Introdução
Este documento descreve como pesquisar defeitos a UCP/Memória alta devido à estrutura do Extensible Authentication Protocol (EAP) e ao gerente do Authentication, Authorization, and Accounting (AAA). Isto é visto no Switches que usa a autenticação dot1x/mab.
Informações de Apoio
O gerente do AUTH do Cisco IOS segura pedidos da autenticação de rede e reforça políticas da autorização apesar do método de autenticação. O gerente do AUTH mantém dados operacionais para todas as tentativas, autenticações, autorizações, e desconexões com base na porta da conexão de rede e, saques como uma gerente de sessão.
O interruptor atua como um intermediário (proxy) entre o cliente e o Authentication Server, pede a informação de identidade do cliente, verifica essa informação com o Authentication Server, e retransmite uma resposta ao cliente. O interruptor inclui o cliente RADIUS, que encapsula e decapsulates os quadros EAP e interage com o Authentication Server.
Configuração
Esta seção mostra um switch Cisco que faça a autenticação MAB/DOT1X (MAC AuthenticationBypass).
Você deve compreender os conceitos do controle de acesso de rede com base na porta e ter uma compreensão de como configurar o controle de acesso de rede com base na porta em sua plataforma Cisco. Esta imagem ilustra as estações de trabalho que têm a autenticação dot1x/MAB.

Isto é de uma configuração de exemplo:
interface FastEthernet0/8
switchport access vlan 23
switchport mode access
switchport voice vlan 42
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x---> Priority order
authentication port-control auto
authentication periodic
authentication timer reauthenticate <value in sec>---->(Time after which the client auth would be re-negotiated)
authentication violation protect
mab
mls qos trust dscp
dot1x pae authenticator
dot1x timeout tx-period 3
storm-control broadcast level 2.00
no cdp enable
spanning-tree portfast
spanning-tree bpduguard enable
service-policy input Marking
end
Troubleshooting
O Switches que usa a autenticação dot1x/MAB tem às vezes os pontos altos da UCP/Memória devido à estrutura EAP e ao gerente AAA. Isto pode impactar a produção desde que os pedidos de autenticação são deixados cair.
A fim resolver isto, estas etapas são recomendadas:
Etapa 1. Incorpore o comando do tipo processador central do proc da mostra a fim verificar o uso da alta utilização da CPU no interruptor e certificar-se de que os processos de gerenciador da estrutura e do AUTH EAP têm o uso o mais alto segundo as indicações deste exemplo:
PU utilization for five seconds:
97%
/2%; one minute: 90%; five minutes: 89%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
149 178566915 140683416 1269
64.04% 47.11% 45.63% 0 EAP Framework
141 130564594 55418491 2355
21.61% 29.05% 29.59% 0 Auth Manager
121 305295906 487695245 519 1.74% 1.84% 1.78% 0 Hulc LED Process
144 12070918 31365536 384 0.63% 0.43% 0.49% 0 MAB Framework
258 117344878 885817567 132 0.47% 0.79% 0.86% 0 RADIUS
Etapa 2. Verifique a utilização de memória no interruptor para ver se há processos como o gerente e o RAIO do AUTH com o comando memory processador central do processo da mostra segundo as indicações deste exemplo.
Processor Pool Total: 22559064 Used: 16485936 Free: 6073128
I/O Pool Total: 4194304 Used: 2439944 Free: 1754360
Driver te Pool Total: 1048576 Used: 40 Free: 1048536
PID TTY Allocated Freed Holding Getbufs Retbufs Process
0 0 29936164 13273256 13856236 0 0 *Init*
0 0 34797632 32603736 1091560 2481468 263240 *Dead*
59 0 366860 6760 317940 0 0 Stack Mgr Notifi
141 0
569580564 3357129696
174176 2986956
0
Auth Manager
258 0
1212276148 2456764884 140684 21066696
0
RADIUS
131 0 552345134 541235441 90736 20304 0 HRPC qos reque
Etapa 3. Se você enfrenta o USO de recurso alto no interruptor, você pôde ver os seguintes logs para as falhas de autenticação como mostrado:
Inscreva o comando show logging.
%DOT1X-5-FAIL: Authentication failed for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-RESULT:
Authentication result 'no-response'
from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
Etapa 4. Ajuste o temporizador autenticar novamente a um valor mais alto (por exemplo, 3600 segundos) a fim assegurar-se de que você não autentique frequentemente para os clientes, que aumenta desse modo a carga no interruptor.
A fim validar a configuração incorpore o comando do <interface-name> da relação da corrida da mostra:
interface FastEthernet0/8
switchport access vlan 23
switchport mode access
switchport voice vlan 42
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication periodic
authentication timer reauthenticate 60---------->Make sure we do not have any
aggressive timers set
authentication violation protect
Etapa 5. Determine quantas sessões são consideradas para processos MAB/dot1x, porque às vezes um alto número de sessões autenticadas pode igualmente conduzir à alta utilização da CPU. A fim verificar o número de sessões ativa, incorpore estes comandos:
SW#
show authentication registrations
Auth Methods registered with the Auth Manager:
Handle Priority Name
100 0 dot1x
3 1 mab
1 2 webauth
SW#Show authentication method dot1x
SW#Show authentication method mab
SW#Show authentication sessions
Etapa 6. A fim verificar os erros da versão e do potencial, inscreva o comando show version.
Se o erro não é alistado no “introduz erros de funcionamento” a seção, abre um caso com o centro de assistência técnica (TAC) e anexe todos os logs de etapas 1 ao 5.
Erros
Escape de memória CSCus46997 e alta utilização da CPU na trilha do Host IP e no gerente do AUTH
O catalizador 2960 CSCtz06177 A pode ser executado baixo na memória.
A estrutura CSCty49762 EAP e o sub AAA AttrL usam toda a memória do processo
Tip: Para uns detalhes mais adicionais, refira o Bug da Cisco ID CSCus46997, CSCtz06177 e CSCty49762.