802.1X认证失败时,首先需确保AAA认证域、802.1X认证等基本配置正确,具体排查措施请参参阅:认证域及相关配置错误、设备与RADIUS服务器的802.1X用户认证方式不一致,然后再通过下面方法快速定位认证失败原因。
查看display aaa online-fail-record all命令的回显字段User online fail reason。
查看trace object mac-address mac-address命令的Trace信息。
常见的802.1X认证失败原因
1、Radius authentication reject
RADIUS服务器认证拒绝
该原因为User online fail reason字段显示信息
2、Received a authentication reject packet from radius server(server ip = x.x.x.x).
收到RADIUS服务器的认证拒绝
该原因为Trace打印信息
1、2请参阅:RADIUS服务器认证拒绝
3、The radius server is up but has no reply
RADIUS服务器Up但无响应
该原因为User online fail reason字段显示信息
4、The radius server is not reachable
RADIUS服务器不可达
该原因为User online fail reason字段显示信息
请参阅:RADIUS服务器无响应
5、AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(73).
AAA模块收到RAIDIUS服务器无响应的消息
该原因为Trace打印信息
3、4、5请参阅:RADIUS服务器无响应
6、User is still in quiet status
用户MAC处于静默状态
该原因为Trace打印信息
请参阅:终端MAC地址静默
7、Remote user is blocked
远端用户被锁定
该原因为User online fail reason字段显示信息
请参阅:802.1X认证账号锁定
8、IP address conflict
IP地址冲突
该原因为User online fail reason字段显示信息
请参阅:IP地址冲突
9、No response of request identity from user
未收到终端的Request Identity响应报文
该原因为Trace打印信息
请参阅:未收到终端的Request Identity响应报文
10、No response of request challenge from user
未收到终端的Request Challenge响应报文
该原因为Trace打印信息
请参阅:未收到终端的Request Challenge响应报文