分类： 网络

有两种方式快速确认RADIUS服务器是否回应。

方法一：执行命令display aaa online-fail-record all，发现User online fail reason字段显示为The radius server is up but has no reply或者The radius server is not reachable。

方法二：在系统视图下执行命令trace object mac-address mac-address可以看到服务器没有回应。

出现服务器无响应的情况首先确认服务器是否添加了设备IP。如果没有添加，请添加正确的设备IP。如果已经添加，那么需要确定服务器添加的设备IP与认证请求的源IP是否一致（设备默认出接口的IP地址作为向RADIUS服务器发送RADIUS报文时使用的源IP地址）。

用户可以执行命令display radius-server configuration template查看RADIUS服务器模板下是否配置了source-ip。

如果已配置，则服务器上添加的设备IP必须要是这个source-ip。

如果未配置，则可以执行命令display ip routing-table查路由确认认证请求报文的源IP是否是服务器添加的设备IP。例如RADIUS服务器IP是192.168.1.1，通过查询路由的命令可以看到NextHop是192.168.1.101，这个地址即作为认证请求报文的源IP。

如果服务器上添加设备IP没有问题，就需要在设备和服务器上同时获取报文确认中间链路是否存在问题，例如中间网络存在防火墙，防火墙未放通RADIUS（默认认证端口：1812）报文。

另外一种服务器无响应场景是服务器和设备配置的shared-key不一致，可以通过test-aaa命令测试。Debug信息如下所示，出现这种情况需要确保设备和服务器上的shared-key一致。

如果出现大量用户无法认证，日志里出现RADIUS服务器Down记录：

那么可能是服务器或中间网络出现异常，需要逐一排查；也可能是设备封装的报文较大，分片发送至服务器，服务器无法正确识别处理，不做回应采集trace信息，查看未回应报文长度是否大于1500，若大于，可调小接口MTU值。也可在设备侧抓包，查看是否有类似下图的radius报文：

 

执行命令display authentication mode确认NAC配置模式：
unified-mode：统一模式。
common-mode：传统模式。

统一模式

认证域之间存在优先级，终端在优先级高的认证域中进行认证：MAC OUI指定认证域 > 指定接入类型的强制域 > 非指定接入类型的强制域 > 用户名中携带的合法域 > 指定接入类型的默认域 > 非指定接入类型的默认域 > 全局默认域。

首先确认全局是否根据MAC OUI指定了认证域，然后再确认认证接口下绑定的认证模板是否通过access-domain指定了默认域或强制域，最后再确认全局默认域。请执行以下步骤进行检查。

1、执行命令display current-configuration | include mac-authen force mac-address检查是否根据MAC OUI指定了认证域。

●未配置时，请执行步骤2。

●已配置时，请确认该配置是否正确。如果不正确，请在系统视图下执行命令domain domain-name mac-authen force mac-address mac-address mask mask修改配置。

2、执行命令display authentication-profile configuration检查认证模板下认证域是否配置。

●未配置时，请确认是否需要配置。如果无需配置，请执行步骤2；如果需要配置，请在认证模板视图下执行命令access-domain domain-name mac-authen [ force ]。

●已配置时，请确认配置是否正确。如果不正确，请在认证模板视图下执行命令access-domain domain-name mac-authen [ force ]。

3、执行命令display aaa configuration确认全局默认域。

根据全局默认域，执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。

传统模式

认证域之间存在优先级，终端在优先级高的认证域中进行认证：MAC OUI指定认证域 > 接口下指定的MAC认证域 > 全局默认域。

首先确认全局是否根据MAC OUI指定了认证域，最后再确认全局默认域。请执行以下步骤进行检查。

1、执行命令display current-configuration | include mac-authen domain检查是否根据MAC OUI指定了认证域或接口下指定了认证域。

●未配置时，请执行步骤2。

●已配置时，请确认该配置是否正确。如果不正确，请在系统视图下执行命令mac-authen domain isp-name [ mac-address mac-address mask mask ]修改配置，或在接口视图下执行命令mac-authen domain isp-name修改配置。

2、执行命令display aaa configuration确认全局默认域。

根据全局默认域，执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。

然后执行命令display authentication-scheme、display accounting-scheme、display radius-server configuration template确认配置是否正确。如果不正确，请执行相应的命令修改。

 

终端已经802.1X认证成功，当有用户从其他终端远程登录该PC终端后，远程登录中断，确认发现该终端掉线。

远程登录终端场景，终端设置的802.1X认证必须为主机名认证或包含有主机名认证的方式。以Windows 7为例，Windows 802.1X客户端默认采用“用户身份验证”，当远程登录该终端时，终端会主动发送EAP Start报文触发重认证，但交换机发送EAP Request_identity请求账号信息时，终端不回应，超时后交换机将该终端下线。

●对于加入AD域的终端，需在域控制器上集中修改配置然后下发到各终端。

●对于没有加入AD域的终端，需修改终端上802.1X客户端配置，单击本地连接，选择“属性 > 身份验证 >其他设置”，选择“指定身份验证模式”为“计算机身份验证”或者“用户或计算机身份验证”。

执行命令display aaa abnormal-offline-record all，查看User offline reason字段，其取值为IP address conflict。出现IP地址冲突主要有以下三种情况：

一、网络中存在某些终端或者终端上安装了“飞秋”等局域网通信工具同时发送相同IP地址的ARP报文，导致设备不允许使用相同IP地址的终端上线。可以采用如下方法解决问题。

●通过获取报文确认冲突的IP地址，排查这些终端或工具，禁止发送相同IP地址的ARP报文。比如宏基品牌电脑会以ip地址192.168.0.10发送arp报文，可以在BIOS里面去使能ASF功能。

●V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

●如果异常arp的IP地址相对固定，可以在上行口接口配置arp trust source ip-address，其它接口默认就不会再进行IP地址更新。

●对于不支持undo authentication ip-conflict-check enable命令的版本和设备。通过配置流策略或者防攻击策略过滤非法ARP报文，规避IP地址冲突问题。

流策略配置如下：

#

acl number 2000

rule 5 permit source 192.168.0.10

traffic classifier test operator and

if-match l2-protocol arp

if-match acl 2000

traffic behavior test

deny

traffic policy test

classifier test behavior test

#

防攻击策略配置如下：

#

acl number 2000

rule 5 permit source ip-address

cpu-defend policy policy1

blacklist 1 acl 2005

cpu-defend-policy policy1

cpu-defend-policy policy1 global

#

二、网络中存在某些异常终端，这些终端在关机或者休眠后网卡仍然会有流量，因此在支持流量探测的设备上流量探测成功，用户表一直保持在线，不会老化，但是实际DHCP服务器地址池中的该地址早已释放，后续其他终端获取到该地址在设备上认证时就会检测到IP地址冲突，可以采取如下方法解决
V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

三、设备未开启802.1X认证的ARP探测功能。终端非直连交换机的情况下上线成功，然后关机或者断开网络后交换机无法感知，用户表一直存在，其中包含了终端通过DHCP获取到的IP地址信息。当此IP地址租期到后被DHCP服务器回收，然后分配给另一个终端，由于认证不允许两个相同IP地址的终端上线，所以该终端始终认证失败，原因为IP address conflict。可以采用如下方法解决问题。

●统一模式下，设备默认开启802.1X认证的ARP探测功能。可以执行命令display authentication-profile configuration根据Authentication handshake字段确认是否已开启。如果未开启，请在认证模板视图下执行命令authentication handshake。

●传统模式下，V200R013C00之前版本，设备默认关闭802.1X认证的ARP探测功能。可以执行命令display current-configuration | include dot1x timer arp-detect检查是否配置ARP探测功能。如果未配置，请在系统视图下执行命令dot1x timer arp-detect arp-detect-value。

注：执行命令display authentication mode确认NAC配置模式：
unified-mode：统一模式。
common-mode：传统模式。

执行命令display aaa offline-record all，查看User offline reason字段，其取值为ARP detect fail或者AS detect fail（策略联动场景AS上ARP探测失败）。

注：
用户下线探测报文使用的源IP地址优先级：

1、用户所在VLAN对应VLANIF接口下的IP地址，且与用户同网段

2、命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address指定的VLAN内用户下线探测报文的源IP地址，其中VLAN为终端上线的VLAN，IP和MAC一般情况下为终端网关的IP和MAC

3、命令access-user arp-detect default ip-address ip-address指定的用户下线探测报文的默认源IP地址。

单机认证场景下，可以执行以下步骤排查问题。

1、检查用户所在VLAN对应VLANIF接口下是否配置IP地址。

●如果未配置，请执行步骤2。

●如果已配置，请确保配置的IP地址与用户同网段。

2、执行命令display current-configuration | include access-user arp-detect vlan检查是否指定的VLAN内用户下线探测报文的源IP地址。

●如果未指定，请执行步骤3。

●如果已指定，请务必确保配置正确。

注：在主备切换场景下，请确保网关的MAC地址不变，否则会导致终端ARP表项错误，造成终端与设备之间网络不通。

3、执行命令display current-configuration | include access-user arp-detect default ip-address检查是否指定用户下线探测报文的默认源IP地址。

●如果未指定，V200R010C00SPC600以及之前版本，ARP探测默认源IP地址为255.255.255.255，绝大多数终端不回应该探测报文导致终端掉线，需将ARP探测源IP地址改为0.0.0.0；从V200R011C10SPC600版本开始，ARP探测默认源IP地址修改为0.0.0.0。

●如果已指定，请务必确保配置正确。一般建议ARP探测源IP地址为0.0.0.0。
故障仍未解决时，执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address，配置网关IP和MAC为ARP探测源IP和源MAC，如果故障仍未解决，请确认终端是否已经关机或离开网络，或者排查设备上是否存在ARP攻击导致CPCAR丢包。

策略联动场景下，可以执行以下步骤排查问题。

1、在控制设备上执行命令display current-configuration | undo authentication handshake检查是否关闭了ARP探测。

●如果已关闭，请执行步骤2。

●如果未关闭，请系统视图执行命令undo authentication handshake关闭控制设备上的ARP探测功能。

注：在接入设备上执行命令display current-configuration | include access-user arp-detect vlan检查是否指定的VLAN内用户下线探测报文的源IP地址。

●如果未指定，请执行步骤3。

●如果已指定，请务必确保配置正确。

注：在主备切换场景下，请确保网关的MAC地址不变，否则会导致终端ARP表项错误，造成终端与设备之间网络不通。

3、在接入设备上执行命令display current-configuration | include access-user arp-detect default ip-address检查是否指定用户下线探测报文的默认源IP地址。

●如果未指定，V200R010C00SPC600以及之前版本，ARP探测默认源IP地址为255.255.255.255，绝大多数终端不回应该探测报文导致终端掉线，需将ARP探测源IP地址改为0.0.0.0；从V200R011C10SPC600版本开始，ARP探测默认源IP地址修改为0.0.0.0。

●如果已指定，请务必确保配置正确。一般建议ARP探测源IP地址为0.0.0.0。
故障仍未解决时，如果是V200R019之前的版本，请在接入设备上执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address，配置网关IP和MAC为ARP探测源IP和源MAC；如果是V200R019及之后的版本，请在控制设备上执行access-user arp-detect control-point mac-ip enable。如果故障仍未解决，请确认终端是否已经关机或离开网络，或者排查设备上是否存在ARP攻击导致CPCAR丢包。

802.1X认证失败时，首先需确保AAA认证域、802.1X认证等基本配置正确，具体排查措施请参参阅：认证域及相关配置错误、设备与RADIUS服务器的802.1X用户认证方式不一致，然后再通过下面方法快速定位认证失败原因。

查看display aaa online-fail-record all命令的回显字段User online fail reason。

查看trace object mac-address mac-address命令的Trace信息。

常见的802.1X认证失败原因

1、Radius authentication reject

RADIUS服务器认证拒绝

该原因为User online fail reason字段显示信息

2、Received a authentication reject packet from radius server(server ip = x.x.x.x).

