Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
USW-Pro — серверы Dead radius остаются мертвыми навсегда, feature-request
 
Привет! У нас настроена сеть с 10 USW/USW-Pro, которые обслуживают пользователей через аутентификацию портов на основе MAC через radius. При отладке проблемы с прошивкой USW версии 5.64.8 (когда перестали проходить пакеты) я обнаружил, что radius-серверы, помеченные как недоступные (из-за таймаута или количества попыток), остаются в этом состоянии, пока не перезагрузишь коммутатор. Это происходит только с USW-Pro, думаю, потому что у обычных USW просто нет функции пометки radius-серверов как «мертвых» (нет такой опции в CLI-конфиге).

RADIUS[radius_task]: radius.c(2735) 83688 %% [INFO] RADIUS: Все серверы аутентификации недоступны

Подключаясь к коммутатору через telnet localhost, вижу такое:

#show radius servers name auth0

Имя RADIUS-сервера............................. auth0  
Текущий IP-адрес сервера......................... 10.0.10.10  
Количество повторных попыток....................... 4  
Время «мертвости»................................... 0  
Длительность таймаута............................... 20  
Состояние сервера................................... Dead  
Время в текущем состоянии........................... 80992 с  
Состояние «бессмертия» сервера.................... True  

Было бы здорово, если бы коммутатор периодически проверял radius-сервер снова (параметр Dead Time), а не уходил в режим «да ладно, мне всё равно». Очень раздражает необходимость случайных перезагрузок, только потому что radius-сервер пару секунд не отвечал.

Судя по CLI других коммутаторов, представляется, что одна из этих двух команд могла бы решить проблему.  
(1) не даёт эффекта, а (2) исправляет ситуацию:

(1) #radius server deadtime 10  
(2) #radius server host auth 10.0.10.10 test username are-you-there-then-say-reject deadtime 1

Я знаю, что в версии, скажем, 5.64.8 таймаут (до 50) и количество повторов (до 10) увеличили, но это не решает проблему, а лишь снижает вероятность её возникновения. Добавление deadtime и тестового username в конфиг могла бы её исправить. Понимаю, что тогда в логах radius могут появляться неожиданные имена пользователей, но это объяснимо и небольшая плата за стабильность в корпоративной среде.

Кто-нибудь сталкивался с похожим?  
Модель устройства: UBNT-US48PRO-POE  
Версия ПО: 5.43.23.12533  
Контроллер: 6.2.26  
FreeRadius: 3.0.20  

Все сырые логи прикреплены приватно.
 
Я тестировал прошивку на USW-Pro-48, и серверы All Auth Dead больше не появлялись в логах. Однако, хотя сначала казалось, что всё работает, теперь некоторые пользователи жалуются на «нет сети» из-за известной ошибки с аутентификацией по MAC-адресу. Но эта проблема уже описана в другом тикете (пока что я откатываюсь на версию 5.43.23, потому что именно в ней всё работало).  

Ещё один быстрый момент: мы улучшили наши radius-серверы, и теперь они отвечают быстрее, так что я не могу на 100% гарантировать, что проблема полностью исчезла — возможно, она проявится позже. В любом случае для нас вопрос решён. Большое спасибо!
 
Привет, @internetnavigator! Да, ты можешь установить прошивку на USW-Enterprise-24-PoE.
 
Спасибо, @UI-Glenn! Я установил прошивку на один из наших USW-Pro. Этот свитч стоит в стеке с другим таким же, той же модели и того же заказа. Однако, когда я прошиваю на второй, не могу тестировать его так долго, как нужно, чтобы увидеть неактивные radius-серверы, так как мы всё ещё сталкиваемся с багом, из-за которого mac-аутентификация не работает. Я несколько раз переподключал/перезагружал, но все клиенты на этом свитче не могут даже получить IP из-за проблемы с dot1x mac-аутентификацией. Если переключить на принудительную аутентификацию (force-auth), то всё работает отлично. Но лучше продолжить обсуждение проблемы с mac-аутентификацией здесь: https://community.ui.com/questions/mac-auth-bypass-via-radius-not-working/ae10d6cc-4cf1-4151-a4d8-755e6386d72f — баг-репорт (3150160).

Что касается другого свитча, то, почему так — не знаю, но он работает с присланной вами прошивкой и mac-аутентификацию выполняет как и ожидалось. То есть, оба свитча одинаковые, и я не понимаю, почему один вдруг стал работать с mac-аутентификацией на этой прошивке, а другой — нет. Эта проблема тянется с версии прошивки 5.43.23, и меня очень удивило, что сейчас на одном из свитчей всё получилось.

Я планирую провести ещё тесты с другим USW-Pro, который у меня есть для лабораторных целей. Поскольку USW-Pro 48 и USW-Enterprise-24 оба работают на bcm5616, можно ли попробовать эту прошивку и на USW-Enterprise-24?

В любом случае, я оставлю тестовую прошивку на том свитче, где mac-аутентификация работает, и посмотрим, появятся ли в логах неактивные radius-серверы в ближайшие дни.

Большое спасибо!
 
Привет, @internetnavigator, попробуй, пожалуйста, прошивку, которую я отправил тебе в личном сообщении.
 
@UI-Glenn, извиняюсь за огромное затишье. По какой-то причине пропустил твой ответ. К сожалению, на USW-Pro мы не можем поставить прошивку новее 5.43.23, потому что тогда ломается аутентификация по mac-адресу через radius. Я уже отправил и ещё открытая баг-репорт (3150160), так как теперь та же проблема появилась и на USW-Enterprise, но подходящей старой прошивки, которая работает, нет. Пока что после любого обновления контроллера мы снова настраиваем линии из последнего сообщения — и это отлично работает, поддерживая коммутатор в рабочем состоянии.
 
Привет, @internetnavigator, у тебя всё ещё возникает эта проблема на версии 5.76.6?
Страницы: 1
Читают тему (гостей: 1)