日韩精品麻豆,国产好痛疼轻点好爽的视频,无码毛片高潮一级一级喷水

關鍵配置檢查

VAP模板配置檢查

根據SSID找到對應VAP模板，檢查VAP模板下配置，主要檢查安全模板和認證模板配置。

1. 通過命令display vap-profile all查看所有的VAP模板，根據SSID找到對應的VAP模板。

[Huawei] display vap-profile all
FMode   : Forward mode
STA U/D : Rate limit client up/down
VAP U/D : Rate limit VAP up/down
BR2G/5G : Beacon 2.4G/5G rate
---------------------------------------------------------------------------------------------------------------------
Name     FMode     Type     VLAN      AuthType      STA U/D(Kbps)  VAP U/D(Kbps)  BR2G/5G(Mbps)  Reference  SSID
---------------------------------------------------------------------------------------------------------------------
default  direct   service  VLAN 1    Open          -/-               -/-              1/6               0            HUAWEI-WLAN
vap_dot1x tunnel service  VLAN 200  WPA2+802.1X  -/-              -/-              1/6               3            dot1x_test
---------------------------------------------------------------------------------------------------------------------
Total: 2

說明

不建議多個VAP模板下綁定相同SSID，因為SSID相同的多個VAP模板綁定到同一AP時，會引起接入失敗等異?，F象。

2. 查看VAP模板下的配置，檢查VAP模板下綁定的安全模板和認證模板。

[Huawei] wlan
[Huawei-wlan-view] vap-profile name vap_dot1x
[Huawei-wlan-vap-prof-vap_dot1x] display this
#
 forward-mode tunnel
 service-vlan vlan-id 200
 ssid-profile dot1x
 security-profile security_dot1x
 authentication-profile authen_dot1x
#

3. 查看安全模板下的配置，安全策略需要配置為WPA/WPA2的802.1X認證和加密。

[Huawei] wlan
[Huawei-wlan-view] security-profile name security_dot1x
[Huawei--wlan-sec-prof-security_dot1x] display this
#
 security wpa2 dot1x aes
#

4. 查看認證模板下的配置，需要綁定802.1X接入模板。

[Huawei] authentication-profile name authen_dot1x
[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authen_dot1x
 dot1x-access-profile access_dot1x
 access-domain domain_test
#

5. 查看802.1X接入模板下的配置，dot1x認證方式需要配置為EAP中繼方式，默認為EAP中繼方式。

[Huawei] dot1x-access-profile name access_dot1x
[Huawei--dot1x-access-profile-access_dot1x] display this
#
dot1x-access-profile name access_dot1x
#

認證模式配置檢查

802.1X認證場景認證模式需要配置為RADIUS認證模式。

說明

802.1X認證支持本地認證和RADIUS認證兩種認證模式。本地認證模式需要創(chuàng)建本地用戶并配置內置EAP服務器，本文僅考慮RADIUS認證模式。

認證模式在認證方案下指定，認證方案的引用有兩種方式：第一種方式是在認證模板下直接引用認證方案，第二種方式是在域下引用認證方案，然后在認證模板下引用域，第一種方式優(yōu)先級最高（此時無視其他域的配置）。兩種方式不可混用，若兩種方式同時配置，第一種方式生效，第二種方式在認證模板下配置的默認域或強制域不生效。實際項目應用中，推薦采用第二種方式。

方式一：在認證模板下引用認證方案。

在認證模板下引用認證方案時，需要同時引用RADIUS服務器模板，如果需要計費，還需要同時引用計費方案。

[Huawei] authentication-profile name authen_dot1x
[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authen_dot1x
 dot1x-access-profile access_dot1x
 authentication-scheme radius
 accounting-scheme radius
 radius-server radius_test
#

方式二：在域下引用認證方案。

在域下引用認證方案時，需要同時在域下引用RADIUS服務器模板，如果需要計費，還需要同時在域下引用計費方案。

[Huawei] aaa
[Huawei-aaa] domain domain_test
[Huawei-aaa-domain-domain_test] display this
#
 domain domain_test
  authentication-scheme radius
  accounting-scheme radius
  radius-server radius_test
#

后續(xù)需要在認證模板下配置默認域或者強制域。建議在認證模板下配置不指定接入類型的默認域：

[Huawei] authentication-profile name authen_dot1x
[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test
#

認證域之間存在優(yōu)先級，終端在優(yōu)先級高的認證域中進行認證：指定接入類型的強制域 > 非指定接入類型的強制域 > 用戶名中攜帶的合法域 > 指定接入類型的默認域 > 非指定接入類型的默認域 > 全局默認域。各種域的配置示例如下：

指定接入類型的強制域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test dot1x force

非指定接入類型的強制域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test force

用戶名中攜帶的合法域：指用戶認證時使用的用戶名中使用@攜帶了域名，并且該域在設備上已創(chuàng)建

指定接入類型的默認域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test dot1x

非指定接入類型的默認域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test

全局默認域：指在系統(tǒng)視圖上通過domain xxx指定的全局默認域

常見問題

RADIUS服務器認證拒絕

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示Radius authentication reject。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32846
User login time         : 2020/10/19 1422
User online fail reason : Radius authentication reject
Authen reply message    : ErrorReason is Incorrect user na...
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

通過業(yè)務診斷功能，追蹤終端用戶上線認證過程，看到RADIUS服務器回應了拒絕報文：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication reject packet from radius server(server ip = 10.10.10.1).
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 10.10.10.1
Server Port : 1812
Protocol: Standard
Code    : 3
Len     : 176
ID      : 80
[EAP-Message                        ] [6 ] [04 22 00 04 ]
[State                              ] [16] [01u?237372O]
[Reply-Message                      ] [116] [ErrorReason is Incorrect user name or password or Incorrect dataSource or Incorrect access device key.ErrCode:4101]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:Send authentication reject message to AAA.
[BTRACE][2020/10/19 1423][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENREJECT message(51) from RADIUS module(235).