收到RADIUS服务器的认证拒绝

该原因为Trace打印信息

1、2请参阅：RADIUS服务器认证拒绝

 

3、The radius server is up but has no reply

RADIUS服务器Up但无响应

该原因为User online fail reason字段显示信息

4、The radius server is not reachable

RADIUS服务器不可达

该原因为User online fail reason字段显示信息

请参阅：RADIUS服务器无响应

5、AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(73).

AAA模块收到RAIDIUS服务器无响应的消息

该原因为Trace打印信息

3、4、5请参阅：RADIUS服务器无响应

 

6、User is still in quiet status

用户MAC处于静默状态

该原因为Trace打印信息

请参阅：终端MAC地址静默

 

7、Remote user is blocked

远端用户被锁定

该原因为User online fail reason字段显示信息

请参阅：802.1X认证账号锁定

 

8、IP address conflict

IP地址冲突

该原因为User online fail reason字段显示信息

请参阅：IP地址冲突

 

9、No response of request identity from user

未收到终端的Request Identity响应报文

该原因为Trace打印信息

请参阅：未收到终端的Request Identity响应报文

 

10、No response of request challenge from user

未收到终端的Request Challenge响应报文

该原因为Trace打印信息

请参阅：未收到终端的Request Challenge响应报文

这种情况常见于用户在非直连认证交机场景下，在一个端口/VLAN接入认证成功，立刻断开连接到另外一个端口或者切到新的VLAN下，发现无法触发认证，经过一段时间后才可以认证成功接入。

出现这种情况的原因为此时用户在设备老端口/VLAN下的用户表项还没有老化，需要经过老化时间后（默认为5min），老的用户表项删除，此时才可以在新的端口/VLAN下发起认证。

解决办法：系统视图配置authentication mac-move enable命令使能mac迁移功能，同时建议配置authentication mac-move detect enable命令开启迁移前探测。

在系统视图下执行命令trace object mac-address mac-address可以看到终端没有回应Request Challenge报文，超过重传次数后设备发送了Failure报文。

终端不响应Request Challenge报文的情况可能和终端操作系统中802.1X认证功能依赖的某些服务存在关系，例如：某些终端在802.1X认证成功之前不能获取到IP地址时，在统一模式下需要在系统视图下执行命令undo authentication pre-authen-access enable关闭预连接功能以限制终端获取IP地址的权限。

还有某些终端，尤其涉及到证书相关内容时，回应Request Challenge请求比较慢，有时长达1分多钟。而设备的超时重传等待时间默认只有15秒，超时后设备发送Failure报文，之后又收到终端的回应报文。此时就需要通过获取报文来计算终端大致的回应时间。例如，下图所示，第1327报文是设备发给终端的Request Challenge，第1425和1447报文是重传，重传结束后发送第1471个认证失败报文。直到第1518报文终端才回应了Response Challenge，中间间隔了28秒，所以需要调整设备超时重传等待时间大于28秒。

●传统模式下，需要在系统视图下执行命令dot1x timer client-timeout 30、dot1x retry 2。

●统一模式下，需要在802.1X接入模板视图下执行命令dot1x timer client-timeout 30、dot1x retry 2。

在系统视图下执行命令trace object mac-address mac-address可以看到设备发出Request Identity报文没有收到回应，超时后设备进行了重传。

可以执行以下步骤进行检查。

1、检查终端和认证交换机之间是否存在其它设备。

由于802.1X报文是组播协议报文，目的MAC地址是01-80-C2-00-00-03，交换机收到后默认不转发。如果终端和认证交换机之间还存在其它设备（二层交换机、路由器等），则需要中间设备能够透传802.1X报文。

