有两种方式快速确认RADIUS服务器是否回应认证拒绝。
方法一:执行命令display aaa online-fail-record all,发现User online fail reason字段显示为Radius authentication reject。
方法二:在系统视图下执行命令trace object mac-address mac-address可以看到服务器回应了拒绝报文。
服务器回应认证拒绝有多种原因,最常见的有用户名密码错误、RADIUS服务器授权策略无法匹配等,这些问题需要首先通过排查服务器日志找到根因后,再调整服务器、终端或设备配置解决。
需要注意的是,对接Cisco ISE或者Aruba Clearpass服务器时,如果MAC认证的用户名为终端的MAC地址,则需要在设备的RADIUS服务器模板下执行命令radius-attribute set Service-Type 10 auth-type mac将RADIUS认证请求中的Service-Type属性需要设置为10(Call Check),否则会导致认证失败,因为设备默认携带的值是2(Framed)。同时服务器可能对RADIUS认证请求中的Calling-Station-Id属性格式有要求,需先确认好服务器支持的格式,然后在设备的RADIUS服务器模板下执行命令calling-station-id mac-format修改格式。