服務器回應認證拒絕有多種原因，最常見的有用戶名密碼錯誤、授權策略無法匹配等，這些問題需要首先通過排查服務器日志找到根因后，再調整服務器、終端或設備配置解決。

RADIUS服務器不響應

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示The radius server is up but has no reply或者The radius server is not reachable。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32861
User login time         : 2020/10/19 1702
User online fail reason : The radius server is up but has no reply
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32865
User login time         : 2020/10/19 2021
User online fail reason : The radius server is not reachable
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

通過業(yè)務診斷功能，追蹤終端用戶上線認證過程，看到RADIUS服務器無響應：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(235).
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
CID:51  TemplateNo:4  SerialNo:62
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:10.10.10.1 Vrf:0
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:Radius server is up but no response.
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:8,reason is:Radius server is up but no response.
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(235).
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
CID:55  TemplateNo:4  SerialNo:69
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:10.10.10.1 Vrf:0
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:Radius authentication has no response.
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:7,reason is:Radius authentication has no response.

RADIUS服務器不響應問題排查步驟如下：

1. 確認RADIUS服務器是否正確添加設備IP。

RADIUS服務器如果沒有添加設備IP地址則需要添加正確的設備IP。

2. 如果RADIUS服務器已經添加設備IP地址，需要確認添加的設備IP與設備發(fā)送RADIUS認證請求報文的源IP是否相同。

設備發(fā)送RADIUS認證請求報文的源IP可通過命令配置，如果沒有通過命令配置，則使用路由出接口IP地址。如果RADIUS服務器上添加的設備IP地址與路由出接口IP地址一致，則不需要在設備上配置與RADIUS服務器通信的源IP地址，否則需要通過命令配置源IP地址。

a. 先根據RADIUS服務器IP地址查找路由表獲取出接口，然后再根據出接口確認IP地址，如果RADIUS服務器添加的設備IP地址與路由出接口地址一致，則不需要再通過命令配置與RADIUS服務器通信的源IP地址。

[Huawei] display ip routing-table 10.10.10.1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto  Pre Cost Flags NextHop     Interface
10.10.10.0/24     Direct 0   0     D     10.10.10.76   Vlanif12
[Huawei] interface Vlanif 12
[Huawei-Vlanif12] display this
#
interface Vlanif12
 ip address 10.10.10.76 255.255.255.0
#

b. 如果RADIUS服務器添加的設備IP地址與路由出接口地址不同，則需要在設備上配置與RADIUS服務器通信的源IP地址。源IP地址可在全局下配置，也可在RADIUS服務器模板下配置，RADIUS服務器模板下配置的源IP地址優(yōu)先級高于全局下的配置。

在VRRP雙機熱備場景開啟了無線配置同步條件下，只能在全局下配置與RADIUS服務器通信的源IP地址，如果是單機場景下，建議在RADIUS服務器模板下配置源IP地址。

查詢設備上配置的與RADIUS服務器通信的源IP地址。

i. 查看全局是否配置與RADIUS服務器通信的源IP地址：

[Huawei] display radius-server configuration
------------------------------------------------------
Global:
 Radius Server Source IP Address           : -
 Radius Server Source IPv6 Address         : ::
 Radius Attribute Nas IP Address           : -
 Radius Attribute Nas IPv6 Address         : ::
------------------------------------------------------
[Huawei] display radius-server configuration
------------------------------------------------------
Global:
 Radius Server Source IP Address           : 100.1.1.1
 Radius Server Source IPv6 Address         : ::
 Radius Attribute Nas IP Address           : -
 Radius Attribute Nas IPv6 Address         : ::
------------------------------------------------------

如果“Radius Server Source IP Address”為“-”，則表明全局下沒有配置源IP地址，如果“Radius Server Source IP Address”為具體IP地址，則表明配置了源IP地址。

ii. 查看RADIUS服務器模板是否配置與RADIUS服務器通信的源IP地址

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] display this
#
radius-server template radius_test
 radius-server shared-key cipher %^%#x[yB5Wd"!3GqH6,@[kW(Xi6PYA%^%#
 radius-server authentication 10.10.10.1 1812 source ip-address 100.1.1.1 weight 80
 radius-server accounting 10.10.10.1 1813 source ip-address 100.1.1.1 weight 80
#
[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] display this
#
radius-server template radius_test
 radius-server shared-key cipher %^%#x[yB5Wd"!3GqH6,@[kW(Xi6PYA%^%#
 radius-server authentication 10.10.10.1 1812 source Vlanif 100 weight 80
 radius-server accounting 10.10.10.1 1813 source Vlanif 100 weight 80

如果RADIUS服務器模板下再認證服務器或計費服務器后面寫的“source ip-address”或者“source vlanif”，則表明RADIUS服務器模板下配置了源IP地址。

配置設備與RADIUS服務器通信的源IP地址。

i. 在全局下配置與RADIUS服務器通信源地址：

[Huawei] radius-server source ip-address 100.1.1.1

ii. 在RADIUS模板下配置與RADIUS服務器通信源IP地址：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server authentication 10.10.10.1 1812 source ip-address 100.1.1.1