●如果存在，请执行步骤2。

●如果不存在，请执行步骤4。

2、请检查中间设备是否支持透传802.1X报文。

●如果不支持，请将这些设备更换为支持透传802.1X报文的设备，或者更换接入认证方式。

●如果支持，请执行步骤3。

3、请检查中间设备是否已配置802.1X报文透传功能。

●如果已配置，请执行步骤4。

●如果未配置，请执行命令l2protocol-tunnel user-defined-protocol配置透传功能（以华为交换机为例）。

3、检查终端是否有802.1X客户端。

●如果有，请执行步骤5。

●如果没有，请安装802.1X客户端。

4、检查终端是否已开启802.1X功能。

●如果已开启，请执行步骤6。

●如果未开启，请开启该功能，以Windows 7为例。

单击本地连接，选择“属性 > 身份验证 ”。选中“启用IEEE802.1X身份验证”。但是部分网卡属性中没有身份验证的选项卡，这是由于“控制面板 > 管理工具 > 服务”中没有开启Wired AutoConfig。

6、检查终端多次802.1X认证失败后是否进入静默状态。

●如果未进入静默状态，请执行步骤7。

●如果进入静默状态，请执行命令display aaa online-fail-record，根据User online fail reason字段检查其他上线失败原因来定位问题。用户可以通过禁用启用网卡或插拔网线快速恢复，或者调整终端的静默时间，以Windows 7系统为例，默认的静默时间是20分钟，可以通过CMD窗口执行命令netsh lan set blockperiod value调小静默时间，以加快认证接入网络速度。

C:\>netsh lan set blockperiod value=10

加入域的windows终端，也可以在域控服务器上通过组策略进行设置：

计算机设置->策略->Windows设置->安全设置->有线网络（802.3）设置，将”Max Authentication Failures”设为10（注：默认是1，即收到一次failure即静默）

组策略设置参考：https://social.technet.microsoft.com/Forums/en-US/bc0a05a4-c62d-41a2-9ea3-79b589829a7e/windows-10-8021x-wired-authentication-issue?forum=win10itpronetworking

执行命令display aaa online-fail-record all，查看User online fail reason字段，其取值为IP address conflict。出现IP地址冲突主要有以下三种情况：

一、网络中存在某些终端或者终端上安装了“飞秋”等局域网通信工具同时发送相同IP地址的ARP报文，导致设备不允许使用相同IP地址的终端上线。可以采用如下方法解决问题。

●通过获取报文确认冲突的IP地址，排查这些终端或工具，禁止发送相同IP地址的ARP报文。

●V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

二、网络中存在某些异常终端，这些终端在关机或者休眠后网卡仍然会有流量，因此在支持流量探测的设备上流量探测成功，用户表一直保持在线，不会老化，但是实际DHCP服务器地址池中的该地址早已释放，后续其他终端获取到该地址在设备上认证时就会检测到IP地址冲突，可以采取如下方法解决

●V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

三、是设备未开启802.1X认证的ARP探测功能。终端非直连交换机的情况下上线成功，然后关机或者断开网络后交换机无法感知，用户表一直存在，其中包含了终端通过DHCP获取到的IP地址信息。当此IP地址租期到后被DHCP服务器回收，然后分配给另一个终端，由于认证不允许两个相同IP地址的终端上线，所以该终端始终认证失败，原因为IP address conflict。可以采用如下方法解决问题。

●统一模式下，设备默认开启802.1X认证的ARP探测功能。可以执行命令display authentication-profile configuration根据Authentication handshake字段确认是否已开启。如果未开启，请在认证模板视图下执行命令authentication handshake。

●传统模式下，V200R013C00之前版本，设备默认关闭802.1X认证的ARP探测功能。可以执行命令display current-configuration | include dot1x timer arp-detect检查是否配置ARP探测功能。如果未配置，请在系统视图下执行命令dot1x timer arp-detect arp-detect-value。