国产电影观看视频一区二区在线观看,国产亚洲一区二区三区不卡片,一区二区视频在线播放

關(guān)鍵配置檢查

VAP模板配置檢查

根據(jù)SSID找到對(duì)應(yīng)VAP模板，檢查VAP模板下配置，主要檢查安全模板和認(rèn)證模板配置。

1. 通過(guò)命令display vap-profile all查看所有的VAP模板，根據(jù)SSID找到對(duì)應(yīng)的VAP模板。

[Huawei] display vap-profile all
FMode   : Forward mode
STA U/D : Rate limit client up/down
VAP U/D : Rate limit VAP up/down
BR2G/5G : Beacon 2.4G/5G rate
---------------------------------------------------------------------------------------------------------------------
Name     FMode     Type     VLAN      AuthType      STA U/D(Kbps)  VAP U/D(Kbps)  BR2G/5G(Mbps)  Reference  SSID
---------------------------------------------------------------------------------------------------------------------
default  direct   service  VLAN 1    Open          -/-               -/-              1/6               0            HUAWEI-WLAN
vap_dot1x tunnel service  VLAN 200  WPA2+802.1X  -/-              -/-              1/6               3            dot1x_test
---------------------------------------------------------------------------------------------------------------------
Total: 2

說(shuō)明

不建議多個(gè)VAP模板下綁定相同SSID，因?yàn)镾SID相同的多個(gè)VAP模板綁定到同一AP時(shí)，會(huì)引起接入失敗等異?，F(xiàn)象。

2. 查看VAP模板下的配置，檢查VAP模板下綁定的安全模板和認(rèn)證模板。

[Huawei] wlan
[Huawei-wlan-view] vap-profile name vap_dot1x
[Huawei-wlan-vap-prof-vap_dot1x] display this
#
 forward-mode tunnel
 service-vlan vlan-id 200
 ssid-profile dot1x
 security-profile security_dot1x
 authentication-profile authen_dot1x
#

3. 查看安全模板下的配置，安全策略需要配置為WPA/WPA2的802.1X認(rèn)證和加密。

[Huawei] wlan
[Huawei-wlan-view] security-profile name security_dot1x
[Huawei--wlan-sec-prof-security_dot1x] display this
#
 security wpa2 dot1x aes
#

4. 查看認(rèn)證模板下的配置，需要綁定802.1X接入模板。

[Huawei] authentication-profile name authen_dot1x
[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authen_dot1x
 dot1x-access-profile access_dot1x
 access-domain domain_test
#

5. 查看802.1X接入模板下的配置，dot1x認(rèn)證方式需要配置為EAP中繼方式，默認(rèn)為EAP中繼方式。

[Huawei] dot1x-access-profile name access_dot1x
[Huawei--dot1x-access-profile-access_dot1x] display this
#
dot1x-access-profile name access_dot1x
#

認(rèn)證模式配置檢查

802.1X認(rèn)證場(chǎng)景認(rèn)證模式需要配置為RADIUS認(rèn)證模式。

說(shuō)明

802.1X認(rèn)證支持本地認(rèn)證和RADIUS認(rèn)證兩種認(rèn)證模式。本地認(rèn)證模式需要?jiǎng)?chuàng)建本地用戶(hù)并配置內(nèi)置EAP服務(wù)器，本文僅考慮RADIUS認(rèn)證模式。

認(rèn)證模式在認(rèn)證方案下指定，認(rèn)證方案的引用有兩種方式：第一種方式是在認(rèn)證模板下直接引用認(rèn)證方案，第二種方式是在域下引用認(rèn)證方案，然后在認(rèn)證模板下引用域，第一種方式優(yōu)先級(jí)最高（此時(shí)無(wú)視其他域的配置）。兩種方式不可混用，若兩種方式同時(shí)配置，第一種方式生效，第二種方式在認(rèn)證模板下配置的默認(rèn)域或強(qiáng)制域不生效。實(shí)際項(xiàng)目應(yīng)用中，推薦采用第二種方式。

方式一：在認(rèn)證模板下引用認(rèn)證方案。

在認(rèn)證模板下引用認(rèn)證方案時(shí)，需要同時(shí)引用RADIUS服務(wù)器模板，如果需要計(jì)費(fèi)，還需要同時(shí)引用計(jì)費(fèi)方案。

[Huawei] authentication-profile name authen_dot1x
[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authen_dot1x
 dot1x-access-profile access_dot1x
 authentication-scheme radius
 accounting-scheme radius
 radius-server radius_test
#