<<<<<左右滑動查看更多>>>>>

3. 確認設備與RADIUS服務器之間中間鏈路是否正常。

a. 從設備指定源IP ping服務器測試，確認路由是否可達；

[Huawei] ping -a 10.10.10.76 10.10.10.1

b. 在設備和服務器同時抓包確認認證報文收發(fā)是否正常，常見問題有中間網絡存在防火墻，防火墻未放通RADIUS（默認認證端口：1812）報文。

4. 查看RADIUS服務器狀態(tài)是否正常，STState字段如果不是STState-up狀態(tài)，則為異常。

[Huawei] display radius-server item template radius_test
---------------------------------------------------------------
  STState    = STState-up
  STChgTime  = -
  Type       = auth-server
  State      = state-up
  AlarmFlag  = false
  STUseNum   = 1
  IPAddress  = 10.10.10.76
  AlarmTimer = 0xffffffff
  Head       = 10274
  Tail       = 10273
  ProbeID    = 255
 --------------------------------------------------------------

5. 確認設備與RADIUS服務器配置的共享密鑰（shared-key）是否一致?？梢酝ㄟ^test-aaa命令測試，同時開啟radius debug打印，debug信息中如出現“Authenticator error·”則表示設備與RADIUS服務器配置的共享密鑰不一致，需要同時修改設備與RADIUS服務器上共享密鑰，使其相同。

[Huawei] test-aaa test test radius-template radius_test
[Huawei]
Oct 24 2020 1549.591.1+08:00 AC6605_129_76 RDS/7/DEBUG:
RADIUS packet: IN (TotalLen=20)
Len 1 ~ 20:
02 08 00 14 F6 DA 06 57 40 25 32 2A A9 70 6E FD
46 F6 B1 25
[Huawei]
Oct 24 2020 1549.591.2+08:00 AC6605_129_76 RDS/7/DEBUG:
[RDS(Err):] Receive a illegal packet(Authenticator error), please check share key config.(ip:10.10.10.1 port:1812)

設備支持在全局下配置指定RADIUS服務器的共享密鑰及在RADIUS服務器模板下配置共享密鑰，其中全局下的配置優(yōu)先級高于模板下的配置.

建議在RADIUS服務器模板下配置共享密鑰，如果兩個都配置的條件下，建議刪除全局下的配置，僅保留模板下的配置。

RADIUS服務器模板下配置共享密鑰：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server shared-key cipher huawei@123

全局下配置RADIUS服務器共享密鑰：

[Huawei] radius-server ip-address 10.10.10.1 shared-key cipher huawei@123

RADIUS服務器授權數據失敗

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示Authorization data error。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domaintest
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32873
User login time         : 2020/10/24 1634
User online fail reason : Authorization data error
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

原因為RADIUS服務器授權了相關權限（如VLAN或者ACL等），但設備上無對應的授權內容配置（如未創(chuàng)建授權VLAN或者未創(chuàng)建授權ACL）。

通過業(yè)務診斷功能，追蹤終端用戶上線認證過程，看到RADIUS服務器下發(fā)的授權內容：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable

授權VLAN檢查失敗

[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 194
ID      : 194
[Tunnel-Type                        ] [6 ] [13]
[Tunnel-Medium-Type                 ] [6 ] [6]
[Tunnel-Private-Group-ID            ] [6 ] [201]
[EAP-Message                        ] [6 ] [03 4a 00 04 ]
[State                              ] [16] [01uY31125N]
[MS-MPPE-Send-Key                   ] [52] [fb a1 e9 55 16 62 a3 e5 da 35 fc ce 3e 8f ae 7d ac 0a d6 0b 20 59 ad 82 a8 66 88 06 6a 81 10 82 61 95 2e cf 44 50 c0 79 e5 3f a4 32 43 45 a5 9e 2b c4 ]
[MS-MPPE-Recv-Key                   ] [52] [fb a1 e9 65 b1 18 6d 60 8f 0a ed af 53 1e 26 8a e6 18 9d 26 8c 21 c8 4f c2 8a 6a d5 a8 85 8a 9d ba d8 be 8d 97 b8 b8 d3 24 04 21 23 90 71 33 35 f4 6b ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:Send authentication reply message to AAA.
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENACCEPT message(50) from RADIUS module(235).
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
CID:57  TemplateNo:4  SerialNo:73
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:12.12.12.1 Vrf:0
SessionTimeout:0 IdleTimeout:0
AcctInterimInterval:0 RemanentVolume:0
InputPeakRate:0 InputAverageRate:0
OutputPeakRate:0 OutputAverageRate:0
InputBasicRate:0 OutputBasicRate:0
InputPBS:0 OutputPBS:0
Priority:[0,0] DNS:[0.0.0.0, 0.0.0.0]
ServiceType:0 LoginService:0 AdminLevel:0 FramedProtocol:0
LoginIpHost:0 NextHop:0
EapLength:4 ReplyMessage:
TunnelType:13 MediumType:6 PrivateGroupID:201
WlanReasonCode:0
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]AAA check authen ack, check VLANID error!
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:Radius authorization data error.
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:16,reason is:Radius authorization data error.

授權VLAN須知：

授權VLAN需要同時下發(fā)RADIUS 64號屬性Tunnel-Type，值固定為13，表示VLAN協(xié)議，RADIUS 65號屬性Tunnel-Medium-Type，值固定為6，表示以太類型，RADIUS 81號屬性Tunnel-Private-Group-ID，支持通過VLAN編號、VLAN描述信息、VLAN名稱和VLAN Pool授權，并且授權生效順序為：VLAN編號 > VLAN描述信息 > VLAN名稱 > VLAN Pool。

