MAC地址认证故障排查

版权所有:杭州华三通信技术有限公司

MAC地址认证故障排查

一、开始

MAC 地址认证是一种基于端口和MAC 地址对用户的网络访问权限进行控制的认证方法，是基于C/S 架构的，客户端和服务器都要排查。所以定位故障的思路是分别检查用户接入设备和远端负责对用户进行认证的Radius 服务器。1、查看用户是否在线

在设备上查看用户是否在线。命令： display connection display connection ucibindex 例如：通过命令查看在线用户信息,可以确认用户名admin的用户已经在线，其用户索引为134，后面跟ucibindex参数及对应用户的索引134可查看对应在线用户0026-

B9AA-C9FB的详细信息。

2、检查MAC地址认证用户名格式

检查MAC地址认证用户名格式是否合理，缺省情况下，使用用户的源MAC地址做用户名与密码，其中字母为小写，MAC地址不带连字符“-”，可以采用命令 mac-authentication user-name-format 来配置用户名格式。3、检查设备NAS-IP与Radius Server是否互通确保设备到Radius ServerIP地址和端口可达。4、检查Key与Radius Server是否一致查看设备侧配置的Radius Key和Radius

Server侧配置的Key是否一致。命令：display this 例如：通过命令查看Key配置。

版权所有:杭州华三通信技术有限公司

5、检查Domain或Radius Scheme配置是否正确

如果设备要下发H3C私有Radius属性，则需要将服务类型配置为extended。

命令：display this 例如：Radius Scheme 视图下查看服务类型是否为extended。

我们设备缺省的domain域是system，如果不指定域后缀，用户认证的时候都会到缺省的system域去认证，要检查缺省域是否配置为用户的认证域。另外不管是否存在计费和授权，在domain下都要同时指定认证、授权、计费的Radius-

scheme，三者同配，缺一不可。命令： display this domain default enable 例如：

查看配置中认证、授权、计费的引用，并配置用户认证域H3C为缺省的domain。

6、查看Radius Scheme状态信息

不仅仅要确认到Radius服务器路由可达，还要确认对应认证、计费、授权服务器是否

版权所有:杭州华三通信技术有限公司

端口可达。命令：display raidus scheme 例如：通过命令查看radius

scheme状态信息，确认其状态为Active。

7、查看MAC认证静默时间配置是否合理

若MAC地址认证失败，此MAC会被加为静默MAC，来自此MAC地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。静默时间可以通过下面命令来指定： mac-authentication timer quiet8、NAS-IP配置是否正确

检查服务器侧是否配置了NAS-IP以及配置的NAS-IP是否与设备指定的NAS-

IP一致。例如这里设备的NAS-

IP为10.1.1.200，则在iMC侧配置的接入设备IP也要是10.1.1.200。

版权所有:杭州华三通信技术有限公司

9、Radius进程是否正常启动

查看服务器侧Radius进程是否正常启动，是否存在应用端口号被占用的情况，以及是否配置Radius代理。10、是否下发了设备不支持的属性

服务器可以下发各种Radius属性，有些属性对格式有要求，要注意下发的属性格式在设备上是否能够支持。如果下发了设备不支持的属性会导致认证失败。常用的Rad ius属性有：用户权限、ACL、VLAN、CAR限速。常见的Radius属性如下：

版权所有:杭州华三通信技术有限公司

11、查看认证失败或下线原因。

Radius服务器都会有对应的日志记录用户认证失败或下线的原因。常见的下线原因，可以参考下面的说明。 Acct-Terminate-Cause User-Request 1

#这种情况，属于用户请求下线，一般为客户端主动下线，需要检查客户端。 Acct-Terminate-Cause Idle-Timeout 4 #这种情况为闲置超时下线。 Acct-Terminate-Cause Session-Timeout 5

#这种情况为会话超时，一般为计费不足或者进行了时间段限制。请拨打热线400-810-0504

版权所有:杭州华三通信技术有限公司