0110 用户认证故障处理.docx

1、0110 用户认证故障处理插图目录10 用户认证故障处理关于本章本章描述内容如下表所示。标题内容10.1 简介介绍了进行用户认证故障处理时用户所需的知识要点。10.2 故障处理过程针对典型的用户认证的组网环境，介绍配置用户认证时要注意的事项，并以会话认证为例介绍了故障处理的流程和详细的故障处理步骤。10.3 FAQ列出了用户常问的问题，并给出了相应的解答。10.4 故障诊断工具介绍了进行故障处理所需的故障诊断工具，包括使用display命令和debugging命令、日志信息。10.1 简介10.1.1 事前认证简介当某些私有网络中的用户上网时，出于安全考虑，私有网络管理员需要限制私有网络中用户

2、的上网权限。只有拥有账号的用户才能访问外部网络。需要上网的用户必须首先登录到防火墙的WEB认证页面，在防火墙弹出的认证页面中按照提示输入用户名和密码。在用户确认提交后，防火墙将对用户名和密码进行认证，并在WEB认证页面上显示认证结果。只有通过防火墙的认证后，才能访问外部网络。当通过认证的用户没有任何操作的时间超过防火墙设定的值时，他的上网权限将被取消。也即在这段时间没有来自该用户的流量。如果以后该用户还要访问外网，则需要重新认证。这种认证方式称为事前认证。事前认证可以和黑名单功能联合使用。当非法用户企图登录外部网络时，防火墙将该用户的IP地址加入到黑名单中。用户的账号和密码由系统管理员统一分配

3、。10.1.2 会话认证简介出于安全考虑，私有网络上的管理员希望只有拥有账号的用户才能访问外部网络。当用户需要访问外部网络时，防火墙会弹出对话框，提示用户输入账号和密码（账号密码由系统管理员事先提供）。完成在防火墙上的认证过程后，该用户的访问请求才可以通过防火墙到达外部网络，后续连接才能建立。当通过认证的用户没有任何操作的时间超过防火墙设定的值时，他的上网权限将被取消。也即在这段时间没有来自该用户的流量。如果以后该用户还要访问外网，则需要重新认证。这种认证方式称为会话认证。防火墙提示用户的方式有两种，当用户访问web浏览器时，防火墙会通过web页面提示用户认证；当用户访问FTP服务器时，防火墙

4、会通过FTP的交互方式提示用户输入账号密码进行认证。一旦认证通过，用户可以使用他所在domain域下的权限。用户首次访问外网时必须采用HTTP或FTP方式，否则无法完成认证，用户流量将不能通过防火墙。10.1.3 事前认证与会话认证的区别事前认证与会话认证的区别如下：事前认证是用户自发进行认证的方式；会话认证是用户在发送访问外部网络的请求时，防火墙强行介入的一种认证方式。用户通过防火墙的认证以后才可以通过防火墙到达外部网络。10.2 故障处理过程本节介绍如下的内容。典型组网环境配置注意事项故障诊断流程故障处理步骤10.2.1 典型组网环境用户认证的典型组网如图10-1所示。用户认证的故障处理将

5、基于该网络。图10-1 用户认证的组网图在此组网中，PC1通过HTTP服务器进行会话认证，在进行会话认证之前，PC1只允许访问DMZ域的FTP服务器。如果认证通过，防火墙就会把PC1的IP地址添加到IP监控表里，并根据PC1所属的域的包过滤规则，对PC1授权。当PC1访问外网的FTP服务器Server2时，防火墙就会查看IP监控表，如果IP监控表中有PC1的IP地址，就根据PC1所属的域的包过滤规则通信。否则，根据默认包过滤规则通信。10.2.2 配置注意事项配置项子项注意事项包过滤域间包过滤事前认证要打开用户所在安全区域与local区域的域间包过滤规则。认证使能触发认证策略配置配置触发会话认

