1、故障景象
  用户启动客户端进行认证时，，，，，出现认证无法成功或认证成功后无法接见网络的问题：
    景象1）客户端提醒“在寻找认证服务器”，，，，，随后提醒无法找到认证服务器，，，，，认证失败；；；；；；；
    景象2）客户端提醒“在衔接认证服务器”，，，，，随后提醒衔接认证服务器失败，，，，，认证失败；；；；；；；
    景象3）客户端提醒认证客户端类型谬误，，，，，如“使用的客户端长短全发国际安全代理”、“使用的长短全发国际客户端”等等；；；；；；；                      
    景象4）客户端提醒“用户名或密码谬误”
    景象5）客户端提醒，，，，，认证使用的“IP、MAC、设备端口、设备MAC、硬盘序列号等校验失败”
    景象6）客户端提醒“您已被不容使用网络!”
  2、  故障可能原因
    1）客户端和认证设备、认证设备和SMP服务器之间的通讯异常；；；；；；；
    2）认证设备802.1x配置谬误；；；；；；；
    3）认证设备没有被增长到SMP治理设备中，，，，，或设备类型增长谬误；；；；；；；
    4）用户开户时选择的认证客户端类型谬误；；；；；；；（SMP2.6以下版本存在此问题，，，，，2.6版本起头无需选择客户端类型）
    5）用户认证时输入的用户名或密码谬误；；；；；；；
    6）用户启用了接入方式节造，，，，，因网络信息校验失败导致无法认证；；；；；；；
    7）用户被参与黑名单中导致无法认证；；；；；；；                                                                 

3、故障处置流程
 

4、故障处置步骤

步骤1 查看SMP的认证失败日志
当客户端提醒认证失败时，，，，，首先查看SMP中的认证失败原因，，，，，如下图所示：

1. 打开SMP的治理界面，，，，，顺次点击“身份认证治理”-认证失败日志，，，，，查看失败原因；；；；；；；

2. 失败原因有几种情况：
1） 查看SMP的认证失败日志无任何日志纪录，，，，，客户端提醒“在寻找认证服务器”，，，，，随后提醒无法找到认证服务器，，，，，认证失败的提醒；；；；；；；出现此景象时请直接进入步骤二；；；；；；；
2） 失败原因是“认证设备无法找到”，，，，，这注明认证使用的接入设备没有增长到SMP的治理设备中，，，，，请直接进入步骤二；；；；；；；
3） 失败原因是“用户不存在“或“密码谬误”，，，，，首先查抄认证使用的用户名是否被正确的增长到SMP中，，，，，再批改密码后沉新尝试认证，，，，，步骤如下：

i. 是打开SMP的治理界面，，，，，顺次打开“身份认证治理”-“治理用户”-先确认用户是否存在，，，，，再找到提醒密码谬误的用户点击批改：

ii. 在“用户密码”和“密码确认”中输入新的密码后，，，，，点击批改实现密码批改后再次尝试认证：
 

4） 失败原因是“必须使用全发国际安全代理认证”或“必须使用非全发国际安全代理认证”，，，，，请直接进入步骤3；；；；；；；
5） 失败原因是“用户IP、用户MAC、设备IP、设备端口或硬盘序列号校验失败”，，，，，请直接进入步骤4；；；；；；；
6） 失败原因是“用户已被参与黑名单”，，，，，请直接进入步骤5；；；；；；；

步骤2 查看SMP和互换机的配置

当用户认证失败时，，，，，顺次查抄SMP和接入互换机的配置是否正确：
1.  要实现用户认证，，，，，必要的配置步骤顺次是：

1） 在接入设备中配置802.1x认证的职能，，，，，以全发国际10.x互换机配置为例，，，，，802.1x的必要配置如下：
aaa new-model                                                                           //开启aaa认证
aaa group server radius compatible                                            //配置名称为“compatible”的AAA服务器组

aaa accounting update                                                           //开启记账更新职能
aaa accounting update periodic 15                                            //界说记账更新周期
aaa accounting network default start-stop group radius            //配置记账职能
aaa authentication dot1x default group radius                           //配置dot1x认证步骤

radius-server host 172.16.8.125                                                //界说认证服务器IP
radius-server key test                                                                //界说认证radius key（需和SMP设备模板中配置一致）

interface FastEthernet 0/1
 dot1x port-control auto                                                           //在接口上开启dot1x认证职能
snmp-server community public rw                                            //设置snmp集体接见字符（需和SMP设备配置模板中配置一致）