授權ACL檢查失敗

Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1619][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 182
ID      : 205
[Filter-Id                          ] [6 ] [3000]
[EAP-Message                        ] [6 ] [03 4c 00 04 ]
[State                              ] [16] [01uY31432103]
[MS-MPPE-Send-Key                   ] [52] [bd ce 7f 1d bf 78 33 d4 6c 45 d8 d0 1b f7 ee d2 02 16 7a ac fd 62 25 88 f7 84 7a 22 44 d8 01 8a 99 a3 33 66 7d 47 e9 a7 ed 88 d5 01 f8 62 4f 9d cd 56 ]
[MS-MPPE-Recv-Key                   ] [52] [bd ce 7f 54 6f 27 35 d1 01 5c f1 5e aa e8 27 91 c7 8b 89 2f 06 8f ac 46 13 5c 92 78 ec cf 39 aa dc bb f8 ff b1 b8 5c 42 6b f8 ca 80 76 b1 e8 35 c9 ed ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/24 1619][6144][RADIUS][64e5-99f3-18f6]:Send authentication reply message to AAA.
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENACCEPT message(50) from RADIUS module(235).
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
CID:58  TemplateNo:4  SerialNo:75
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:12.12.12.1 Vrf:0
SessionTimeout:0 IdleTimeout:0
AcctInterimInterval:0 RemanentVolume:0
InputPeakRate:0 InputAverageRate:0
OutputPeakRate:0 OutputAverageRate:0
InputBasicRate:0 OutputBasicRate:0
InputPBS:0 OutputPBS:0
Priority:[0,0] DNS:[0.0.0.0, 0.0.0.0]
ServiceType:0 LoginService:0 AdminLevel:0 FramedProtocol:0
LoginIpHost:0 NextHop:0
EapLength:4 ReplyMessage:
TunnelType:0 MediumType:0 PrivateGroupID:
ACLID:3000
WlanReasonCode:0
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]AAA check radius authen ack, check acl error!
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:Radius authorization data error.
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:16,reason is:Radius authorization data error.

授權ACL須知：無線場景下，授權ACL ID取值范圍為3000-3031，ACL中rule id最大為64。

RADIUS服務器授權數據失敗排查步驟如下：

1. 確認是否需要對應的授權。

如果需要，則需要在設備上創(chuàng)建對應的授權內容，如授權VLAN需要在設備上創(chuàng)建對應VLAN；如授權ACL需要創(chuàng)建對應ACL，并且在ACL中配置相應規(guī)則。

如果不需要，可以修改RADIUS服務器上的授權策略，將對應授權內容刪除，也可以在設備通過配置忽略對應的授權內容，配置命令如下：

忽略授權VLAN：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Tunnel-Private-Group-ID receive

忽略授權ACL：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Filter-Id receive

認證賬號被鎖定

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示Remote user is blocked。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domaintest
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 16450
User login time         : 2020/11/03 1915
User online fail reason : Remote user is blocked
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

認證賬號被鎖定原因為該賬號在一段時間內連續(xù)認證失敗次數過多，需要確認認證賬號被鎖定之前多次認證失敗原因，該失敗原因需要在RADIUS服務器側排查。

有一種場景需要特別注意，即所有終端使用相同賬號認證接入，如果有一個終端使用了錯誤的密碼，導致該賬號被鎖定，會導致所有終端均無法接入，該場景下需要關閉遠端賬號鎖定功能。

V200R010及之前版本遠端認證失敗后賬號鎖定功能默認開啟；V200R019及之后版本接入用戶遠端認證失敗后賬號鎖定功能默認關閉。

查看遠端賬號是否被鎖定命令：

[Huawei] display remote-user authen-fail blocked
Interval: Retry Interval(Mins)
TimeLeft: Retry Time Left
BlockDuration: Block Duration(Mins)
----------------------------------------------------------------
Username  Interval  TimeLeft  BlockDuration  BlockTime
----------------------------------------------------------------
test       0         0         5              2020-11-03 1914+08:00
----------------------------------------------------------------
Total 1, 1 printed

解鎖特定遠端賬號命令：

[Huawei] aaa
[Huawei-aaa] remote-user authen-fail unblock username test

V200R010及之前版本關閉遠端認證失敗后賬號鎖定功能：

[Huawei] aaa
[Huawei-aaa] undo remote-aaa-user authen-fail

V200R019及之后版本關閉接入用戶遠端認證失敗后賬號鎖定功能：

[Huawei] aaa
[Huawei-aaa] undo access-user remote authen-fail

終端MAC地址靜默

在系統(tǒng)視圖下執(zhí)行命令trace object mac-address mac-address可以看到提示User is still in quiet status，說明終端處于靜默狀態(tài)。

[BTRACE][2020/11/21 1501][7177][EAPoL][000c-291a-4b03]:User is still in quiet status.(MAC:000c-291a-4b03)    //終端處于靜默狀態(tài)，報文被丟棄
[BTRACE][2020/11/21 1501][7177][EAPoL][000c-291a-4b03]:Quiet table check failure,drop the packet.

可以執(zhí)行命令display dot1x quiet-user all，查看用戶MAC處于靜默狀態(tài)的剩余靜默時間。

[Huawei] display dot1x quiet-user all
---------------------------------------------------------------
MacAddress                      Quiet Remain Time(Sec)
---------------------------------------------------------------
000c-291a-4b03                  49
---------------------------------------------------------------
1 silent mac address(es) found, 1 printed.