6、证的ACL策略。认证端口配置设置各种认证服务器监听的端口号。认证地址配置设置认证上送的地址。使能认证服务检查服务运行状态，确保认证服务器处于运行状态。认证域帐号配置在AAA视图下创建域帐号以及设置帐号的类型，并在域视图设置相应的域ID。认证域配置在域视图配置认证通过后的域间策略。下面以会话认证的配置为例说明配置用户认证时需要注意的事项。# 配置各接口的IP地址并把对应接口加入相应的安全区域。 system-view Eudemon interface ethernet 4/0/0Eudemon-Ethernet4/0/0 ip address 10.1.1.1 255.255.255.0Eud

7、emon-Ethernet4/0/0 quitEudemon firewall zone trustEudemon-zone-trust add interface ethernet 4/0/0Eudemon-zone-trust quitEudemon interface ethernet 4/0/1Eudemon-Ethernet4/0/1 ip address 192.168.0.1 255.255.255.0Eudemon-Ethernet4/0/1 quitEudemon firewall zone dmzEudemon-zone-dmz add interface ethernet

8、 4/0/1Eudemon-zone-dmz quitEudemon interface ethernet 4/0/2Eudemon-Ethernet4/0/2 ip address 202.202.1.1 255.255.255.0Eudemon-Ethernet4/0/2 quitEudemon firewall zone untrustEudemon-zone-untrust add interface ethernet 4/0/2Eudemon-zone-untrust quit# 配置ACL规则。 system-view Eudemon acl number 3000Eudemon-

9、acl-adv-3000 rule permit ip source 10.1.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255Eudemon-acl-adv-3000 quitEudemon acl number 3001Eudemon-acl-adv-3001 rule permit ip source 10.1.1.0 0.0.0.255 destination 202.202.1.0 0.0.0.255Eudemon-acl-adv-3001 quitEudemon acl number 3002Eudemon-acl-adv-3002 r

10、ule permit ip source 10.1.1.0 0.0.0.255Eudemon-acl-adv-3002 quit# 配置默认域间的包过滤规则并在安全区域间应用ASPF策略。Eudemon firewall interzone trust dmzEudemon-interzone-trust-dmz packet-filter 3000 outboundEudemon firewall packet-filter default permit interzone local trustEudemon-interzone-trust-dmz detect ftpEudemon-in

11、terzone-trust-dmz quitEudemon firewall interzone trust untrustEudemon-interzone-trust-untrust detect ftpEudemon-interzone-trust-untrust quit为了使trust区域的主机和认证服务器之间可以通信，需要打开local区域和trust区域的包过滤规则，由以下两种方法：打开local区域和trust区域的域间缺省包过滤规则；定义ACL，配置trust域与local域的域间包过滤规则。# 配置触发会话认证的规则。Eudemon firewall zone trustE

12、udemon-zone-trust firewall authentication session-based 3002 outzone# 配置认证服务器的相关参数。Eudemon firewall authentication server http port 8000Eudemon firewall authentication server http enableEudemon firewall authentication server ip 10.1.1.1# 使能黑名单功能。Eudemon firewall blacklist enable# 配置认证用户的相关参数。Eudemon

13、 aaaEudmeon-aaa local-user huaweihuawei password simple huaweiEudmeon-aaa domain huaweiEudmeon-aaa-domain-huawei packet-filter authentication id 2Eudmeon-aaa-domain-huawei packet-filter interzone trust untrust 3001 outbound10.2.3 故障诊断流程针对图10-1所示的网络，在完成上述配置后，发现用户不能进行认证。请使用下面的故障诊断流程，如图10-2所示。图10-1 会话认

14、证故障诊断流程图10.2.4 故障处理步骤步骤 1使用display firewall authentication server basic命令显示认证服务器的状态，保证认证服务器处于活动状态。如果认证服务器没有启动，请启动。如果认证服务器的端口和IP地址不正确，请修改。如果此时故障还未排除，请执行步骤2。步骤 2检查触发会话认证的规则是否正确，如果不正确，请修改。如果此时故障还未排除，请执行步骤3。步骤 3检查AAA视图下是否配置了合法的用户帐户。如果没有配置，请添加。如果至此故障还未排除，请联系华为的技术支持工程师。-结束10.3 FAQ问：事前认证和会话认证是否支持透明模式？答：不支持

