2024年4月15日发(作者:)

第13卷第2期 

2014年2月 

软件导刊 

SOftware Guide 

\『o1.13NO.2 

Feb.2O14 

锐捷认证掉线问题探究 

胡 磊,戴瑜,李 婧 

(空军预警学院训练部,湖北武汉430019) 

摘 要:目前,国内大部分高校校园网均部署锐捷安全管理平台,而锐捷认证掉线问题导致用户无法正常上网则是大 

多数高校亟需解决的问题。结合锐捷认证系统原理与问题解决方法及步骤,对该fq题进行了详细解析,总结了常见 

故障及其处理方法,以期为相关人员提供实际可行的指导与借鉴。 

关键词:锐捷安全管理平台;锐捷认证;校园网 

中图分类号:TP302 文献标识码:A 文章编号:1672~7800(2014)002—0032—03 

(3)安装锐捷认证软件。用户可至HTTP://10.10. 

1 锐捷安全管理平台简介 

1l.1 系统简介 

10.10下载锐捷客户端软件到本地,并进行安装。 

(4)使用锐捷客户端认证上网。客户端安装完毕后, 

打开客户端输入信息管理中心配发的“用户名”、“密码”, 

点击“连接”,客户端自动完成认证后,用户即可上网。 

2.2锐捷认证原理 

通过锐捷安全管理平台,网络管理员可以为网络中的 

主机设备定义一个统一的网络安全接入标准,只有满足这 

个接入标准的主机才能接入并使用网络。它可以根据网 

锐捷认证协议是基于802.1X扩展的私有协议,因此 

络J{】户接入环境的变化自动采取动态响应、预防、修复等 

措施,从而实现对学院网络安全的保护。作为一种全新的 

安全解决方案,它大大地提高了抵御网络安全威胁的能 

力。 

1.2 捷认证掉线问题 

在研究之前必须先了解标准的802.1X协议(具体可以参 

考RFC 3748),下面给出简单的协议描述。 

2.2.1协议认证过程 

协议认证过程如下:①主机向服务器(多播或广播地 

址)发送EAPOI 一Start;②服务器向主机发送EAP—RE— 

题反映为学院锐捷认证用户正常上网情况下突然 

掉线,再次拨号时认证停顿在“寻找认证服务器”,之后提 

示框显示“认证失败”。另外有些用户反映,锐捷认证失败 

后,反复“禁用”、“启用”网卡,然后多次尝试锐捷拨号能够 

成功认证,但是在上网10分钟左右锐捷认证会再次掉线。 

由于锐捷客户端无法正常认证,学院大多数用户无法上 

网,导致学院相关业务中断,影响重大。 

QuEST—Identity身份验证请求;③主机向服务器发送 

EAP—RESPONSE—Identity回应;④服务器向主机发送 

EAP—REQUEST—MD5 Challenge要求验证密码的 

MD5校验值;⑤主机向服务器发送EAP—RESPONSE— 

MD5

Challenge回应;⑥服务器向主机发送EAP—Suc— 

CeSS;⑦保持连接的通信。 

其中,EAPOL是802.1X协议定义的一种报文封装 

格式,主要用户在客户端和设备端之间传送EAP协议报 

文,以允许EAP协议报文在I AN上传送。 

2.2.2协议报文分析 

表1 EAPOL--报文结构(byte) 

2锐捷认证过程及原理 

2.1锐捷认证过程 

锐捷认证过程如下: 

(1)用户注册。用户到指定的网络地址(HTTP:// 

10.10.10.10)进行注册并填写个人相关信息,此网站不受 

锐捷拨号的限制,即不拨号也能打开网页。 

(2)配置网络地址。注册用户后,每台电脑需匹配唯 

的IP地址,详细地址可至HTTP://10.10.10.10中进 表1为EAPOL一报文结构(byte),其分析说明如下: 

a类型说明。通常为常量0x01(表示EAP()I 帧发送 

行查询,并将其配置到网卡属性中。 

作者简介:胡磊(1987一),男,空军预警学院训练部助教,研究方向为计算机网络管理。 

第2期 胡磊,戴瑜,李婧:锐捷认证掉线问题探究 ・33・ 

方所支持的协议版本号)。 

Input:837 packets/sec、Output:1313 packets/sec,属于正 

b类型取值。EAPOL—Packet:OxO0(认证报文数 

据,用于承载认证信息);EAPOL—Start:Ox01(认证开始 

报文,用于主动发起认证过程);EAPOL—Logoff:Ox02 

(下线请求报文,用于用户主动发起下线请求)。 

d类型取值:EAP—Request:OxO1;EAp--Resopnse: 

