有两种方式快速确认RADIUS服务器是否回应认证拒绝。
方法一:执行命令display aaa online-fail-record all,发现User online fail reason字段显示为Radius authentication reject。
方法二:在系统视图下执行命令trace object mac-address mac-address可以看到服务器回应了拒绝报文。
[
服务器回应认证拒绝有多种原因,最常见的有用户名密码错误、RADIUS服务器授权策略无法匹配等,这些问题需要首先通过排查服务器日志找到根因后,再调整服务器、终端或设备配置解决。具体可参见Radius authentication reject。
此外,对于使用到证书的802.1X认证,终端或服务器需要检验证书的合法性,例如终端采用EAP-TLS、EAP-PEAP(可以取消验证服务器证书)。遇到这类问题需要在终端或者服务器获取报文分析。常见的证书错误包括CA证书未加入终端信任列表,证书过期等,例如报错Unknown CA。
注:R21C00及之前版本,802.1x认证配置radius-server user-name domain-included命令,radius报文用户名不携带域名。升级至R21C10及之后版本,配置此命令用户名会携带域名。若升级前业务交互正常,升级后可能会出现用户名携带域名导致的radius服务器拒绝。此时可以undo radius-server user-name domain-included恢复业务。