15、。问：事前认证和会话认证的性能如何？答：支持至少同时100个用户进行认证。问：用户认证失败如何处理？答：当用户认证失败次数到达3次时，用户就会被加入黑名单。问：用户被加入黑名单后的老化时间是多少？答：用户认证失败后，被加入的黑名单老化时间为10分钟。问：是否可以手工添加认证通过的用户？答：可以，通过命令接口可以直接添加某个用户关联的过滤规则。问：认证通过的用户如何进行老化？答：认证通过后，防火墙会向用户发送一个保活页面，使得用户一直处于活动状态（会话老化时间要大于30秒，否则用户按照会话老化时间进行老化，保活机制失效），如果用户想退出认证，可以选择保活页面上的下线按钮。问：认证通过的用户是否可

16、以主动下线？答：认证通过的用户可以通过直接点击保活页面上的下线按钮选择主动下线，也可以通过直接关闭保活页面来选择主动下线。10.4 故障诊断工具10.4.1 display命令命令说明display firewall authentication statistics显示认证统计信息。display firewall authentication server basic | domain | zone 显示认证服务器的相关配置信息。display firewall authentication users显示当前有效的用户认证表。10.4.2 debugging命令命令说明debugging

17、 firewall authentication packet | state ftp | http 显示认证服务器的调试信息。10.4.3 日志项目说明日志信息AUTH_HTTP (vpn: public) is added to blacklist, reason:, time含义用户认证失败被加入黑名单。产生原因用户认证失败次数达到3次。处理建议不处理。项目说明日志信息AUTH_HTTP server start failed含义用户启动认证服务器失败产生原因用户启动认证服务器失败处理建议检查故障原因项目说明日志信息AUTH_HTTP (vpn: public) was removed

18、from status table含义用户认证信息从记录表中删除。产生原因用户认证失败次数小于3次，此时，要保留用户的认证信息，当30分钟后用户没有认证操作，输出此日志信息并从表中删除用户信息。处理建议不处理。项目说明日志信息AUTH_HTTP user number beyond upper limit含义要求认证的用户数达到上限。产生原因当并发连接的用户达到一定数量时就会输出该日志信息，目前根据需求至少支持100个用户同时进行认证请求。处理建议提示用户稍后进行连接。项目说明日志信息AUTH_HTTP (vpn:public) logout含义当用户退出认证时输出。产生原因用户点击下线按钮选

19、择主动下线或者直接关闭保护页面时输出。处理建议日志级别为notice，默认状态下不输出。项目说明日志信息AUTH_HTTP server start succeed含义启动http认证服务器成功。产生原因启动http认证服务器时。处理建议日志级别为notice，默认状态下不输出。项目说明日志信息AUTH_HTTP server is stoped含义关闭http认证服务器。产生原因关闭http认证服务器成功。处理建议日志级别为notice，默认状态下不输出。项目说明日志信息AUTH_HTTP user: yswhuawei (vpn: public) wait for AAAs respons

20、e timeout含义用户等待aaa认证超时。产生原因用户输入口令后，防火墙将该口令发送到aaa或radius认证服务器进行确认，如果5s内没有响应则认为超时。处理建议日志级别为notice，默认状态下不输出。项目说明日志信息AUTH_HTTP (vpn:public) authentication session timeout含义用户连接超时。产生原因用户与认证服务器建立TCP连接后，如果5s内没有发送任何数据，则认为超时，此时算作用户一次认证失败。处理建议日志级别为notice，默认状态下不输出。项目说明日志信息AUTH_HTTP user:huaweihuawei (vpn: public) authentication passed含义用户认证成功。产生原因当用户的认证信息正确时输出。处理建议日志级别为notice，默认状态下不输出。项目说明日志信息AUTH_HTTP user:huaweihuawei (vpn: public) authentication failed含义用户认证失败。产生原因当用户输入错误的用户名或口令时，以及用户TCP连接超时等情况下输出。处理建议日志级别为notice，默认状态下不输出。