該終端用戶在60s內連續(xù)802.1X認證失敗達到一定次數，需要確認認證賬號前多次認證失敗原因，等到用戶MAC退出靜默狀態(tài)后再重新嘗試。也可以在系統(tǒng)視圖下執(zhí)行命令dot1x timer quiet-period quiet-period-times調小802.1X用戶被靜默的時間。

[Huawei] dot1x timer quiet-period 60

終端不響應EAP報文 終端不響應Request Identity

通過業(yè)務診斷功能，追蹤終端用戶上線認證過程，看到設備發(fā)出Request Identity報文后沒有收到回應，超時后設備進行了重傳：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:Send a EAPoL request identity packet to user.
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 05 01 60 00 05 01
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:5
EAPOL packet:
Code:Request(1); Id:96; Length:5; Type:Identity(1)
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=120)
[BTRACE][2020/11/02 1445][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WSTA] Process eapol start message up sucessfully.
[BTRACE][2020/11/02 1445][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WADP] Receive EAP authentication ack message from EAPOL(Value:0, Code:0, Current SN:159, Response SN:159).
[BTRACE][2020/11/02 1445][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WSTA] Sta table aging.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:No response of request identity from user.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:Resend a EAPoL request identity packet to user.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 05 01 60 00 05 01
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:5
EAPOL packet:
Code:Request(1); Id:96; Length:5; Type:Identity(1)
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=120)

如果是所有終端均存在該問題，則大概率可能是沒有創(chuàng)建業(yè)務VLAN，需要創(chuàng)建業(yè)務VLAN（即使AC僅作為二層網絡，不作為用戶網關，也需要創(chuàng)建對應業(yè)務VLAN）。首選查看業(yè)務VLAN是否創(chuàng)建，如果沒有創(chuàng)建，創(chuàng)建對應的業(yè)務VLAN。

查看業(yè)務VLAN是否創(chuàng)建（以業(yè)務VLAN 200為例）：

[Huawei] display vlan summary
static vlan:
Total 12 static vlan exist(s).
1 10 12 100 111 to 112 999 1110 to 1114
dynamic vlan:
Total 0 dynamic vlan exist(s).

創(chuàng)建業(yè)務VLAN（以業(yè)務VLAN 200為例）：

[Huawei] vlan 200

終端不響應Request Challenge

通過業(yè)務診斷功能，追蹤終端用戶上線認證過程，看到設備發(fā)出Request Challeng報文沒有收到回應，超時后設備進行了重傳，超過重傳次數后設備發(fā)送了Failure報文：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Eapol send authentication request challenge packet to user.
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 41 01 6c 00 41 19 00 14 03 01 00
01 01 16 03 01 00 30 85 17 ee 90 6c 84 62 9f 66
28 bb d7 29 2c e4 3f 44 dd 79 aa 10 54 3b 6d 54
ac 8e c8 6b a8 3f f7 cd 68 47 4f cc 9a a3 4e ba
0f b5 88 00 22 3e 0a
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:65
EAPOL packet:
Code:Request(1); Id:108; Length:65; Type:PEAP(25)
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=122)
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Eapol send request/challenge packet to user successfully.enter request status.(local index:122)
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:No response of request challenge from user.
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:Resend a EAPoL request challenge packet to user.
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 41 01 6c 00 41 19 00 14 03 01 00
01 01 16 03 01 00 30 85 17 ee 90 6c 84 62 9f 66
28 bb d7 29 2c e4 3f 44 dd 79 aa 10 54 3b 6d 54
ac 8e c8 6b a8 3f f7 cd 68 47 4f cc 9a a3 4e ba
0f b5 88 00 22 3e 0a
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:65
EAPOL packet:
Code:Request(1); Id:108; Length:65; Type:PEAP(25)
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=122)
[BTRACE][2020/11/03 1403][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WSTA] Sta table aging.
[BTRACE][2020/11/03 1403][2048][WLAN_AC][64e5-99f3-18f6]:[Process:2][WSTA] Flow fork MultiSta MsgType3101 Vcpu6
[BTRACE][2020/11/03 1403][2048][WLAN_AC][64e5-99f3-18f6]:[Process:2][WSTA] Flow fork MultiSta MsgType3121 Vcpu6
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:No response of request challenge from user.
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:Resend a EAPoL request challenge packet to user.
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 41 01 6c 00 41 19 00 14 03 01 00
01 01 16 03 01 00 30 85 17 ee 90 6c 84 62 9f 66
28 bb d7 29 2c e4 3f 44 dd 79 aa 10 54 3b 6d 54
ac 8e c8 6b a8 3f f7 cd 68 47 4f cc 9a a3 4e ba
0f b5 88 00 22 3e 0a
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:65
EAPOL packet:
Code:Request(1); Id:108; Length:65; Type:PEAP(25)
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=122)
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:No response of request challenge from user.
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:Resend EAP_request/identity times exceed max times.(Index=122)
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:Send EAP-Failure packet to user.
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 04 04 6c 00 04
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:4
EAPOL packet:
Code:Failure(4); Id:108; Length:4; Type:Unknown(0)

終端不響應Request Challenge排查步驟如下：

1. 首先在AC上采集station-trace信息（station-trace信息記錄的是AP收發(fā)EAP報文情況）。

[Huawei-diagnose] station-trace sta-mac 64e5-99f3-18f6

2. 按順序確認以下四個信息：

<7>Nov 03 2020 1458.20.1 AP-10 WSRV/7/BTRACEreceive eap pkt to sta from CAPWAP(9),[type(0)=EAP pkt, src mac=841222:e8, len=1122]
<7>Nov 03 2020 1458.20.2 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[28] [EAPOL] EAPOL packet payload[1100] Recved from software switch  //AP收到AC發(fā)送的EAP Request challenge報文
<7>Nov 03 2020 1458.20.3 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[28] [EAPOL] EAPOL packet payload[1100] elapsed[0 ms] Sending pkt to target(Single)
<7>Nov 03 2020 1458.70.1 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[28] [EAPOL] EAPOL packet payload[1100] elapsed[30 ms] Success to send pkt to air  //AP向終端發(fā)送EAP Request challenge報文
<7>Nov 03 2020 1458.70.2 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] Recved from target  //AP收到終端發(fā)送的EAP Response challenge報文
<7>Nov 03 2020 1458.70.3 AP-10 WIFI7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] elapsed[0 ms] Entering rx reorder
<7>Nov 03 2020 1458.70.4 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] elapsed[0 ms] Exiting rx reorder for release
<7>Nov 03 2020 1458.70.5 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] elapsed[0 ms] Success to send pkt to software switch  //AP向AC發(fā)送EAP Response challenge報文
<7>Nov 03 2020 1458.70.6 AP-10 WSRV/7/BTRACEreceive eap pkt from sta by BSS(26),[type(0)=EAP pkt, dest mac=18d7c1:20, len=28]

