RADIUS服務(wù)器無響應(yīng)的解決方法

現(xiàn)象描述

有兩種方式快速確認(rèn)RADIUS服務(wù)器是否回應(yīng)。

方法一：

執(zhí)行命令display aaa online-fail-record all，發(fā)現(xiàn)User online fail reason字段顯示為The radius server is up but has no reply或者The radius server is not reachable。

方法二：

在系統(tǒng)視圖下執(zhí)行命令trace object mac-address mac-address可以看到服務(wù)器沒有回應(yīng)。

操作步驟

出現(xiàn)服務(wù)器無響應(yīng)的情況首先確認(rèn)服務(wù)器是否添加了設(shè)備IP。如果沒有添加，請?zhí)砑诱_的設(shè)備IP。如果已經(jīng)添加，那么需要確定服務(wù)器添加的設(shè)備IP與認(rèn)證請求的源IP是否一致（設(shè)備默認(rèn)出接口的IP地址作為向RADIUS服務(wù)器發(fā)送RADIUS報文時使用的源IP地址）。

1.用戶可以執(zhí)行命令display radius-server configuration template查看RADIUS服務(wù)器模板下是否配置了source-ip。

如果已配置，則服務(wù)器上添加的設(shè)備IP必須要是這個source-ip。

如果未配置，則可以執(zhí)行命令display ip routing-table查路由確認(rèn)認(rèn)證請求報文的源IP是否是服務(wù)器添加的設(shè)備IP。例如RADIUS服務(wù)器IP是192.168.1.1，通過查詢路由的命令可以看到NextHop是192.168.1.101，這個地址即作為認(rèn)證請求報文的源IP。

2.如果服務(wù)器上添加設(shè)備IP沒有問題，就需要在設(shè)備和服務(wù)器上同時獲取報文確認(rèn)中間鏈路是否存在問題，例如中間網(wǎng)絡(luò)存在防火墻，防火墻未放通RADIUS（默認(rèn)認(rèn)證端口：1812）報文。

另外一種服務(wù)器無響應(yīng)場景是服務(wù)器和設(shè)備配置的shared-key不一致，可以通過test-aaa命令測試。Debug信息如下所示，出現(xiàn)這種情況需要確保設(shè)備和服務(wù)器上的shared-key一致。

3.如果出現(xiàn)大量用戶無法認(rèn)證，日志里出現(xiàn)RADIUS服務(wù)器Down記錄，那么大概率是服務(wù)器或中間網(wǎng)絡(luò)出現(xiàn)異常，需要逐一排查。

4.查看異常RADIUS報文的統(tǒng)計信息

當(dāng)RADIUS認(rèn)證失敗時，需要查看一段時間內(nèi)的異常RADIUS報文的統(tǒng)計信息，可以診斷視圖下使用命令reset aaa abnormal-radius-track清空數(shù)據(jù)，然后再 display aaa abnormal-radius-track 重新統(tǒng)計。

5.查看RADIUS模塊相關(guān)統(tǒng)計信息

調(diào)試診斷時，可以通過在診斷視圖下使用 display radius statistics { error | message | packet } 顯示RADIUS模塊相關(guān)統(tǒng)計信息，具體回顯較多，可以參見產(chǎn)品手冊。