2020网络Radius故障排查.docx

H3C网络RadiUS故障排查一、开始RadiUS协议承载于UDP协议，是基于C/S架构的，客户端和服务器都要排查。所以定位故障的思路是分别检查作为RadiUS客户端的设备侧和Radius服务器。1、查看用户是否在线在设备上查看用户是否在线。命令：displayconnectiondisplayconnectionucibindex例如：通过命令查看在线用户信息,可以确认用户名admin的用户已经在线，其用户索引为134,后面跟UeibindeX参数及对应用户的索引134可查看对应在线用户admin的详细信息。<H3C>displayconnectionSlot:1Index=I34,IJSernaBtf=adrrf)sysSeatIP=10.153.47.44IPv6=NA<H3C>displayconnectionUCibindeX134Slot:1Index=I34,Usemae=admisystcmIP=10.153.47.44IPv6=NAAccess=Adroin,AuthIethod=PAPPortType=Virtual,PortName=NZAInitialVLAN=NA,AuthorizationVLAN=NZAAcLGrejUp=DiSabICUserProfile-M/ACAR=DisablePriaritycDisableSessionTiiDeout=N/A,Terminate-Action=NAStart=2013-05-0614:08:43,Current=2013-05-0614:50:47,0nline=00h424sTotal1connectionmatched.2、检查用户名密码确保客户端输入的用户名密码正确。3、检查设备NAS-IP与RadiUSSerVer是否互通确保设备到RadiUSSerVerlP地址和端口可达。4、检查Key与RadiUSSerVer是否一致查看设备侧配置的RadiUSKey和RadiUSSerVer侧配置的Key是否一致。命令：displaythis例如：通过命令查看Key配置。H3CradiusschemejpcH3C-radius-irocdisplaythisradiusschemeiprimaryauthentication1.1.1.1primaryaccounting1.1.1.1keynjthmticatinh3ckeyaccounti11h3cuser-name-foratwithout-domain5、检查Domain或RadiUSSCheme配置是否正确如果设备要做EAD或者下发H3C私有RadiUS属性，则需要将服务类型配置为extended。命令：displaythis例如：RadiUSScheme视图下查看服务类型是否为extended。H3C-radius-irocdisplaythisserver-typeextendedprimaryauthentication1.1.1.1primaryaccounting1.1.1.1secondaryauthentication1.1.1.17secondaryaccounting1.1.1.17我们设备缺省的domain域是SyStenb如果不指定域后缀，用户认证的时候都会到缺省的SySteln域去认证，要检查缺省域是否配置为用户的认证域。另外不管是否存在计费和授权，在domain下都要同时指定认证、授权、计费的RadiUS-SCheme,三者同配，缺一不可。命令：displaythisdomaindefaultenable例如：查看配置中认证、授权、计费的引用，并配置用户认证域H3C为缺省的domainoH3Cdomainh3cH3C-is-h3cdisplaythis#domainh3cauthenticationdefaultradius-schemeimcAVWauthorizationdefaultradius-schemeimcaccountingdefaultradius-schemeimcaccess-limitdisablestateactiveidle-cutdisableseif-service-uHdisableH3C1dmaindeFai】Itenableh3c6、查看RadiUSSCheme状态信息确认其状Administrator2015-12-1303:31:42认证/授权服务器端口配置为1815命令：display radius scheme不仅仅要确认到RadiUS服务器路由可达，还要确认对应认证、计费、授权服务器是否端口可达。回例如：通过命令查看radiusSCheme状态信息,<H3C>dsplay radius scheme lineScheineNaine ： imcIndex ： 1Priinary Auth Server:IP： 1.1.1.1Encryption Key ： N/AVPN instance : NzAProbe usernameProbe intervalN/AN/APrimary Acct Server:IP: 1.1.1.1Type ： extendedPort： 1812State： activePort： 1813State： activeEncryptionKey：N/AVPNinstance：N/A7、NAS-IP配置是否正确检查服务器侧是否配置了NAS-IP以及配置的NAS-IP是否与设备指定的NASTP一致。例如这里设备的NAS-IP为10.LL200,则在iMC侧配置的接入设备IP也要是10.LL2000国业务>>用户接入管理>>接入设备管理>>接入设备配置>>查看设备接入配置信息查看设备接入配置信息设备名称I设备IP地址1011200|接入区域认证端口1812计费遥口1813业务类型LAN接入业务接入设备类型H3C(General)组网方式不启用混合组网共享密钥业务分组未分组最近一次下发时间下发结果未下发下发失败原因最近一次同步时间遥口配置同步结果未同步同步失败原因下发配置类型9、是否下发了设备不支持的属性服务器可以下发各种RadiUS属性，有些属性对格式有要求，要注意下发的属性格式在设备上是否能够支持。如果下发了设备不支持的属性会导致认证失败。常用的RadiUS属性有：用户权限、ACL、VLAN、CAR限速。常见的RadiUS属性如下：属性名属性卿号格式Gext,string,address.Integertime)具体定义Input-Peak-Rate1Integer用户接入到NAS的Hfi遗率，以bps为单位.Input-Average-Rate2Integer用户接入到NAS的平均g,以bps为单位.Input-Basic-Rate3Integer用户接入到NAS的基本速率，以bps为单位G个域目前没有董义，崖议不要使用）Output-Peak-Rate4Integer从NAS到用户的速率，以bps为单位.Output-Average-Rate5Integer从NAS到用户的平均速率，以bps为单位.OUtput-Gasic-Rate6Integer从NAS到用户6»本速率，%>ps为单位C这个域目前没有宣义，建议不委使用）Exec-Privilege29IntegerEXEC用户优先级.对于EXEC用户，用户的优先级.用来设NEXEC用户的优先级.RADIUS服务器在认证接收报文中，可以用JS怪Exec-Privilege播奇EXEC用户的优先级.该国性是升对莒理用户的设WTunnel-Private-Grcxjp-id81integer*小FC主义.用作VPDN蛆号说明:为了与以前设备实现的方式英容，M性取值为14094下发给设备的值的类型为in的ger,其他值的类型string.Tunnel-Assignment-id82integer叁蚂RFC定义.FiIterJD11String（协议中启此Ja性类星为TeXt）访问控力例表的名字.不同产蒜反现定义不凡建议客户菜木奏冠RADlUS服务券上定义的FiIteEd的名字AM制，具体的知则在客户端上进行配工.MA5200：ACLGroupInterGroup,MACLGroup可以/CL组号，也可以为是ACL组名；（0短除期及既可以愚四球则P组号，也可以J时庶名.玄!果奇有多个FilterjD.则只有«us一个FMter-ID作用.因此建议只奇一-tFiter-D.10、查看认证失败或下线原因。RadiUS服务器都会有对应的日志记录用户认证失败或下线的原因。常见的下线原因，可以参考下面的说明。Acct-Terminate-CauseUser-Request1#这种情况，属于用户请求下线，一般为客户端主动下线，需要检查客户端。Acct-Terminate-CauseLost-Carrier2#这种情况一般为客户端与设备间握手报文丢失导致，因为H3C设备的握手功能是私有的，在跟第三方客户端配合时，需要关闭握手。关闭握手的命令为：undodotlxhandshake例如：关闭端口G1/0/10下的dotlx握手功能。H3Cintgl/0/10HX-KjigabitEthemetl/0/1mdodotlxhandshakeAcct-Terminate-CauseIdle-Timeout4#这种情况为闲置超时下线。Acct-Terminate-CauseSession-Timeout5#这种情况为会话超时，一般为计费不足或者进行了时间段限制。