2） 打开SMP的治理界面顺次增长用户组和用户；；；；；；；

i.  打开“身份认证治理”点击“治理用户组”中的增长；；；；；；；

 ii.  输入用户组名称后点击增长：

iii.  顺次点击“身份认证治理”-“治理用户”-“增长”，，，，，输入用户名和密码并选择用户组后点增长：
 

3） 在“治理设备”中配置“设备配置模板”并增长认证设备；；；；；；；

i.  打开SMP治理界面，，，，，在“身份认证治理”“治理设备”中点击“设备配置模板”进入设备模板配置界面，，，，，并点击增长配置一个新的设备模板：

ii.输入“设备配置模板名称”，，，，，选择设备类型（SMP支持多种设备类型，，，，，增长时务必确认当前使用的设备类型并正确选择），，，，，输入“身份认证key”，，，，，填写“SNMP v2c community”配置，，，，，注：“身份认证key”和“SNMP v2c community”配置需和互换机配置的参数一致；；；；；；；

iii. 回到“身份认证治理”“治理设备”点击“增长”进入设备增长界面：
 

iv. 添入正确的设备IP，，，，，选择刚增长的“设备配置模板”后点击“立即获取设备信息”（设备需配置SNMP并和SMP设备模板中的配置一致），，，，，点击增长实现设备增长：
 

4）装置客户端并输入正确的用户名和密码提议认证；；；；；；；

2.  SMP的802.1x认证流程如图所示，，，，，共分为两个部门：

1） 第一部门是客户端和接入互换机之间交互EAP报文，，，，，正确的EAP报文交互过程如下：（本例使用抓包工具为wireshark）

如认证失败时客户端显示“在寻找认证服务器”而后提醒认证失败，，，，，则注明接入设备没有响应客户端提议的EAP要求，，，，，请按如下步骤排查：

i.   查抄本地网络衔接是否正常，，，，，确定网络处于联通状态；；；；；；；
ii.  关关互换机接口的dot1x认证或将认证pc接到非认证接口上，，，，，通过ping或者telnet 的方式，，，，，确保认证pc和接入互换机间的网络通讯正常；；；；；；；
iii. 启动抓包工具，，，，，对照上图查看互换机是否响应客户端发出的EAP要求；；；；；；；
iv. 对照上文的互换机配置，，，，，逐条查抄互换机配置，，，，，确保互换机配置正确；；；；；；；

2）第二部门是接入互换机和SMP之间交互radius报文，，，，，正确的radius报文交互过程如下：（本例使用抓包工具为wireshark）

如认证失败时客户端提醒“在衔接认证服务器”，，，，，随后提醒认证失败，，，，，则注明接入设备和SMP直接的交互存在问题，，，，，请按如下步骤排查：

i.   确保接入互换机和SMP直接的网络通讯正常，，，，，能够登录到互换机上看是否可能ping通SMP服务器。。。。。。。。
ii.  在SMP上启动抓包工具，，，，，参考上图看SMP服务器是否收到并回应接入互换机发送的radius要求，，，，，如SMP服务器接到radius access-request要求但没有回应，，，，，请查抄SMP本地环境，，，，，关关防火墙和杀毒软件后再次认证。。。。。。。。
iii. 查抄SMP服务器日志是否有认证失败的提醒，，，，，查看SMP上是否正确的增长认证互换机，，，，，设备模板中的radius key参数配置是否和互换机一致。。。。。。。。（参考本章节的配置步骤排查）

3. 如以上步骤查抄结束依然无法认证成功，，，，，则进入步骤6。。。。。。。。

步骤3 查抄SMP上开户时增长的客户端类型

目前SMP支持的客户端类型有两类，，，，，一类是全发国际客户端蕴含RG-SA（全发国际安全代理）和RG-SU（全发国际安全客户端），，，，，另一类是操作系统自带的1x认证客户端和其他支持尺度802.1x和谈的认证客户端。。。。。。。。

1. 如认证时提醒客户端类型谬误，，，，，在SMP日志中查看失败原因是“必须使用全发国际安全代理认证”，，，，，则注明当前用户使用的客户端类型不正确，，，，，处置步骤如下：（针对SMP2.6以前的版本，，，，，SMP2.6版本能自动鉴别客户端类型）

i.  进入SMP治理界面，，，，，顺次打开“身份认证治理”-“治理用户”，，，，，找到认证失败的用户点击“批改”，，，，，进入用户治理界面，，，，，查看认证客户端类型选择是否和当前用户装置的匹配，，，，，如不一致则进行批改。。。。。。。。