a. AP是否收到AC發(fā)送的EAP Request challenge報文。根據station-trace，確認AP是否收到AC發(fā)送的EAP Request challenge請求報文（Recved from software switch）。如果AP沒有收到AC發(fā)送的EAP Request challenge請求報文，可首先在AP上開啟轉發(fā)debug，看AP轉發(fā)有沒有收到，如果AP轉發(fā)沒有收到，再在AC上開啟轉發(fā)debug，看AC轉發(fā)有沒有發(fā)送，如果確認AP轉發(fā)接收和AC轉發(fā)發(fā)送都沒有問題，則需要在中間鏈路抓包，可能被中間鏈路丟棄。 b. AP收到后是否將EAP Request challenge報文發(fā)送給終端。根據station-trace，確認AP是否成功將EAP Request challenge報文發(fā)送給終端（Success to send pkt to air）。 c. AP是否收到終端EAP Response challenge報文。根據station-trace，確認AP是否收到終端發(fā)送的EAP Response challenge報文（Recved from target）。 d. AP是否將EAP Response challenge報文發(fā)送給AC。根據station-trace，確認AP是否成功將EAP Response challenge報文發(fā)送給AC（Success to send pkt to software switch）。如果station-trace顯示發(fā)送成功，但AC沒有收到，可首先在AC上開啟轉發(fā)debug，看AC轉發(fā)有沒有收到，如果AC轉發(fā)沒有收到，再在AP上開啟轉發(fā)debug，看AP轉發(fā)有沒有發(fā)送，如果確認AC轉發(fā)接收和AP轉發(fā)發(fā)送都沒有問題，則需要在中間鏈路抓包，可能被中間鏈路丟棄。

3. 還有一個可能原因，RADIUS服務器發(fā)送的Access-challenge報文中EAP內容比較大（長度都超過1200），導致終端接收大的EAP Request challenge報文失敗，可在station-trace中確認。

[G12-AP-09-3-diagnose]
May 13 2019 1710.230.6+00:00 G12-AP-09-3 WSRV/7/BTRACE:[BTRACE][WLAN_AP][3C2E-FF90-662F]:receive eap pkt to sta from CAPWAP(23),[type(0)=EAP pkt, src mac=107285:e6, len=1518]
[G12-AP-09-3-diagnose]
May 13 2019 1710.230.7+00:00 G12-AP-09-3 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][3C2E-FF90-662F]:SeqNo[3259] [EAPOL] EAPOL packet payload[1496] Recved from software switch
[G12-AP-09-3-diagnose]
May 13 2019 1710.230.8+00:00 G12-AP-09-3 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][3C2E-FF90-662F]:SeqNo[3259] [EAPOL] EAPOL packet payload[1496] elapsed[0 ms] Sending pkt to target(Single)
[G12-AP-09-3-diagnose]
May 13 2019 1710.240.1+00:00 G12-AP-09-3 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][3C2E-FF90-662F]:SeqNo[3259] [EAPOL] EAPOL packet payload[1496] elapsed[0 ms] Fail to send pkt to air with status[2]

如上所示，EAP Request challenge報文長度為1496，AP發(fā)送給終端失敗，該問題有兩種解決方式

在RADIUS服務器上調整Frame-Mtu大小為1000以下。

可嘗試在radius-server模板下降低設備發(fā)送給RADIUS服務器認證請求報文中Frame-Mtu屬性值，Frame-Mtu屬性值默認為1500，可將其調整為1000。

說明

部分第三方RADIUS服務器不支持該屬性，只能采用第一種方式去調整。

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute set Framed-Mtu 1000

四步握手失敗

在系統(tǒng)視圖下執(zhí)行命令trace object mac-address mac-address可以看到提示4-way-handshake failed，說明四步握手失敗。

[BTRACE] [2020/11/30 1142][3072][WLAN_AC][0433-c2ad-9008]:[Process:3][WSTA] Receive elb table process(Ap:22, radio:1, wlan:1, vlan:1199, access mode:0, L3:0, version:0, IP:00000000, code:0, type:2)
[BTRACE][2020/11/30 1142][6144][WLAN_AC][0433-c2ad-9008]:[Process:6][WSEC] 4-way-handshake failed (Code:00000003).

