锐捷认证掉线问题探究
胡 磊,戴 瑜,李 婧
(空军预警学院训练部,湖北武汉430019)
目前,国内大部分高校校园网均部署锐捷安全管理平台,而锐捷认证掉线问题导致用户无法正常上网则是大摘 要:
多数高校亟需解决的问题。结合锐捷认证系统原理与问题解决方法及步骤,对该问题进行了详细解析,总结了常见
故障及其处理方法,以期为相关人员提供实际可行的指导与借鉴。锐捷安全管理平台;锐捷认证;校园网关键词:
中图分类号:TP302 文献标识码:A 文章编号:1672‐7800(2014)002‐0032‐03
1 锐捷安全管理平台简介
1.1 系统简介
通过锐捷安全管理平台,网络管理员可以为网络中的主机设备定义一个统一的网络安全接入标准,只有满足这个接入标准的主机才能接入并使用网络。它可以根据网络用户接入环境的变化自动采取动态响应、预防、修复等措施,从而实现对学院网络安全的保护。作为一种全新的安全解决方案,它大大地提高了抵御网络安全威胁的能力。
1.2 锐捷认证掉线问题
(3)安装锐捷认证软件。用户可至HTTP://10.10.
10.10下载锐捷客户端软件到本地,并进行安装。
(4)使用锐捷客户端认证上网。客户端安装完毕后,打开客户端输入信息管理中心配发的“用户名”、“密码”,点击“连接”,客户端自动完成认证后,用户即可上网。
2.2 锐捷认证原理
问题反映为学院锐捷认证用户正常上网情况下突然
掉线,再次拨号时认证停顿在“寻找认证服务器”,之后提示框显示“认证失败”。另外有些用户反映,锐捷认证失败后,反复“禁用”、“启用”网卡,然后多次尝试锐捷拨号能够成功认证,但是在上网10分钟左右锐捷认证会再次掉线。由于锐捷客户端无法正常认证,学院大多数用户无法上网,导致学院相关业务中断,影响重大。
2 锐捷认证过程及原理
2.1 锐捷认证过程
锐捷认证协议是基于802.1X扩展的私有协议,因此
在研究之前必须先了解标准的802.1X协议(具体可以参考RFC3748),下面给出简单的协议描述。2.2.1 协议认证过程
协议认证过程如下:①主机向服务器(多播或广播地址)发送EAPOL-Start;②服务器向主机发送EAP-RE‐QUEST-Identity身份验证请求;③主机向服务器发送EAP-RESPONSE-Identity回应;④服务器向主机发送EAP-REQUEST-MD5_Challenge要求验证密码的MD5校验值;⑤主机向服务器发送EAP-RESPONSE-MD5_Challenge回应;⑥服务器向主机发送EAP-Suc‐cess;⑦保持连接的通信。
其中,EAPOL是802.1X协议定义的一种报文封装格式,主要用户在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。2.2.2 协议报文分析
表1 EAPOL-报文结构(byte)
0-1318类型
14协议版本
19通信id15报文类型20-21长度
16-17帧长度22类型
18--PacketBody22--锐捷认证过程如下:
(1)用户注册。用户到指定的网络地址(HTTP://10.10.10.10)进行注册并填写个人相关信息,此网站不受锐捷拨号的限制,即不拨号也能打开网页。
(2)配置网络地址。注册用户后,每台电脑需匹配唯一的IP地址,详细地址可至HTTP://10.10.10.10中进行查询,并将其配置到网卡属性中。
表1为EAPOL-报文结构(byte),其分析说明如下:
a类型说明。通常为常量0x01(表示EAPOL帧发送
作者简介:胡磊(1987-),男,空军预警学院训练部助教,研究方向为计算机网络管理。
方所支持的协议版本号)。
b类型取值。EAPOL-Packet:0x00(认证报文数据,用于承载认证信息);EAPOL-Start:0x01(认证开始报文,用于主动发起认证过程);EAPOL-Logoff:0x02(下线请求报文,用于用户主动发起下线请求)。
d类型取值:EAP-Request:0x01;EAP-Resopnse:0x02;EAP-Success:0x03;EAP-Failure:0x04。
