2020网络Radius故障排查

H3C网络RadiUS故障排查
一、开始
RadiUS协议承载于UDP协议，是基于C/S架构的，客户端和服务器都要排查。

所以定位故障的思路是分别检查作为RadiUS客户端的设备侧和Radius服务器。

1、查看用户是否在线
在设备上查看用户是否在线。

命令：
disp1ayconnection
disp1ayconnectionucibindex
例如：通过命令查看在线用户信息,可以确认用户名admin的用户已经在线，其用户索引为134,后面跟UeibindeX参数及对应用户的索引134可查看对应在线用户admin的详细信息。

<H3C>disp1ayconnection
S1ot:1
Index=I34,IJSernaBtf=a⅛drrf)sysSeat
IP=10.153.47.44
IPv6=N∕A
<H3C>disp1ayconnectionUCibindeX134
S1ot:1
Index=I34,Usemaπe=admiπ∙systcm
IP=10.153.47.44
IPv6=N∕A
Access=Adroin,AuthIethod=PAP
PortType=Virtua1,PortName=NZA
Initia1V1AN=N∕A,AuthorizationV1AN=NZA
Ac1GrejUp=DiSabIC
UserProfi1e-M/A
CAR=Disab1e
Priarity c Disab1e
SessionTiiDeout=N/A,Terminate-Action=N∕A
Start=2013-05-0614:08:43,Current=2013-05-
0614:50:47,0n1ine=00h42πΛ4sTota11connectionmatched.
2、检查用户名密码
确保客户端输入的用户名密码正确。

3、检查设备NAS-IP与RadiUSSerVer是否互通
确保设备到RadiUSSerVer1P地址和端口可达。

4、检查Key与RadiUSSerVer■是否一致
查看设备侧配置的RadiUSKey和RadiUS
SerVer侧配置的Key是否一致。

命令：disp1aythis
例如：通过命令查看Key配置。

[H3C]radiusschemejpc
[H3C-radius-iroc]disp1aythis
radiusscheme iφς
primaryauthentication1.1.1.1
primaryaccounting1.1.1.1
keyn∣jthmticatiπnh3c
keyaccounti∏κh3c
user-name-forπιatwithout-domain
5、检查Domain或RadiUSSCheme配置是否正确
如果设备要做EAD或者下发H3C私有RadiUS属性，则需要将服务类型配置为extended。

命令：disp1aythis
例如：RadiUSScheme视图下查看服务类型是否为extended。

[H3C-radius-iroc]disp1aythis
server-typeextended
primaryauthentication1.1.1.1
primaryaccounting1.1.1.1
secondaryauthentication1.1.1.17
secondaryaccounting1.1.1.17
我们设备缺省的domain域是SySte n b如果不指定域后缀，用户认证的时候都会到缺省的SySte1n域去认证，要检查缺省域是否配置为用户的认证域。

另外不管是否存在计费和授权，在domain下都要同时指定认证、授权、计费的RadiUS-SCheme,三者同配，缺一不可。

命令：
disp1aythis domaindefau1tenab1e
例如：
查看配置中认证、授权、计费的引用，并配置用户认证域H3C为缺省的domaino
[H3C]domainh3c
[H3C-is^-h3c]disp1aythis
#
domainh3c
authenticationdefau1tradius-schemeimc
∖ΛA∕VW authorizationdefau1tradius -schemeimcaccountingdefau1tradius-schemeimc access-1imitdisab1estateactiveid1e-cutdisab1eseif-service-uHdisab1e
ΓH3C1d∩maindeFai】Itenab1eh3c
6、查看RadiUSSCheme状态信息
不仅仅要确认到RadiUS服务器路由可达，还要确认对应认证、计费、授权
服务器是否端口可达。

回
例如：通过命令查看radiusSCheme状态信息,
命令：disp1ayradiusscheme
EncryptionKey ：N/A VPNinstance ：N/A
7、NAS-IP 配置是否正确
检查服务器侧是否配置了NAS-IP 以及配置的NAS- IP 是否与设备指定的NASTP 一致。

例如这里设备的NAS-
IP 为10.11200,则在iMC 侧配置的接入设备IP 也要是10.112000
<H3C>dιsp 1ayradiusscheme1ine ScheineNaine ：imc Index ：1
PriinaryAuthServer: IP ：1.1.1.1
EncryptionKey ：N/A VPNinstance:NzA Probeusername Probeinterva1 N/AN /A
PrimaryAcctServer: IP:1.1.1.1
Type ：extended
Port ：1812
State ：active
Port ：1813 State ：active
国业务>>用户接入管理>>接入设备管理>>接入设备配置>>查看设备接入配置信息
查看设备接入配置信息
设备名称
I设备IP地址1011200|
接入区域
认证端口1812
计费遥口1813
业务类型1AN接入业务
接入设备类型H3C(Genera1)
组网方式不启用混合组网
共享密钥
业务分组未分组
最近一次下发时间
下发结果未下发
下发失败原因
最近一次同步时间
未同步
遥口配置同步结果
同步失败原因
下发配置类型
9、是否下发了设备不支持的属性
服务器可以下发各种RadiUS属性，有些属性对格式有要求，要注意下发的属性格式在设备上是否能够支持。

如果下发了设备不支持的属性会导致认证失败。

常用的RadiUS属性有：用户权限、AC1、V1AN、CAR限速。

常见的RadiUS属性如下：
10、查看认证失败或下线原因。

RadiUS服务器都会有对应的日志记录用户认证失败或下线的原因。

常见的下线原因，可以参考下面的说明。

Acct-Terminate-CauseUser-Request1
#这种情况，属于用户请求下线，一般为客户端主动下线，需要检查客户端。

Acct-Terminate-Cause1ost-Carrier2
#这种情况一般为客户端与设备间握手报文丢失导致，因为H3C设备的握手功能是私有的，在跟第三方客户端配合时，需要关闭握手。

关闭握手的命令为：
undodot1xhandshake
例如：关闭端口G1∕0∕10下的dot1x握手功能。

[H3C]intg1/0/10
[HX-KjigabitEthemet1/0/1θ]mdodot1xhandshake
Acct-Terminate-CauseId1e-Timeout4
#这种情况为闲置超时下线。

Acct-Terminate-Cause Session-Timeout 5
#这种情况为会话超时，一般为计费不足或者进行了时间段限制。