四步握手失敗一般是由于空口環(huán)境干擾大/終端信號弱引起的，此時建議排查WLAN空口環(huán)境。

認證成功后定時做重認證

出現這種情況一般有如下兩種可能：

設備本地配置了重認證

檢查接入模板下有沒有配置dot1x reauthenticate命令，如果有，刪除掉該配置：

[Huawei] dot1x-access-profile name access_dot1x
[Huawei--dot1x-access-profile-access_dot1x] display this
#
dot1x-access-profile name access_dot1x
dot1x reauthenticate
#

RADIUS服務器錯誤下發(fā)Session-Timeout和Termination-Action屬性

通過業(yè)務診斷功能，追蹤終端用戶上線認證過程，看到RADIUS服務器下發(fā)的授權內容：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
如下所示trace中，顯示RADIUS服務器在認證成功報文中下發(fā)了Session-Timeout和Termination-Action屬性
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 194
ID      : 194
[Session-Timeout                ] [6 ] [3600]
[Termination-Action             ] [6 ] [1]
[EAP-Message                        ] [6 ] [03 4a 00 04 ]
[State                              ] [16] [01uY31125N]
[MS-MPPE-Send-Key                   ] [52] [fb a1 e9 55 16 62 a3 e5 da 35 fc ce 3e 8f ae 7d ac 0a d6 0b 20 59 ad 82 a8 66 88 06 6a 81 10 82 61 95 2e cf 44 50 c0 79 e5 3f a4 32 43 45 a5 9e 2b c4 ]
[MS-MPPE-Recv-Key                   ] [52] [fb a1 e9 65 b1 18 6d 60 8f 0a ed af 53 1e 26 8a e6 18 9d 26 8c 21 c8 4f c2 8a 6a d5 a8 85 8a 9d ba d8 be 8d 97 b8 b8 d3 24 04 21 23 90 71 33 35 f4 6b ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]

可以修改RADIUS服務器上的授權策略，將對應授權內容刪除；也可以在設備通過配置忽略對應的授權內容，配置命令如下：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Termination-Action receive 
[Huawei-radius-radius_test] radius-attribute disable Session-Timeout receive

信息采集

用戶狀態(tài)

[Huawei] display access-user mac-address xxxx-xxxx-xxxx

在AC上采集trace信息，復現問題，可看到終端認證過程。

[Huawei] trace object mac-address xxxx-xxxx-xxxx
[Huawei] trace enable

在AC上采集station-trace信息，復現問題，可看到AP上終端認證報文收發(fā)情況。

[Huawei-diagnose] station-trace sta-mac xxxx-xxxx-xxxx

采集完成后，需要關閉trace信息

[Huawei] undo trace object mac-address xxxx-xxxx-xxxx
[Huawei] undo trace enable
[Huawei-diagnose] undo station-trace sta-mac xxxx-xxxx-xxxx

終端上下線原因

AAA側終端上下線原因查看命令：

[Huawei] display aaa online-fail-record mac-address xxxx-xxxx-xxxx
[Huawei] display aaa abnormal-offline-record mac-address xxxx-xxxx-xxxx
[Huawei] display aaa offline-record mac-address xxxx-xxxx-xxxx

WLAN側終端上下線原因查看命令：

[Huawei-diagnose] display station online-fail-record sta-mac xxxx-xxxx-xxxx
[Huawei-diagnose] display station offline-record sta-mac xxxx-xxxx-xxxx

協(xié)議回放

EAP協(xié)議回放

[Huawei-diagnose] display dot1x abnormal-eap-track mac xxxx-xxxx-xxxx

RADIUS協(xié)議回放

[Huawei-diagnose] display aaa abnormal-radius-track mac xxxx-xxxx-xxxx

日志

AAA上線日志（記錄在AC log日志中）

%%01CM/5/USER_ACCESSRESULT(s)[395622]:[WLAN_STA_INFO_AUTHENTICATION]ACMAC:xx-xx-xx-xx-xx-xx;ACNAME:xxx;APMAC:xx-xx-xx-xx-xx-xx;APNAME:xxx;SSID:xxx;RADIOID:1;USER:xxx;MAC:xx-xx-xx-xx-xx-xx;IPADDRESS:-;TIME:1608639482;ZONE:UTC+0300;DAYLIGHT:false;ERRCODE:4294967295;RESULT:Open;USERGROUP:NULL;CIB ID:10192;INTERFACE:Wlan-Dbss18108;ACCESS TYPE:None;RDSIP:-;Portal TYPE:-;AUTHID=866625466;AuthFailType:MAC;AUTHPROTOCOL:PAP;

AAA下線日志（記錄在AC log日志中）

%%01CM/5/USER_OFFLINERESULT(s)[395621]:[WLAN_STA_INFO_OFFLINE]ACMAC:xx-xx-xx-xx-xx-xx;ACNAME:xxx;APMAC:xx-xx-xx-xx-xx-xx;APNAME:xxx;SSID:xxx;RADIOID:1;USER:xxx;MAC:xx-xx-xx-xx-xx-xx;IPADDRESS:-;TIME:1608639482;ZONE:UTC+0300;DAYLIGHT:false;SESSIONTIME:2;ERRCODE:208;RESULT:Authentication during association failed;USERGROUP:NULL;AUTHENPLACE:None;EXTENDINFO:The signal strength of the STA is -43 dbm.;CIB ID:11430;INTERFACE:Wlan-Dbss18108;ACCESS TYPE:None;RDSIP:-;Portal TYPE:-;AUTHID=1837558961;AUTHPROTOCOL:-;

AP上dot1x高精度日志（記錄在AP log日志中）

%%01WSRV/6/STA_EVENT_DOT1X_PROC(l)[294062]:dot1x authentication procedure(ApMac=xx-xx-xx-xx-xx-xx,UserMac=xx-xx-xx-xx-xx-xx,Identify=xxx,RadioId=1,Band=2,VapId=20,SSID=xxx,Result=Fail,Msg=ae 5 17;se 0 19;se 38 26;ae 6 47;se 166 49;ae 1012 77;se 6 104;ae 1008 121;se 6 122;ae 10 154;se 136 162;ae 57 219;se 6 229;ae 36 246;se 69 248;ae 69 269;se 123 272;ae 82 293;se 37 294;ae 46 314;se 46 315;ae 4