OxO2;EAP—Success:0x03;EAP—Failure:0x04。 

常流量,判断若为网络阻塞,应不在核心交换机②与锐捷 

认证服务器①之间。 

定点查看没有找到流量堵塞,全局搜索查看核心交换 

机每个端口流量,发现有两个端口流量异常,其网络拓扑 

图如结构2所示。 

设备通常通过该字段来验证报文是否合法,如果该字段 

在状态机中所保存的值不一样则会认为非法,直接丢弃。 

e类型说明:通常由服务器发来的报文指定,在连续的报 

文内使用这个id来协商或者作为计算MD5值的数据之一。 

g类型取值:Identity:0x01(用来查询对方的身份); 

MD5

Challenge:0x04(类似于PPP CHAP协议,包含质 

询消息)。 

3・ 问题分析及排错过程 

图1为锐捷认证系统部署拓扑图 

图1锐捷认证系统部署拓扑结构 

同一时间出现锐捷大面积掉线的情况,可能存在的问 

题有以下几方面: 

3.1锐捷认证服务器故障 

如果锐捷认证服务器①出现问题或物理链路①<一 

一一

>②断开,所有关于锐捷认证的通信都会在服务器 

端以失败终结。首先检查物理链路①<…一>②正 

常;登录锐捷认证服务器①进行查询,服务器系统运行状 

态良好,CPU使用率8 ,内存占用1.95GB。锐捷认证 

RG-SMP安全管理平台运行状态良好,所有相关服务均正 

常运行,USB加密狗接人正常,能够正常登录RG—SMP 

安全管理平台。因此判断锐捷认证服务器没有问题。 

3.2网络环境故障 

将问题定位在网络环境中,针对上图①<一一> 

( <…一>③<…一>④之间通信链路进行检 

测。 

(1)骨干链路物理断开(核心交换机②<…一> 

接入交换机③)。如果核心交换机与接入交换机之间的链 

路断开,接入交换机以下的用户全部不能上网。通过实际 

查看,教研大楼与信息管理中心核心交换机骨干线路连接 

:正常,分析可能是网络堵塞。 

(2)网络堵塞(核心交换机②<一一>锐捷认证 

服务器①)。检查核心交换机与锐捷认证服务器之间网络 

线路流量。核心交换机上与锐捷认证服务器连接端口16I, 

图2网络拓扑结构 

(3)网络堵塞(核心交换机②<…一>图书馆 

VMware服务器⑤)。核心交换机②端口 ,其连接至图 

书馆VMware虚拟服务器⑤,通过端口流量分析,其每秒 

产生2万个数据包,正常情况下图书馆虚拟服务器不可能 

产生这么大的流量。判断图书馆VMware服务器⑤中 

毒,产生大流量攻击校园网,导致锐捷认证失败。于是将 

核心交换机端口l7f关闭,断开与图书馆服务器的连接。端 

口I7l关闭后,核心交换机上流量减少,CPU负载情况降 

低,但是锐捷认证依然失败,问题没有解决。 

(4)网络堵塞(核心交换机②<…一>接入交换 

机③)。另外核心交换机②端VI l8l,其连接至接入交换机 

③,通过端口流量分析,其每秒产生的数据包在1.5万~2 

万之间,该数据量高出平常水平很多。网络堵塞可能发生 

在该链路上。 

同时在核心交换机②上通过“show arp”命令查看,发 

现大量“Internet 10.10.110.105<…><Incom— 

plete ̄arpa VLAN l1O”报文,其为arp未完成报文,处于 

Incomplete状态,在IP地址无法找到其对应的MAC地址 

时进行转发,占用交换机内邻居缓存表。对比正常状态下 

arp报文如下: 

