小编 RADIUS故障的可能原因
| 隐性问题 | 排查点与解决方案 |
|---|---|
| 共享密钥大小写 / 特殊字符不匹配 | 交换机侧重新配置共享密钥(如shared-key simple Huawei@123),服务器侧同步,避免复制粘贴空格; |
| RADIUS 服务器端口被修改 | 交换机侧通过radius server template radius1 → authentication-port 1645修改端口; |
| 认证协议不兼容(PAP/CHAP) | 确认交换机与服务器的认证协议一致(华为交换机默认支持 PAP,若服务器用 CHAP,需配置radius-server template radius1 → authentication-protocol chap); |
| 交换机与服务器时间差过大 | 用ntp-service unicast-server ip同步交换机与服务器时间(部分服务器对时间敏感); |
能原因
用户名或密码不正确,包括用户名不存在,或用户名传给RADIUS服务器时对域名的处理方式与服务器配置的不一致
AR的RADIUS配置错误,包括认证模式、服务器模板
RADIUS服务器端的端口、共享密钥和AR的配置不一致
当前上线用户数已经达到定义的最大值
故障诊断流程
在AR上配置RADIUS后,发现用户不能通过RADIUS认证。
检查AR和RADIUS服务器的链路连接是否正常
检查当前通过认证的用户数是否达到上限值
检查AR上的RADIUS配置是否正确,包括域名、域状态、服务器模板、认证模式、计费模式
检查RADIUS服务器是否正常,包括服务器上配置的用户名、密码、用户接入类型是否正确,配置的接入设备的IP地址、端口、共享密钥、域名携带及解析方式是否和AR的配置一致
操作步骤
通过ping检查路由器与RADIUS服务器之间的路由是否有故障。
如果ping不通,请先根据Ping不通问题的定位思路排除路由的故障。
如果能ping通,请执行步骤2。
检查在线用户数是否达到了定义的最大值。
路由器和RADIUS服务器对接入的用户数都有规格限制。在AR上使用display access-user命令,查看通过认证在线的用户数。如果已经达到了定义的最大值,那么新用户无法接入是正常的。
如果在线用户没有达到最大上限,再去RADIUS服务器上查看是否有限制。如果排除了服务器上的限制问题后,用户还是无法通过认证,请执行步骤3。
检查AR的RADIUS相关配置。
查看用户认证的域状态是否为Active。
查看域下绑定的认证方案中认证模式是否为RADIUS认证。
查看域下绑定的RADIUS服务器模板是否正确;该模板的认证服务器、计费服务器的地址、端口是否正确;路由器发送报文携带的源地址是否和服务器上配置允许接入的地址一致。
查看RADIUS服务器模板中对用户名格式的处理和共享密钥是否和RADIUS服务器上的配置一致。
后两项检查要结合RADIUS服务器的检查一起进行,请参考步骤4。根据实际组网环境,保证上面各项的配置符合要求。
查看项目
使用命令
查看域
display domain
查看域下绑定的模板
display domain name domain-name
查看认证方案
display authentication-scheme
查看计费方案
display accounting-scheme
查看模板中配置的信息
display radius-server configuration
检查RADIUS报文收发是否正常。
在AR的用户视图下执行命令debugging radius packet打开RADIUS调试信息开关,发起RADIUS认证,或者用test-aaa命令发送认证请求,观察是否有RADIUS报文的发送和接收。
<Huawei> debugging radius packet<Huawei> terminal debugging<Huawei> terminal monitor
打开调试开关将影响系统的性能。调试完毕后,应及时执行undo debugging all命令关闭调试开关。
如果打开调试开关后没有任何信息,说明设备的网络接入配置有问题。重点检查域是否同RADIUS服务器模板关联起来。
如下配置文件所示,域huawei下绑定了RADIUS服务器模板radius。
# radius-server template radius radius-server authentication 1.1.1.1 1645 # aaa authentication-scheme default authentication-scheme aaa authentication-mode radius authorization-scheme default accounting-scheme default domain default domain default_admin domain huawei authentication-scheme aaa radius-server radius
如果看到有调试信息,根据调试信息的内容进行处理。
调试信息
处理方法
Nov 10 2010 15:23:34.260.6 Huawei RDS/7/debug2: Radius Sent a Packet Server Template: 0 Server IP : 192.168.1.128 Protocol: Standard ......
这是RADIUS模块发送的认证报文的信息,该信息表明AR上的RADIUS认证报文能正常向外发送。
Nov 10 2010 15:23:34.260.6 Huawei %%01RDS/4/RDAUTHDOWN(l): RADIUS authentication server ( IP: 192.168.1.128 ) is down!
该信息表明RADIUS认证服务器没有认证回应消息,可能是链路不通或者RADIUS认证服务器没有启动。
需要检查RADIUS服务器的配置,保证服务器上的路由器IP地址、端口号和对端一致,并且服务器上相关端口的服务已经启动。
Nov 10 2010 15:23:34.260.6 Huawei RDS/7/debug2: [RDS (Evt):] Send a msg (Auth reject) Nov 10 2010 15:23:34.260.7 Huawei RDS/7/debug2: [RDS (Msg):]Msg type :Auth reject [RDS (Msg):]UserID :16005 [RDS (Msg):]Template no:88.99 [RDS (Msg):]Authmethod :(pap) [RDS (Msg):]ulSrcMsg :Auth req [RDS (Msg):]szBitmap :00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
这是RADIUS认证失败回应报文。可能原因有:
RADIUS服务器没有配置路由器的地址和共享密钥。
RADIUS服务器和路由器两端配置的共享密钥不一致。
RADIUS服务器没有配置该用户。需要注意路由器上配置的服务器模板是否会对登录用户名进行域名剥离处理。
RADIUS服务器上该用户的密码和登录用户的密码不一致。
根据实际组网环境,保证RADIUS服务器端的配置都符合要求。通过以上处理,大部分的认证不通过问题都可以得到解决。如果问题仍然存在,请执行步骤5。
根据被拒绝的用户属于哪一种用户类型,采取相应的下一步措施。
如果是Telnet用户或FTP用户,请参考Telnet登录失败的定位思路、FTP连接失败的定位思路。
如果是接入用户,请参考NAC故障处理。
如果故障仍未排除,请收集如下信息,并联系技术支持人员。
上述步骤的执行结果。
设备的配置文件、日志信息、告警信息。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » RADIUS故障的可能原因
作者: 小编
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm