诸君看官不要认为作家哗众取宠,故事还得从唐朝提及。
话说唐三藏误解悟空无心向善,挑升监犯,一连害死三条东谈主命后,一怒之下斥逐悟空。悟空被师父误解驱赶,心有戚戚,回到我方的老巢,久别500多年的花果山,接续当起他的猴大王。这边唐僧竭泽而渔叫八戒化缘,八戒却跑去呼呼大睡,唐僧饥渴难耐,遂又派沙僧去寻找八戒。哪料魔鬼趁此绑去唐僧。
且不言三藏逢灾。却说那沙僧出林找八戒,直有十余里遐迩,只听得草中有东谈主说话,声大如雷。待沙僧唤醒八戒,携八戒到到林中看时,不见了师父。沙僧谈:“二师兄,师父被魔鬼合手走了!快去找专家兄!”八戒扛起钉耙,直奔花果山!岂料师伯仲二东谈主的动静悉谴责到白骨精眼底,白骨精命东谈主守到去往花果山的岔口,欲将那大猪头引入我方的陷坑。
话说猪八戒凭着我方的追悼寻到花果山,哪料这五百年间花果山发生了气势磅礴的变化。山上花卉俱无,烟霞尽绝;峰岩倒塌,林树焦枯。八戒站在一处岔口傍边傲视,急的汗水直淌,哪条才是通往花果山的路呢。师父正等着俺老猪带专家兄且归救他呢,再晚些就怕师父就要酿成魔鬼的盘中餐了。高洁此时,一小啰啰从一条大谈受骗面走来“大王派我来巡山咯,巡完东山巡西山咯~”。“慢,就你,过来,告诉本元戎,哪条路通往花果山”小啰啰心中一阵暗喜,不动声色指向右侧的大谈,“此去20公里就是花果山,元戎沿此路一起向西即可”。八戒不疑有他,只奔西而去。。。
八戒错信旁东谈主,救东谈主不可反倒落入他东谈主陷坑。可叹!其实惟有他再往左侧大谈走走就能找到花果山的石碑,概况他再合手个小山公问问也能找到他专家兄所在。所幸有惊无险,三藏临了被悟空救下,师徒二东谈主重归于好,景象甚是感东谈主。八戒也免不了被他师父一顿碎碎念“东谈主是东谈主他妈生的,妖是妖他妈生的,怎生如斯淘气利用于你,你怎生如斯笨猪,被东谈主利用,害为师蒸了个特殊灼热的桑拿。。。”。
这些皆是很久很久以前的事了,话说那师徒四东谈主西天取经回想个个炼就不死之身,加官册封,逐日坐在那高高的棉花糖上斗田主,或是调戏调戏途经小宫娥,或是遥想遥想当年之伟姿,日子深远也心生厌倦。“师父,师父,目下皆21世纪了,色阁天下变化这样大,那些小宫娥皆不出来遛弯改在家淘宝了,咱是不是也要寻求点变化,顺势而上作念番大功绩”“师父、专家兄、二师兄说的对”“悟空,你看呢,咱师徒四东谈主作念点啥相宜”,“师父,徒儿认为目下是个互联网的时期,什么皆离不开收罗,如若当年咱能有这玩意,哪用历经九九八十一难,让他们把经文传凯旋我QQ邮箱一份即可。咱要不就从NB的收罗工程师作念起,凭师父的嘴皮、我的洞若观火,二师弟的脸皮,三师弟的缜密,咱一定会成为最NB的团队”“师父、二师兄、专家兄说的对”“那依悟空之计,咱们投靠哪家呢?”天外飘来四个字“学收罗,去华三,那处是个好场所。。。”世东谈主作揖“谢佛祖提点!”,乘云而去。
岂料师徒四东谈主第一次出马就遭逢了一个毒手的问题。某局点S5500-EI下挂VPN用户portal认证失败,客户发现启用portal之后,认证用户认证失败无法往常探问收罗。
八戒一脸笑嘻嘻接过组网图,心中暗想这下惨了,这用户咋不按常理出牌呢,认证PC和portal/radius干事器还皆位于VPN实例中。这版块也不老,R2221,也无已知问题。回头乞助世东谈主,专家兄转向一边吃起香蕉;师父更夸张,与女客户聊东谈主生、谈遐想,热气腾腾,昔时这样多年了,没想这世谈照旧看皮相的啊;再望望沙僧,一脸无辜,一张嘴推断又是“二师兄说得对!”。无奈,只可硬着头皮接续排查。
通例想路,先对建筑建树进行查验。
咦,建树并无问题:
portal server test ip 183.233.37.164 vpn-instance jiaoyu key cipher test url :8080/portal
ip vpn-instance jiaoyu
route-distinguisher 100:1
vpn-target 100:1 export-extcommunity
vpn-target 100:1 import-extcommunity
radius scheme test
server-type extended
primary authentication 183.233.37.165 vpn-instance jiaoyu
primary accounting 183.233.37.165 vpn-instance jiaoyu
key authentication cipher test
key accounting cipher test真人示范性交姿势
user-name-format without-domain
nas-ip 10.198.200.1
retry stop-accounting 10
domain test
authentication portal radius-scheme test
authorization portal radius-scheme test
accounting portal radius-scheme test
interface Vlan-interface4000 //认证用户所处VLAN虚接口建树
description PORTAL-TEST
ip binding vpn-instance jiaoyu
ip address 10.198.200.1 255.255.255.0
portal server test method layer3
portal domain test
interface Vlan-interface103 //聚积干事器的上行虚接口
ip binding vpn-instance jiaoyu
ip address 192.168.123.2 255.255.255.252
ip route-static 0.0.0.0 0.0.0.0 192.168.3.1
ip route-static vpn-instance jiaoyu 0.0.0.0 0.0.0.0 192.168.123.1
建树莫得问题,为了进一步排查问题原因,只可使出俺老猪必杀技,在建筑上开debug了。
Debug portal packet
Debug radius packet
哈哈,通过debug,果真发现存报错信息
*Jul 9 01:59:25:993 2000 GDQY-MS-JJW-SW01-QXEJL-H3C PORTAL/7/PORTAL_DEBUG: get bas ip fail.
*Jul 9 01:59:26:945 2000 GDQY-MS-JJW-SW01-QXEJL-H3C PORTAL/7/PORTAL_DEBUG: Failed to check packet.
凭证debug的信息“Failed to check packet.”迷惑现场刻下建筑的已毕机制来判断,是建筑在对认证报文进行查验时莫得通过,导致认证失败。
排查至此,看似明了实则一经迟滞,为什么会查验时莫得通过呢,get bas ip fail.路由问题吗?可路由表莫得问题的啊。
八戒有些悔怨的看着世东谈主,“专家兄,要不你用洞若观火瞅瞅吧,俺老猪真实是搞不定了”“专家兄,二师兄说的对,你给瞅瞅”。
悟空接过组网图,看着报文交互历程,在他眼里这些流量就像他的山公猴孙,好动却有序,没道理认证流量会回不去,问题会在哪呢?portal认证这样常见的应用,此次哪不同呢?唯独不同在于vpn,对!vpn!VPN下起portal会有什么不同了,莫非是。。。悟空已有所悟,“八戒,再给我稽查下刻下全局表和VPN路由表”
ip route-static 0.0.0.0 0.0.0.0 192.168.3.1
ip route-static vpn-instance jiaoyu 0.0.0.0 0.0.0.0 192.168.123.1
鬼父在线没错,就是他了。“把这条公网缺省路由去掉咱们试下”。“专家兄,告捷了告捷了!”认证往常通过愈加证据了悟空的推测,正本是这样.
处在vpn中的用户进行portal认证时,建筑会从portal报文中索要用户IP, 再凭证用户IP遍历通盘VPN的Fib表, 查找用户的入接口信息,细则用户是在哪个接口起的portal.因为遍历的技艺目下版块的处理时按照先查到先匹配的原则,如果同期存在公网路由和私网路由,会引起查表造作,从而导致找错了用户接口,最终导致vpn里的用户无法进行portal认证。
比如干事器发送过来的报文,需要凭证该报文顶用户的IP地址查找路由细则用户的三层接口,以查到的第一个为准,如果用户有两条路由,会出现查到公网路由上去了,咱们这个案例当中,就是因为底下公网路由的存在导致表项查找造作,
ip route-static 0.0.0.0 0.0.0.0 192.168.3.1
世东谈主一脸珍爱的看着好意思猴王,暗影里三藏也忍不住点头含笑“自从紫霞嫁给摇滚后生后,悟空这几年变化很大,不再动不动打打杀杀,心想也成景精致起来”。看着光环中的悟空,八戒心中启动不是味谈,心中佩服却又不肯承认,这种味谈最是难受。忍不住为我方谈判“俺老猪要不是第一次遭逢这种问题,也不会毫无教授”。“八戒,休得造次,为师给过你契机的,你可记适当年花果山的巡山小喽喽!”八戒已而款式煞白,无力喊谈“师父!”口吻中透着伏乞。“东谈主家给你指条谈你就去了,也不望望是不是去花果山的路,害得为师蒸了个特殊灼热的桑拿,东谈主是东谈主他妈生的,妖是妖他妈生的,怎生如斯淘气利用于你,你怎生如斯笨猪,被东谈主利用。。。”居然,师父照旧阿谁碎碎念的师父,八戒深知我方轻易,一错再错,无力反驳。
最终为了稳健这种VPN用户的portal接入认证组网环境,在师徒四东谈主的鼓舞下新的版块对已毕机制进行了修改。不错升级到R2221P03偏执后版块科罚。
谨以此文件给职责在前哨的收罗工程师,遭逢相称规问题,要善于找冲破点,勇于怀疑,也祝贺师徒四东谈主越来越牛!