H3C S7506X 啞終端MAC地址+radius認(rèn)證異常問(wèn)題

發(fā)布時(shí)間：2024-03-30

現(xiàn)場(chǎng)adcams組網(wǎng)，反饋sdn平臺(tái)設(shè)置好的啞終端用戶，接入網(wǎng)絡(luò)上線，未看到mac-authentication認(rèn)證表項(xiàng);通過(guò)disp l2vpn mac-addres | in 命令過(guò)濾發(fā)現(xiàn)啞終端設(shè)備的mac地址進(jìn)入到了vsi3508，而vsi3508屬于應(yīng)急的critical vsi，未按預(yù)期進(jìn)入業(yè)務(wù)vsi 3514中。
1、設(shè)備到radius 服務(wù)器地址可達(dá)，從完整上線過(guò)程的debug信息來(lái)看，為交換機(jī)一直未收到服務(wù)器側(cè)的reply報(bào)文，達(dá)到3次后，將服務(wù)器置為block狀態(tài)導(dǎo)致認(rèn)證異常。
2、通過(guò)在sdn接入交換機(jī)與leaf設(shè)備上對(duì)認(rèn)證報(bào)文進(jìn)行流量統(tǒng)計(jì)，從流統(tǒng)結(jié)果來(lái)看，sdn與leaf的統(tǒng)計(jì)數(shù)量是一致的。leaf設(shè)備是收到了服務(wù)器的回應(yīng)報(bào)文，但是沒(méi)有上送cpu處理。
3、經(jīng)遠(yuǎn)程及現(xiàn)場(chǎng)排查，定位是由于在onu下私接交換機(jī)引起。私接交換機(jī)一直在向外發(fā)送bpdu報(bào)文，透?jìng)鞯絣eaf設(shè)備后，由于leaf設(shè)備上全局開(kāi)啟了stp ，另外設(shè)備上存在大量的onu端口，leaf設(shè)備需要向所有onu接口軟轉(zhuǎn)發(fā)，引起接口板/主控板的 stp 進(jìn)程cpu使用率都比較高。使得板間通信報(bào)文延遲較大，設(shè)備長(zhǎng)時(shí)間未能處理 aaa 服務(wù)器的 reply 報(bào)文，從而認(rèn)為到aaa服務(wù)器被 blocked，導(dǎo)致認(rèn)證異?！，F(xiàn)場(chǎng)關(guān)閉全局stp后cpu使用率明顯下降到20%~30%，認(rèn)證恢復(fù)正常。
綜上該問(wèn)題是由于在 onu 下私接交換機(jī)后，私接交換機(jī)一直在向外發(fā)送bpdu報(bào)文，透?jìng)鞯絣eaf s7506x 設(shè)備后，leaf 設(shè)備需要向所有的 onu 接口進(jìn)行軟轉(zhuǎn)發(fā)，引起 stp 進(jìn)程cpu使用率高。使得板間通信報(bào)文延遲較大，設(shè)備長(zhǎng)時(shí)間未能處理 aaa 服務(wù)器的 reply 報(bào)文，從而認(rèn)為到aaa服務(wù)器被 blocked，導(dǎo)致認(rèn)證異常?？赏ㄟ^(guò)全局關(guān)閉leaf設(shè)備的stp功能規(guī)避，解決方案為避免私接的場(chǎng)景。