设备通常通过该字段来验证报文是否合法,如果该字段在状态机中所保存的值不一样则会认为非法,直接丢弃。
e类型说明:通常由服务器发来的报文指定,在连续的报文内使用这个id来协商或者作为计算MD5值的数据之一。
Input:837packets/sec、Output:1313packets/sec,属于正常流量,判断若为网络阻塞,应不在核心交换机②与锐捷认证服务器①之间。
定点查看没有找到流量堵塞,全局搜索查看核心交换机每个端口流量,发现有两个端口流量异常,其网络拓扑图如结构2
所示。
MD询消息5_gChallenge类型取值)。
:0:
Identityx04(类似于:0x01(PPP用来查询对方的身份CHAP协议,包含质);3 问题分析及排错过程
图1
为锐捷认证系统部署拓扑图。
图1 锐捷认证系统部署拓扑结构
同一时间出现锐捷大面积掉线的情况,可能存在的问
题有以下几方面:
3.1 锐捷认证服务器故障
如果锐捷认证服务器①出现问题或物理链路①<-
--->②断开,所有关于锐捷认证的通信都会在服务器端以失败终结。首先检查物理链路①<---->②正常;登录锐捷认证服务器①进行查询,服务器系统运行状态良好RG常运行‐SMP,CPU,USB安全管理平台运行状态良好使用率8%,内存占用1.95GB。锐捷认证加密狗接入正常,能够正常登录,所有相关服务均正RG-SMP安全管理平台。因此判断锐捷认证服务器没有问题。
3.2 网络环境故障
将问题定位在网络环境中,针对上图①<---->②<---->③<---->④之间通信链路进行检测。
(1)骨干链路物理断开(核心交换机②<---->接入交换机③)。如果核心交换机与接入交换机之间的链路断开,接入交换机以下的用户全部不能上网。通过实际查看,教研大楼与信息管理中心核心交换机骨干线路连接正常,分析可能是网络堵塞。
(2)网络堵塞(核心交换机②<---->锐捷认证服务器①)。检查核心交换机与锐捷认证服务器之间网络线路流量。核心交换机上与锐捷认证服务器连接端口6,
图2 网络拓扑结构
(3)网络堵塞(核心交换机②<---->图书馆书馆VMwareVMware服务器虚拟服务器⑤)。核心交换机⑤,通过端口流量分析②端口7,其连接至图
,其每秒产生2万个数据包,正常情况下图书馆虚拟服务器不可能产生这么大的流量。判断图书馆VMware服务器⑤中毒,产生大流量攻击校园网,导致锐捷认证失败。于是将核心交换机端口7关闭,断开与图书馆服务器的连接。端口7关闭后,核心交换机上流量减少,CPU负载情况降低,但是锐捷认证依然失败,问题没有解决。
(4)网络堵塞(核心交换机②<---->接入交换机③)。另外核心交换机②端口8,其连接至接入交换机③,通过端口流量分析,其每秒产生的数据包在1.5万~2万之间,该数据量高出平常水平很多。网络堵塞可能发生在该链路上。
同时在核心交换机②上通过“showarp”命令查看,发现大量p“Internet10.10.110.105Incompletelete>arpa时进行转发状态VLAN,在IP110”地址无法找到其对应的报文,
其为<arp-未完成报文--><IncomMAC,处于‐
地址arp报文如下,占用交换机内邻居缓存表“Internet:
。对比正常状态下10.10.110.1244001c.25d2.84abarpaVLAN通过观察110”。
,核心交换机内存在大量的arp未完成报文,并且接入交换机③下VLAN109、110中尤为突出。结合实际情况,VLAN109、110下用户锐捷掉线情况也较为集中。
(5)网络堵塞(核心交换机②<---->接入交换机③)。接入交换机③查看端口流量,
发现除去端口9,其连接信息管理中心核心交换机端口8,还有3个端口101112产生流量均比其它端口要大很多。结合用户电话反映情况,接入交换机③下的锐捷用户,认证全部失败。
4 问题定位及处理情况
通过以上针对问题的分析以及排错,将问题定位于接入交换机③上。
4.1 问题定位过程
