有两种方式快速确认RADIUS服务器是否回应。
方法一:执行命令display aaa online-fail-record all,发现User online fail reason字段显示为The radius server is up but has no reply或者The radius server is not reachable。
方法二:在系统视图下执行命令trace object mac-address mac-address可以看到服务器没有回应。
出现服务器无响应的情况首先确认服务器是否添加了设备IP。如果没有添加,请添加正确的设备IP。如果已经添加,那么需要确定服务器添加的设备IP与认证请求的源IP是否一致(设备默认出接口的IP地址作为向RADIUS服务器发送RADIUS报文时使用的源IP地址)。
用户可以执行命令display radius-server configuration template查看RADIUS服务器模板下是否配置了source-ip。
如果已配置,则服务器上添加的设备IP必须要是这个source-ip。
如果未配置,则可以执行命令display ip routing-table查路由确认认证请求报文的源IP是否是服务器添加的设备IP。例如RADIUS服务器IP是192.168.1.1,通过查询路由的命令可以看到NextHop是192.168.1.101,这个地址即作为认证请求报文的源IP。
如果服务器上添加设备IP没有问题,就需要在设备和服务器上同时获取报文确认中间链路是否存在问题,例如中间网络存在防火墙,防火墙未放通RADIUS(默认认证端口:1812)报文。
另外一种服务器无响应场景是服务器和设备配置的shared-key不一致,可以通过test-aaa命令测试。Debug信息如下所示,出现这种情况需要确保设备和服务器上的shared-key一致。
如果出现大量用户无法认证,日志里出现RADIUS服务器Down记录:
那么可能是服务器或中间网络出现异常,需要逐一排查;也可能是设备封装的报文较大,分片发送至服务器,服务器无法正确识别处理,不做回应采集trace信息,查看未回应报文长度是否大于1500,若大于,可调小接口MTU值。也可在设备侧抓包,查看是否有类似下图的radius报文:
