且没有发送登录报文,判定可能是imc机制或者超时注销设置等细节问题,认定为依然是在线用户,不存在登录注销的操作,不发送登录上线报文,故ac单点登录失败以ip上线。
【当天结论】
通过抓包及现场确认,可能是IMC机制的问题或者超时注销等细节配置问题,imc不下线判处故不发送登录报文。
滴滴滴,时间来到了第二天,华三工程师协调研发更改超时注销时间,发现华三imc上上线后都成功单点登录,大部分用户在imc上线后,AC设备以单点登录方式上线,且显示用户名信息。有一个IP(192.168.65.30)未单点登录成功,怀疑是从未下线,建议进行重认证测试是否可以正常单点登录上线。极个IP(192.168.64.3/192.168.68.141)属于认证段,未在IMC上显示上线,在AC设备却能显示上线,建议客户排查是否是有线用户误用了无线网段,后排查确实是无线网段误用情况。
注:设计客户信息,已打马赛克
后强制下线重新认证上线,单点登录成功,个别不在imc上线列表,在imc无线网段的情况为有线私配地址上线,为业务不规范现象。
总结:
1.项目到手,协调资源很重要,吃了此项目血的教训,希望引以为戒。
2.本次结合华三imc单点登录案例排除配置问题,可进一步定位数据包传输问题,数据有发无收:排查中间拦截及设备问题。 数据无发:排查imc问题。 数据有收有发但仍单点失败:是否超时注销冲突,用户长时间不掉线,或者对于上下线不敏感设置,故不发UDP上线包等判处,具体问题具体分析。
以上为小白个人经历,才疏学浅,不喜勿喷。(有高见指教下也无伤大雅)
|