首先关闭核心交换机②<---->接入交换机③之间的端口8,院内其它场所锐捷认证恢复正常,拨号后很快提示认证成功,上网正常。但是接入交换机③下接入的用户不能上网,问题根本没有解决。
5.2 常见故障及处理方式
务器端和客户端进行交互,导致锐捷认证掉线。
在部署锐捷安全管理平台的校园网中,锐捷认证成功与否是网络用户能否正常上网的前提因素,也是决定性因素。在用户使用电脑上网时,锐捷无法正常认证的情况时常发生,因此,总结锐捷认证常见的故障以及处理方式尤为必要。
(1)现象:无法认证,提示“网卡未连接上”。原因:网
线连接不正确,网线质量差,小交换机质量差,交换机柜停电等。解决方法:检查网线是否正常,小交换机是否正常,于是打开核心交换机②<---->接入交换机③之间的端口8,关闭接入交换机③下流量异常的1011123个端口,锐捷认证正常,上网正常。3个端口下接入用户均无法上网。
进一步排查,需将问题定位在唯一用户。关闭端口10,打开端口1112问题解决;关闭端口11,打开端口1012问题解决;关闭端口12,打开端口1011问题存在。由此可以确定端口1011下的用户有问题,可能是用户中病毒导致产生大流量,从而攻击学院网络。暂时关闭接入交换机③中的端口11让学院网络恢复正常。
4.2 问题处理情况
查询端口11下的用户,其所在房间端口14下接了一个小HUB(集线器);同时房间另外一个端口13同时通过网线连接到此HUB,具体接入情况如图
3所示。
图3 具体接入情况
由图3可知,接入交换机与HUB皕瑥瑏之间造成网络环路,产生大量的广播包,泛滥到核心交换机,影响学院锐捷认证正常工作。
断开HUB皕瑥瑏下的14端口,断开环路,学院网络恢复正常,锐捷认证掉线问题解决。
5 问题总结及常见故障处理
5.1 问题总结
通过上文所述方法,学院锐捷认证掉线问题成功解决。总结其掉线原因如下:校园网用户网络基本常识知缺乏,将同一个交换机中两个端口同时接入同一集线器设备,造成网络环路,产生大量广播包,泛滥到整个校园网,产生网络拥塞,进而引起锐捷认证报文无法正常在锐捷服
确认值班室交换机柜是否停电。
(2)现象:无法认证,认证停顿在“寻找认证服务器…”原因:网线质量差,或者网卡有问题,或者没有选择“使用私有组播地址认证”。解决方法:检查网线是否正常;将速率改成10M,在实际运行中存在某些线路无法进行100M的数据交换;在认证客户端中设置“使用私有组播地址认证”;重装网卡驱动程序;如果问题依旧存在,更换一张网卡。
(3)现象:无法认证,认证客户端停顿在“连接认证服务器…”原因:提供服务的接入交换机到信息管理中心的服务器通信不正常,可能是某台交换机或者是网络中心机房部分故障也可能是服务器NAS参数设置有误。解决方法:将此现象通知信息管理中心,并耐心等待。
DNS(4)现象:认证成功,但是无法上网。原因:网关和故障)没有设置正确或者是网络中心故障。解决方法:正确设置IP(信息管理中心提供的(如果是区域性IP地址)和DNS(两个以内),如果还是不能上网,将网卡驱动程序重装一遍,或将相关情况汇报给网管人员。
(5)现象:用户不存在或者密码错。原因:用户名或密码错,或用户不存在。解决方法:确认用户名密码的正确性(大小写);联系网管人员处理。
DNS(6)现象:客户端一运行即消失。个进程(两个以上,可能是木马程序)或者多个,也可能伪装成其它的名字IP。系统里有原因system:设32置.exe多个。这解决方法:正确设置IP(网管中心提供的IP地址)和DNS(两个以内)。检测系统中的非法进程,注意个人电脑防护。
6 结语
锐捷认证系统倡导的“实名制身份体系”在学院的网络建设中起到了非常关键的作用。学院校园网属于军训网的一部分,其网络安全性尤为重要。运用锐捷的“实名制身份体系”,能够很好地对校园网的运维进行监管,缓解网络泄密事件的发生,并对泄密案件做到有理可依,有据可查。而且其提供的差异化服务进行带宽管理、确保上网安全、应用系统单点登录、按照用户身份制定教学资源是网络应用体验的提升之道,对学院未来发展有着重大意义。
基于OPENCV平台的运动物体
跟踪与轨迹生成研究
吴新建,彭延军
(山东科技大学信息与工程学院,山东青岛266590)
