2020版H3C網(wǎng)絡(luò)Radius故障排查

H3C網(wǎng)絡(luò)Radius故障排查一、開始Radius協(xié)議承載于UDP協(xié)議，是基于C/S架構(gòu)的，客戶端和服務(wù)器都要排查。所以定位故障的思路是分別檢查作為Radius客戶端的設(shè)備側(cè)和Radius服務(wù)器。1、查看用戶是否在線在設(shè)備上查看用戶是否在線。命令：displayconnectiondisplayconnectionucibindex例如：通過(guò)命令查看在線用戶信息,可以確認(rèn)用戶名admin的用戶已經(jīng)在線，其用戶索引為134，后面跟ucibindex參數(shù)及對(duì)應(yīng)用戶的索引134可查看對(duì)應(yīng)在線用戶admin的詳細(xì)信息。2、檢查用戶名密碼確?？蛻舳溯斎氲挠脩裘艽a正確。3、檢查設(shè)備NAS-IP與RadiusServer是否互通確保設(shè)備到RadiusServerIP4、檢查Key與RadiusServer是否一致查看設(shè)備側(cè)配置的RadiusKey和RadiusServer側(cè)配置的Key是否一致。命令：displaythis例如：通過(guò)命令查看Key配置。5、檢查Domain或RadiusScheme配置是否正確如果設(shè)備要做EAD或者下發(fā)H3C私有Radius屬性，則需要將服務(wù)類型配置為extended。命令：displaythis例如：RadiusScheme視圖下查看服務(wù)類型是否為extended。我們?cè)O(shè)備缺省的domain域是system，如果不指定域后綴，用戶認(rèn)證的時(shí)候都會(huì)到缺省的system域去認(rèn)證，要檢查缺省域是否配置為用戶的認(rèn)證域。另外不管是否存在計(jì)費(fèi)和授權(quán)，在domain下都要同時(shí)指定認(rèn)證、授權(quán)、計(jì)費(fèi)的Radius-scheme，三者同配，缺一不可。命令：displaythisdomaindefaultenableAdministrator2015-12-1303:31:42Administrator2015-12-1303:31:42--------------------------------------------認(rèn)證/授權(quán)服務(wù)器端口配置為1815查看配置中認(rèn)證、授權(quán)、計(jì)費(fèi)的引用，并配置用戶認(rèn)證域H3C為缺省的domain。6、查看RadiusScheme狀態(tài)信息不僅僅要確認(rèn)到Radius服務(wù)器路由可達(dá)，還要確認(rèn)對(duì)應(yīng)認(rèn)證、計(jì)費(fèi)、授權(quán)服務(wù)器是否端口可達(dá)。命令：displayradiusscheme例如：通過(guò)命令查看radiusscheme狀態(tài)信息，確認(rèn)其狀態(tài)為Active。7、NAS-IP配置是否正確檢查服務(wù)器側(cè)是否配置了NAS-IP以及配置的NAS-IP是否與設(shè)備指定的NAS-IP一致。例如這里設(shè)備的NAS-IP為10.1.1.200，則在iMC側(cè)配置的接入設(shè)備IP也要是10.1.1.2009、是否下發(fā)了設(shè)備不支持的屬性服務(wù)器可以下發(fā)各種Radius會(huì)導(dǎo)致認(rèn)證失敗。常用的Radius屬性有：用戶權(quán)限、ACL、VLAN、限速。常見的Radius屬性如下：10、查看認(rèn)證失敗或下線原因。Radius見的下線原因，可以參考下面的說(shuō)明。Acct-Terminate-CauseUser-Request1#這種情況，屬于用戶請(qǐng)求下線，一般為客戶端主動(dòng)下線，需要檢查客戶端。Acct-Terminate-CauseLost-Carrier2#這種情況一般為客戶端與設(shè)備間握手報(bào)文丟失導(dǎo)致，因?yàn)镠3C設(shè)備的握手功能是私有的，在跟第三方客戶端配合時(shí)，需要關(guān)閉握手。關(guān)閉握手的命令為：undodot1xhandshake例如：關(guān)閉端口G1/0/10下的dot1x握手功能。Acct-Terminate-CauseIdl