锐捷eWeb系统登录失败的深度排查与解决方案

1. 常见登录故障现象概述

在日常运维中，锐捷eWeb系统的登录失败问题频繁出现，主要表现为用户输入账号密码后提示“认证失败”、“账户被锁定”或页面加载异常。根据实际案例统计，以下五类原因占比超过85%：

• 账号密码错误或账户因多次尝试被锁定
• 浏览器兼容性问题（如IE版本过低）
• ActiveX控件未启用导致认证组件无法加载
• RADIUS认证服务器通信异常
• 设备系统时间不同步引发证书校验失败

2. 账号状态与安全策略分析

锐捷eWeb系统默认启用了账户锁定机制，通常配置为连续5次错误登录后锁定账户30分钟。该策略由后台AAA模块控制，可通过命令行查看：

# 查看账户锁定策略
show running-config | include login lockout

# 示例输出：
login lockout threshold 5 attempts within 300 seconds
login lockout duration 1800 seconds

管理员可通过clear login attempts <username>命令手动解锁特定用户。

3. 浏览器兼容性与前端环境要求

eWeb系统对客户端浏览器有明确的技术规范，尤其依赖IE内核环境。以下是支持的浏览器配置表：

浏览器类型	最低版本	必需设置	是否推荐
Internet Explorer	IE10	启用ActiveX、关闭增强安全配置	是
Edge (IE模式)	80+	添加站点到兼容性视图	推荐
Chrome / Firefox	最新版	需安装专用插件或使用代理网关	有条件支持

4. RADIUS认证链路诊断流程

当本地认证失败时，系统将转发请求至RADIUS服务器。网络层连通性是关键前提。以下为标准排查流程图：

graph TD A[用户提交登录] --> B{本地认证?} B -->|否| C[发起RADIUS Access-Request] C --> D{能否到达服务器IP:1812?} D -->|否| E[检查防火墙ACL/路由表] D -->|是| F[服务器是否返回Access-Accept?] F -->|否| G[检查共享密钥/RADIUS日志] F -->|是| H[认证成功]

5. 系统时间同步与PKI信任链

若设备系统时间偏差超过证书有效期容忍范围（通常±5分钟），HTTPS握手将失败。NTP同步状态可通过以下命令验证：

# 检查NTP状态
show ntp status
show clock detail

# 预期输出示例：
Clock is synchronized, stratum 3, reference is 192.168.10.1
NTP is active and synchronizing

建议部署本地NTP服务器，并在eWeb设备上配置可靠的时间源。

6. 综合排查清单（Checklist）

为提升排障效率，建议按以下顺序执行检查：

1. 确认用户名密码正确（注意大小写及CapsLock状态）
2. 通过CLI检查账户是否被lockout
3. 更换已知正常的浏览器（如IE11）测试
4. 确保URL添加至可信站点并启用ActiveX
5. 使用ping/traceroute检测RADIUS服务器可达性
6. 验证NTP同步状态及系统时间准确性
7. 抓包分析TCP三次握手及RADIUS报文交互
8. 查看eWeb服务进程是否正常运行
9. 检查SSL证书有效期及CA信任链
10. 审查系统日志中的AAA认证事件