2.  对于非全发国际认证客户端，，，，，由于不支持SMP的私有属性，，，，，所以无法上传接入如“IP类型、硬盘序列号等属性”，，，，，若是使用非全发国际认证客户端又开启了网络信息校验职能，，，，， 则会导致认证失败，，，，，处置步骤如下：

i.  进入SMP治理界面，，，，，顺次打开“身份认证治理”-“治理用户组”，，，，，找到认证失败用户地点的用户组点击批改，，，，，在接入方式节造标签取缔掉“网络信息校验”中的有关校验内容；；；；；；；

步骤4 查抄SMP接入方式节造中的配置
若是在SMP的接入方式节造中进行了配置绑定，，，，，当用户认证时的网络校验信息和系统绑定的不一致时，，，，，则会出现认证失败的情况。。。。。。。。

1. 客户端提醒如：“用户IP校验失败”或“硬盘序列号校验失败”等信息，，，，，查看SMP认证失败日志的失败原由于“用户IP、用户MAC、设备IP、设备端口或硬盘序列号校验失败”,注明用户当前认证的网络信息产生了调换，，，，，和系统中绑定的不一致；；；；；；；处置步骤为：

1）首先登录到SMP治理界面，，，，，顺次打开“身份认证治理”-“治理用户组”，，，，，找到认证失败用户地点的用户组点击批改，，，，，在接入方式节造标签查看认证失败用户地点用户组是否开启了网络信息校验职能：

2）在SMP治理界面，，，，，顺次打开“身份认证治理”-“上网汗青纪录”搜索认证失败用户的上网汗青纪录点击查看，，，，，如图所示：
 

3）将查看到的绑定信息奉告用户，，，，，并要求用户使用绑定的信息登录，，，，，如：用户网络信息绑定的用户IP为1.1.1.1，，，，，而用户批改IP为1.1.1.2，，，，，则在认证时会提醒用户IP校验失败。。。。。。。。此时必要用户将产生调换的网络信息批改为绑定的信息即可。。。。。。。。

4）若是用户必要批改当前绑定的网络信息，，，，，在SMP治理界面，，，，，顺次打开“身份认证治理”-“治理用户”找到必要批改绑定信息的用户，，，，，手动删除当前的绑定信息；；；；；；；
 

步骤5  查抄SMP的黑名单配置
若是在认证时客户端提醒“您已被不容使用网络”，，，，，请确认用户是否被参与到黑名单钟祝。。。。。。。

1.  用户被参与黑名单有几种情况：
1）  治理员手动将违规用户参与黑名单中；；；；；；；
2）  违反推算机；；；；；；；ふ绞醣徊斡牒诿ブ；；；；；；；
3）  发起网络攻击被NIDS检测到后，，，，，被参与黑名单中；；；；；；；

2.  当疑惑用户被参与黑名单导致认证失败时，，，，，按如下步骤处置：

1） 在SMP治理界面顺次进入“身份认证治理”-“黑名单中”，，，，，查看用户是否在黑名单中，，，，，如需解除用户的黑名单状态，，，，，只需在黑名单选中并删除用户纪录即可，，，，，如图所示：；；；；；；；

2）确认后，，，，，若是不是治理员手动将用户参与黑名单，，，，，能够在SMP的“日至分析”-“推算机；；；；；；；と罩”或“攻击事务处置日志中”查找用户被参与黑名单的原因：

步骤6  网络信息后，，，，，请联系4008111000协助处置
拨打4008111000协助处置前，，，，，请确认以下内容：
1、已严格依照软件操作手册、测试手册进行配置；；；；；；；（确保没有配置谬误）
2、客户端和接入设备之间，，，，，接入设备和SMP服务器之间的网络通讯正常；；；；；；；
并网络如下信息：
1 ) 具体的故障描述和排错过程中的截图和报文；；；；；；；
       2 ) 远程接见方式及其账号信息。。。。。。。。（如具备远程前提）
3、通过debugtool工具导出的调试信息文件:
1). 请在浏览器输入：http://1.1.1.1:8080/smp/debugtool.jsp（将1.1.1.1代替为SMP真实IP），，，，，并勾选“开启认证服务调试“、“开启记账服务调试”、“开启用户高低线调试”三个开关后，，，，，点击最下方的“批改”按钮，，，，，开启debug调试开关。。。。。。。。
 

2). 沉新登录客户端进行至少三次的认证操作，，，，，而后再次登录debugtool界面，，，，，点击下方的“导出调试信息”按钮。。。。。。。。 
 

4). 依照第1)步的步骤取缔“开启推算机；；；；；；；ぷ刺魇”前的选中状态，，，，，关关debugtool调试工具。。。。。。。。