“Internet 10.10.11O.124 4 001C.25d2.84ab arpa 

VLAN 11O”。 

通过观察,核心交换机内存在大量的arp未完成报 

文,并且接入交换机③下VLAN 109、11O中尤为突出。结 

合实际情况,VLAN1O9、110下用户锐捷掉线情况也较为 

集中。 

(5)网络堵塞(核心交换机②<…一>接人交换 

机③)。接入交换机③查看端口流量,发现除去端口l9I,其 

连接信息管理中心核心交换机端口l81,还有3个端口l10l 

I11ll12l产生流量均比其它端口要大很多。结合用户电话 

反映情况,接人交换机③下的锐捷用户,认证全部失败。 

34・ 软件导刊 2014生 

4 问题定位及处理情况 

通过以上针对问题的分析以及排错,将问题定位于接 

人交换机③上。 

4.1问题定位过程 

首先关闭核心交换机②<…一>接人交换机③ 

之间的端口18l,院内其它场所锐捷认证恢复正常,拨号后 

很快提示认证成功,上网正常。但是接人交换机③下接人 

的用户不能上网,问题根本没有解决。 

于是打开核心交换机②<…一>接人交换机③ 

之间的端口I8f,关闭接入交换机③下流量异常的l1oll11l 

{12l 3个端口,锐捷认证正常,上网正常。3个端口下接入 

用户均无法上网。 

进一步排查,需将问题定位在唯一用户。关闭端口 

I10I,打开端I21 l11l l12f问题解决;关闭端121 f11l,打开端121 

回回问题解决;关闭端I21回,打开端口回回问题存 

在。由此可以确定端口{1olI11l下的用户有问题,可能是用 

户中病毒导致产生大流量,从而攻击学院网络。暂时关闭 

接入交换机③中的端I21I11l让学院网络恢复正常。 

4.2问题处理情况 

查询端口l11l下的用户,其所在房间端口l14l下接了一 

个小HUB(集线器);同时房间另外一个端口1131同时通过 

网线连接到此HUB,具体接人情况如图3所示。 

图3具体接入情况 

由图3可知,接入交换机与HUB⑩之间造成网络环 

路,产生大量的广播包,泛滥到核心交换机,影响学院锐捷 

认证正常工作。 

断开HUB⑥下的I14l端VI,断开环路,学院网络恢复 

正常,锐捷认证掉线问题解决。 

5 问题总结及常见故障处理 

5.1问题总结 

通过上文所述方法,学院锐捷认证掉线问题成功解 

决。总结其掉线原因如下:校园网用户网络基本常识知缺 

乏,将同一个交换机中两个端口同时接人同一集线器设 

备,造成网络环路,产生大量广播包,泛滥到整个校园网, 

产生网络拥塞,进而引起锐捷认证报文无法正常在锐捷服 

务器端和客户端进行交互,导致锐捷认证掉线。 

在部署锐捷安全管理平台的校园网中,锐捷认证成功 

与否是网络用户能否正常上网的前提因素,也是决定性因 

素。在用户使用电脑上网时,锐捷无法正常认证的情况时 

常发生,因此,总结锐捷认证常见的故障以及处理方式尤 

为必要。 

5.2常见故障及处理方式 

(1)现象:无法认证,提示“网卡未连接上”。原因:网 

线连接不正确,网线质量差,小交换机质量差,交换机柜停 

电等。解决方法:检查网线是否正常,小交换机是否正常, 

确认值班室交换机柜是否停电。 

(2)现象:无法认证,认证停顿在“寻找认证服务器…” 