在比赛项目中,对运动员进行跟踪和分析,精确计算运动员的体能消耗和状态是十分必要的。一个新兴的交摘 要:
叉学科SportsIT,就是利用先进的计算机图形图像技术来分析各种比赛时运动员状态。在此背景下,利用OPENCV
平台,实现运动物体的实时跟踪,生成轨迹和长度。实现了对艺术体操运动进行识别和追踪,生成运动轨迹。首先采用camshift方法进行跟踪,当遇到相似的背景导致跟踪失败时,采用帧间差分算法对运动物体再次识别,在出现多个候选运动目标中挑选出距离跟踪失败坐标点最近的运动目标,找回跟踪物体。运动识别;轨迹生成;camshaft跟踪算法;帧间差分;OPENCV;投射变换关键词:
中图分类号:TP311 文献标识码:A 文章编号:1672‐7800(2014)002‐0035‐03
0 引言
我国体育事业正处在一个上升的阶段,体育科研工作越来越受到重视。对运动项目中的运动员进行分析,可以帮助教练和运动员在之后的训练中更有效地提高技能;电
视台在直播大型比赛时,也可以用数据的形式展现和分析
运动员的表现。在国外,SportsIT研究人员对冰壶、花样滑冰以及棒球运动研究的成果颇丰。本文采用OPENCV平台,因为有很多优秀的跟踪算法被整合到该视觉库中,绝大多数算法都有对应函数实现,而且OPENCV的函数库是开源的,便于研究者使用。
[3] 高俊.从锐捷RG-SAM认证系统的应用认识802.1x技术[J].电
脑学习,2010(4).
[4] 童子方,李亦杰.基于802.1X协议解决校园网安全的探索[J].网
络安全技术与应用,2011(1).
[5] 锐捷网络.SAM网络安全解决方案[Z].2010.
(责任编辑:孙 娟)
参考文献:
[1] 聂武超,张彦兴.802.1x认证技术分析[J].华为技术报,2002
(133).
[2] 李瀛寰,马云飞.802.1x:开创认证新时代[N].北京:中国计算机
报,2003‐06‐23.
AnalysisofRuijieCertificationDropped
Abstract:Atpresent,RuijiesecuritymanagementplatformisinstalledincampusnetworkofmostChineseUniversities.
However,theusersarefacedwithoneseriousproblemthatRuijiecertificationisoftenoff‐line,andwhichmaypreventtheusersfromgettingaccesstointernetnormally.ThispaperputforwardseveraleffectivesolutionstothisproblemfromapracticalpointofviewaccordingtotheprinciplesofRuijiecertificationsystem.Theauthorbelievesthatthisthesiscanhelpthereadersgetabetteranddeeperunderstandingofthissystemandsolvetheoff‐lineproblemtimelyandefficiently.KeyWords:RuijieSecurityManagementPlatform;RuijieCertification;CampusNetwork
作者简介:吴新建(1989-),女,山东科技大学信息与工程学院硕士研究生,研究方向为图形图像和体视觉;彭延军(1971-),男,山东
科技大学信息与工程学院教授、硕士生导师,研究方向为图形图像学。
锐捷认证掉线问题探究
作者:作者单位:刊名:英文刊名:年,卷(期):
胡磊, 戴瑜, 李婧
空军预警学院训练部,湖北武汉,430019软件导刊
Software Guide2014(2)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_rjdk201402012.aspx