Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Pesquise defeitos a alta utilização da CPU no Switches com o dot1x/Mab devido à estrutura EAP e ao gerente AAA

Opções de download

  • PDF     (94.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (89.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (86.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:4 de Abril de 2016
ID do documento:200372
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como pesquisar defeitos a UCP/Memória alta devido à estrutura do Extensible Authentication Protocol (EAP) e ao gerente do Authentication, Authorization, and Accounting (AAA). Isto é visto no Switches que usa a autenticação dot1x/mab.

Informações de Apoio

O gerente do AUTH do Cisco IOS segura pedidos da autenticação de rede e reforça políticas da autorização apesar do método de autenticação. O gerente do AUTH mantém dados operacionais para todas as tentativas, autenticações, autorizações, e desconexões com base na porta da conexão de rede e, saques como uma gerente de sessão.

O interruptor atua como um intermediário (proxy) entre o cliente e o Authentication Server, pede a informação de identidade do cliente, verifica essa informação com o Authentication Server, e retransmite uma resposta ao cliente. O interruptor inclui o cliente RADIUS, que encapsula e decapsulates os quadros EAP e interage com o Authentication Server.

Configuração

Esta seção mostra um switch Cisco que faça a autenticação MAB/DOT1X (MAC AuthenticationBypass).

Você deve compreender os conceitos do controle de acesso de rede com base na porta e ter uma compreensão de como configurar o controle de acesso de rede com base na porta em sua plataforma Cisco. Esta imagem ilustra as estações de trabalho que têm a autenticação dot1x/MAB.

Isto é de uma configuração de exemplo:

interface FastEthernet0/8
 switchport access vlan 23
 switchport mode access
 switchport voice vlan 42
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority mab dot1x---> Priority order 
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate <value in sec>---->(Time after which the client auth would be re-negotiated)
 authentication violation protect
 mab
 mls qos trust dscp
 dot1x pae authenticator
 dot1x timeout tx-period 3
 storm-control broadcast level 2.00
 no cdp enable
 spanning-tree portfast
 spanning-tree bpduguard enable
 service-policy input Marking
end

Troubleshooting

O Switches que usa a autenticação dot1x/MAB tem às vezes os pontos altos da UCP/Memória devido à estrutura EAP e ao gerente AAA. Isto pode impactar a produção desde que os pedidos de autenticação são deixados cair.

A fim resolver isto, estas etapas são recomendadas:

Etapa 1. Incorpore o comando do tipo processador central do proc da mostra a fim verificar o uso da alta utilização da CPU no interruptor e certificar-se de que os processos de gerenciador da estrutura e do AUTH EAP têm o uso o mais alto segundo as indicações deste exemplo:

PU utilization for five seconds: 
97%
/2%; one minute: 90%; five minutes: 89%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
149   178566915 140683416       1269 
64.04% 47.11% 45.63%   0 EAP Framework
141   130564594  55418491       2355 
21.61% 29.05% 29.59%   0 Auth Manager
121   305295906 487695245        519  1.74%  1.84%  1.78%   0 Hulc LED Process
144    12070918  31365536        384  0.63%  0.43%  0.49%   0 MAB Framework
258   117344878 885817567        132  0.47%  0.79%  0.86%   0 RADIUS

Etapa 2. Verifique a utilização de memória no interruptor para ver se há processos como o gerente e o RAIO do AUTH com o comando memory processador central do processo da mostra segundo as indicações deste exemplo.

Processor Pool Total:   22559064 Used:   16485936 Free:    6073128
      I/O Pool Total:    4194304 Used:    2439944 Free:    1754360
Driver te Pool Total:    1048576 Used:         40 Free:    1048536

PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
   0   0   29936164   13273256   13856236          0          0 *Init*
   0   0   34797632   32603736    1091560    2481468     263240 *Dead*
  59   0     366860       6760     317940          0          0 Stack Mgr Notifi
141   0 
 569580564 3357129696
174176    2986956
          0 
Auth Manager
258   0 
1212276148 2456764884     140684   21066696
          0 
RADIUS
131   0  552345134 541235441      90736      20304          0 HRPC qos reque

Etapa 3. Se você enfrenta o USO de recurso alto no interruptor, você pôde ver os seguintes logs para as falhas de autenticação como mostrado:

Inscreva o comando show logging.

%DOT1X-5-FAIL: Authentication failed for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-RESULT: 
Authentication result 'no-response'
 from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA

Etapa 4. Ajuste o temporizador autenticar novamente a um valor mais alto (por exemplo, 3600 segundos) a fim assegurar-se de que você não autentique frequentemente para os clientes, que aumenta desse modo a carga no interruptor.

A fim validar a configuração incorpore o comando do <interface-name> da relação da corrida da mostra:

interface FastEthernet0/8
switchport access vlan 23
switchport mode access
switchport voice vlan 42
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication periodic
authentication timer reauthenticate 60---------->Make sure we do not have any
 aggressive timers set
authentication violation protect

Etapa 5. Determine quantas sessões são consideradas para processos MAB/dot1x, porque às vezes um alto número de sessões autenticadas pode igualmente conduzir à alta utilização da CPU. A fim verificar o número de sessões ativa, incorpore estes comandos:

SW#
show authentication registrations
Auth Methods registered with the Auth Manager:
  Handle  Priority  Name
    100       0      dot1x
    3        1      mab
    1        2      webauth


SW#Show authentication method dot1x
SW#Show authentication method mab

SW#Show authentication sessions

Etapa 6. A fim verificar os erros da versão e do potencial, inscreva o comando show version.

Se o erro não é alistado no “introduz erros de funcionamento” a seção, abre um caso com o centro de assistência técnica (TAC) e anexe todos os logs de etapas 1 ao 5.

Erros

Escape de memória CSCus46997 e alta utilização da CPU na trilha do Host IP e no gerente do AUTH

O catalizador 2960 CSCtz06177 A pode ser executado baixo na memória.

A estrutura CSCty49762 EAP e o sub AAA AttrL usam toda a memória do processo 

Tip: Para uns detalhes mais adicionais, refira o Bug da Cisco ID CSCus46997, CSCtz06177 e CSCty49762.

TAC Authored

Colaborado por engenheiros da Cisco

  • Aditya Ganjoo
    Engenheiro de TAC da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Deixe-nos ajudar

Discussões relacionadas com comunidade da Cisco

Sobre a Cisco
Fale Conosco
Trabalhe Conosco