原因:网线质量差,或者网卡有问题,或者没有选择“使用 

私有组播地址认证”。解决方法:检查网线是否正常;将速 

率改成10M,在实际运行中存在某些线路无法进行1OCM 

的数据交换;在认证客户端中设置“使用私有组播地址认 

证”;重装网卡驱动程序;如果问题依旧存在,更换一张网 

卡。 

(3)现象:无法认证,认证客户端停顿在“连接认证服 

务器…”原因:提供服务的接入交换机到信息管理中心的 

服务器通信不正常,可能是某台交换机或者是网络中心机 

房部分故障也可能是服务器NAS参数设置有误。解决方 

法:将此现象通知信息管理中心,并耐心等待。 

(4)现象:认证成功,但是无法上网。原因:网关和 

DNS没有设置正确或者是网络中心故障(如果是区域性 

故障)。解决方法:正确设置IP(信息管理中心提供的IP 

地址)和DNS(两个以内),如果还是不能上网,将网卡驱 

动程序重装一遍,或将相关情况汇报给网管人员。 

(5)现象:用户不存在或者密码错。原因:用户名或密 

码错,或用户不存在。解决方法:确认用户名密码的正确 

性(大小写);联系网管人员处理。 

(6)现象:客户端一运行即消失。原因:设置多个 

DNS(两个以上)或者多个IP。系统里有system32.exe这 

个进程,可能是木马程序,也可能伪装成其它的名字。解 

决方法:正确设置1P(网管中心提供的IP地址)和DNS 

(两个以内)。检测系统中的非法进程,注意个人电脑防 

护。 

6 结语 

锐捷认证系统倡导的“实名制身份体系”在学院的网 

络建设中起到了非常关键的作用。学院校园网属于军训 

网的一部分,其网络安全性尤为重要。运用锐捷的“实名 

制身份体系”,能够很好地对校园网的运维进行监管,缓解 

网络泄密事件的发生,并对泄密案件做到有理可依,有据 

可查。而且其提供的差异化服务进行带宽管理、确保上网 

安全、应用系统单点登录、按照用户身份制定教学资源是 

网络应用体验的提升之道,对学院未来发展有着重大意 

义。 

第13卷第2期 

2014年2月 

软件导刊 

S0ftware Guide 

v01.13NO.2 

Feb.2O14 

基于O PEN CV平台的运动物体 

跟踪与轨迹生成研究 

吴新建,彭延军 

(山东科技大学信息与工程学院,山东青岛266590) 

摘 要:在比赛项目中,对运动员进行跟踪和分析,精确计算运动员的体能消耗和状态是十分必要的。一个新兴的交 

叉学科Sports IT,就是利用先进的计算机图形图像技术来分析各种比赛时运动员状态。在此背景下,利用OPENCV 

平台,实现运动物体的实时跟踪,生成轨迹和长度。实现了对艺术体操运动进行识别和追踪,生成运动轨迹。首先采 

用camshift方法进行跟踪,当遇到相似的背景导致跟踪失败时,采用帧间差分算法对运动物体再次识别,在出现多个 

候选运动目标中挑选出距离跟踪失败坐标点最近的运动目标,找回跟踪物体。 

关键词:运动识别;轨迹生成;camshaft跟踪算法;帧问差分;OPENCV;投射变换 

中图分类号:TP311 文献标识码:A 文章编号:1672—7800(2014)002—0035—03 

视台在直播大型比赛时,也可以用数据的形式展现和分析 

0 引言 

我国体育事业正处在一个上升的阶段,体育科研工作 

越来越受到重视。对运动项目中的运动员进行分析,可以 

帮助教练和运动员在之后的训练中更有效地提高技能;电 

运动员的表现。在国外,Sports IT研究人员对冰壶、花样 

滑冰以及棒球运动研究的成果颇丰。本文采用0PENCV 

平台,因为有很多优秀的跟踪算法被整合到该视觉库中, 

绝大多数算法都有对应函数实现,而且OPENCV的函数 

库是开源的,便于研究者使用。 

E3] 高俊.从锐捷RG—SAM认证系统的应用认识802.1x技术[J].电 

参考文献: 

[二L] 聂武超,张彦兴.802.1X认证技术分析[J].华为技术报,2002 

(133). 

脑学习,2010(4). 

[4] 

童子方,李亦杰.基于802.1X协议解决校园网安全的探索[J].网 

络安全技术与应用,201l(1). 

[2] 

李瀛寰,马云飞.802.1x:开创认证新时代[N].北京:中国计算机 

报,2003—06—23. 

[53 锐捷网络.SAM网络安全解决方案Ez].2010. 

(责任编辑:孙娟) 

Analysis of Ruij ie Certification Dropped 

A bstract:At present,Ruijie security management platform is installed in campus network of most Chinese Universities. 

However,the users are faced with one serious problem that Ruij ie certification is often off-line,and which may preven 

the users from getting access to internet normally.This paper put forward several effective solutions to this problem from 

a practical point of view according to the principles of Ruijie certification system.The author believes that this thesis can 

help the readers get a better and deeper understanding of this system and solve the off—line problem timely and efficiently. 

Key Words:Ruij ie Security Management Platform;Ruij ie Certification;Campus Network 

作者简介:吴新建(1989--),女,山东科技大学信息与工程学院硕士研究生,研究方向为图形图像和体视觉;彭延军(1971一),男,山东 

科技大学信息与工程学院教授、硕士生导师,研究方向为图形图像学。