2020版H3C网络Radius故障排查

H3C网络Radius故障排查一、开始Radius协议承载于UDP协议，是基于C/S架构的，客户端和服务器都要排查。所以定位故障的思路是分别检查作为Radius客户端的设备侧和Radius服务器。1、查看用户是否在线在设备上查看用户是否在线。命令：displayconnectiondisplayconnectionucibindex例如：通过命令查看在线用户信息,可以确认用户名admin的用户已经在线，其用户索引为134，后面跟ucibindex参数及对应用户的索引134可查看对应在线用户admin的详细信息。2、检查用户名密码确保客户端输入的用户名密码正确。3、检查设备NAS-IP与RadiusServer是否互通确保设备到RadiusServerIP4、检查Key与RadiusServer是否一致查看设备侧配置的RadiusKey和RadiusServer侧配置的Key是否一致。命令：displaythis例如：通过命令查看Key配置。5、检查Domain或RadiusScheme配置是否正确如果设备要做EAD或者下发H3C私有Radius属性，则需要将服务类型配置为extended。命令：displaythis例如：RadiusScheme视图下查看服务类型是否为extended。我们设备缺省的domain域是system，如果不指定域后缀，用户认证的时候都会到缺省的system域去认证，要检查缺省域是否配置为用户的认证域。另外不管是否存在计费和授权，在domain下都要同时指定认证、授权、计费的Radius-scheme，三者同配，缺一不可。命令：displaythisdomaindefaultenableAdministrator2015-12-1303:31:42Administrator2015-12-1303:31:42--------------------------------------------认证/授权服务器端口配置为1815查看配置中认证、授权、计费的引用，并配置用户认证域H3C为缺省的domain。6、查看RadiusScheme状态信息不仅仅要确认到Radius服务器路由可达，还要确认对应认证、计费、授权服务器是否端口可达。命令：displayradiusscheme例如：通过命令查看radiusscheme状态信息，确认其状态为Active。7、NAS-IP配置是否正确检查服务器侧是否配置了NAS-IP以及配置的NAS-IP是否与设备指定的NAS-IP一致。例如这里设备的NAS-IP为10.1.1.200，则在iMC侧配置的接入设备IP也要是10.1.1.2009、是否下发了设备不支持的属性服务器可以下发各种Radius会导致认证失败。常用的Radius属性有：用户权限、ACL、VLAN、限速。常见的Radius属性如下：10、查看认证失败或下线原因。Radius见的下线原因，可以参考下面的说明。Acct-Terminate-CauseUser-Request1#这种情况，属于用户请求下线，一般为客户端主动下线，需要检查客户端。Acct-Terminate-CauseLost-Carrier2#这种情况一般为客户端与设备间握手报文丢失导致，因为H3C设备的握手功能是私有的，在跟第三方客户端配合时，需要关闭握手。关闭握手的命令为：undodot1xhandshake例如：关闭端口G1/0/10下的dot1x握手功能。Acct-Terminate-CauseIdl