AP上終端關聯(lián)/去關聯(lián)日志

一鍵診斷信息

[Huawei] display diagnostic-information

原文標題：S系列交換機維護寶典 | 802.1X認證失敗

文章出處：【微信公眾號：華為產品資料】歡迎添加關注！文章轉載請注明出處。

審核編輯：彭菁

聲明：本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用，如有內容侵權或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴

服務器

服務器

+關注

關注
12

文章
8958

瀏覽量
85085
SSID

SSID

+關注

關注
0

文章
14

瀏覽量
11298
模板

模板

+關注

關注
0

文章
108

瀏覽量
20545

原文標題：S系列交換機維護寶典 | 802.1X認證失敗

文章出處：【微信號：huaweidoc，微信公眾號：華為產品資料】歡迎添加關注！文章轉載請注明出處。

嵌入式WEB服務器常見的有哪些

嵌入式WEB服務器常見的有l(wèi)ighttpdshttpdthttpdboamathopdminihttpdappwebgoahead

發(fā)表于 12-14 08:43

ESP32 TLS RADIUS服務器連接問題求解

我們正在嘗試使用 TLS 協(xié)議通過ESP32wifi 網絡連接到 RADIUS 服務器，但它不起作用。我們使用 AT 命令與 ESP32 通信，因此在我們的系統(tǒng)中，它作為從設備工作。通過

發(fā)表于 03-08 07:28

跨平臺RADIUS服務器的設計與實現

RADIUS 服務器在VoIP 系統(tǒng)中扮演著認證計費的角色。當前網絡電話技術的迅速發(fā)展，越來越多的IP 電話運營商開始意識到認證計費的重要性，因此R

發(fā)表于 01-22 15:45 ?16次下載

功能服務器的認證

功能服務器的認證認證的官方含義是：由可以充分信任的第三方證實某一經鑒定的產品或服務符合特定標準或規(guī)范性文件的活動。 &

發(fā)表于 01-08 14:47 ?941次閱讀

服務器配置常見誤區(qū)

服務器配置常見誤區(qū) 　服務器是至關重要的核心設備，確保網絡服務器能夠高性能、穩(wěn)定持續(xù)的工作一直以來都是用戶最關心的問題。然而在關注

發(fā)表于 01-27 17:10 ?467次閱讀

服務器常見專業(yè)術語大全(一)

服務器常見專業(yè)術語大全(一) [服務器術語]-- 服務器配件　　在信息系統(tǒng)中，服務器主要應用于數據庫和Web

發(fā)表于 01-29 13:47 ?1449次閱讀

服務器常見專業(yè)術語大全(二)

服務器常見專業(yè)術語大全(二) 機箱和電源　　相對于普通ATX機箱，服務器機箱有如下特點：　　1）材料散熱性好：為了保證服務器穩(wěn)定

發(fā)表于 01-29 13:48 ?1416次閱讀

AAA_RADIUS和TACACS+

學習完本課程，您應該能夠：掌握AAA認證架構，掌握RADIUS、TACACS+認證原理，熟悉AAA、RADIUS和TACACS+相關配置命令。

發(fā)表于 04-12 17:38 ?6次下載

基于_群封裝_技術的RADIUS認證優(yōu)化_高寶

基于_群封裝_技術的RADIUS認證優(yōu)化_高寶

發(fā)表于 03-19 11:31 ?0次下載

RADIUS-AAA測試實例詳細資料說明免費下載

TC1.2.2 交換機802.1X認證功能Radius服務器認證－EAP終結方式測試用例編號TC1.2.2測試項目802.1X認證功能測試測

發(fā)表于 11-14 08:00 ?15次下載

基于Linux Ubuntu的RADIUS服務器搭建

RADIUS的全稱為Remote Authentication Dial-In User Service，是一種能夠讓服務器驗證各種接入用戶身份的協(xié)議，RADIUS可以對用戶身份進行集中管理，安全性更好，策略也更靈活，同時還可以

發(fā)表于 05-26 09:30 ?6101次閱讀

常見的服務器有哪些？5款常見的應用服務器介紹

服務器在通常用于處理業(yè)務邏輯，服務器端與前端具有輕耦合的特點。在往期服務器相關文章中，小編對高防服務器、GPU服務器等有所闡述。為增進大家對

發(fā)表于 02-10 17:23 ?1.5w次閱讀

DHCP服務器的工作原理及常見問題總結

關于一些DHCP服務器的工作原理、常見問題總結和虛擬機部署DHCP服務器時出現的問題

發(fā)表于 02-11 09:26 ?2358次閱讀

獨立服務器與云服務器的區(qū)別

隨著互聯(lián)網技術的飛速發(fā)展，企業(yè)對于服務器的需求日益增加，而服務器市場也隨之出現了多種類型的產品，其中最常見的是獨立服務器和云服務器。這兩種

發(fā)表于 10-12 14:34 ?186次閱讀

RADIUS服務器無響應的解決方法

有兩種方式快速確認RADIUS服務器是否回應。

發(fā)表于 11-09 16:02 ?130次閱讀

搜索歷史

RADIUS服務器常見認證問題

評論

嵌入式WEB服務器常見的有哪些

ESP32 TLS RADIUS服務器連接問題求解

跨平臺RADIUS服務器的設計與實現

功能服務器的認證

服務器配置常見誤區(qū)

服務器常見專業(yè)術語大全(一)

服務器常見專業(yè)術語大全(二)

AAA_RADIUS和TACACS+

基于_群封裝_技術的RADIUS認證優(yōu)化_高寶

RADIUS-AAA測試實例詳細資料說明免費下載

基于Linux Ubuntu的RADIUS服務器搭建

常見的服務器有哪些？5款常見的應用服務器介紹

DHCP服務器的工作原理及常見問題總結

獨立服務器與云服務器的區(qū)別

RADIUS服務器無響應的解決方法