方式二：在域下引用認(rèn)證方案。

在域下引用認(rèn)證方案時(shí)，需要同時(shí)在域下引用RADIUS服務(wù)器模板，如果需要計(jì)費(fèi)，還需要同時(shí)在域下引用計(jì)費(fèi)方案。

[Huawei] aaa
[Huawei-aaa] domain domain_test
[Huawei-aaa-domain-domain_test] display this
#
 domain domain_test
  authentication-scheme radius
  accounting-scheme radius
  radius-server radius_test
#

后續(xù)需要在認(rèn)證模板下配置默認(rèn)域或者強(qiáng)制域。建議在認(rèn)證模板下配置不指定接入類(lèi)型的默認(rèn)域：

[Huawei] authentication-profile name authen_dot1x
[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test
#

認(rèn)證域之間存在優(yōu)先級(jí)，終端在優(yōu)先級(jí)高的認(rèn)證域中進(jìn)行認(rèn)證：指定接入類(lèi)型的強(qiáng)制域 > 非指定接入類(lèi)型的強(qiáng)制域 > 用戶(hù)名中攜帶的合法域 > 指定接入類(lèi)型的默認(rèn)域 > 非指定接入類(lèi)型的默認(rèn)域 > 全局默認(rèn)域。各種域的配置示例如下：

指定接入類(lèi)型的強(qiáng)制域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test dot1x force

非指定接入類(lèi)型的強(qiáng)制域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test force

用戶(hù)名中攜帶的合法域：指用戶(hù)認(rèn)證時(shí)使用的用戶(hù)名中使用@攜帶了域名，并且該域在設(shè)備上已創(chuàng)建

指定接入類(lèi)型的默認(rèn)域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test dot1x

非指定接入類(lèi)型的默認(rèn)域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test

全局默認(rèn)域：指在系統(tǒng)視圖上通過(guò)domain xxx指定的全局默認(rèn)域

常見(jiàn)問(wèn)題

RADIUS服務(wù)器認(rèn)證拒絕

通過(guò)命令display aaa online-fail-record mac-address H-H-H查看終端上線(xiàn)失敗記錄，用戶(hù)上線(xiàn)失敗原因（User online fail reason）顯示Radius authentication reject。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32846
User login time         : 2020/10/19 1422
User online fail reason : Radius authentication reject
Authen reply message    : ErrorReason is Incorrect user na...
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

通過(guò)業(yè)務(wù)診斷功能，追蹤終端用戶(hù)上線(xiàn)認(rèn)證過(guò)程，看到RADIUS服務(wù)器回應(yīng)了拒絕報(bào)文：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication reject packet from radius server(server ip = 10.10.10.1).
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 10.10.10.1
Server Port : 1812
Protocol: Standard
Code    : 3
Len     : 176
ID      : 80
[EAP-Message                        ] [6 ] [04 22 00 04 ]
[State                              ] [16] [01u?237372O]
[Reply-Message                      ] [116] [ErrorReason is Incorrect user name or password or Incorrect dataSource or Incorrect access device key.ErrCode:4101]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:Send authentication reject message to AAA.
[BTRACE][2020/10/19 1423][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENREJECT message(51) from RADIUS module(235).

服務(wù)器回應(yīng)認(rèn)證拒絕有多種原因，最常見(jiàn)的有用戶(hù)名密碼錯(cuò)誤、授權(quán)策略無(wú)法匹配等，這些問(wèn)題需要首先通過(guò)排查服務(wù)器日志找到根因后，再調(diào)整服務(wù)器、終端或設(shè)備配置解決。

RADIUS服務(wù)器不響應(yīng)

通過(guò)命令display aaa online-fail-record mac-address H-H-H查看終端上線(xiàn)失敗記錄，用戶(hù)上線(xiàn)失敗原因（User online fail reason）顯示The radius server is up but has no reply或者The radius server is not reachable。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32861
User login time         : 2020/10/19 1702
User online fail reason : The radius server is up but has no reply
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32865
User login time         : 2020/10/19 2021
User online fail reason : The radius server is not reachable
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

通過(guò)業(yè)務(wù)診斷功能，追蹤終端用戶(hù)上線(xiàn)認(rèn)證過(guò)程，看到RADIUS服務(wù)器無(wú)響應(yīng)：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(235).
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
CID:51  TemplateNo:4  SerialNo:62
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:10.10.10.1 Vrf:0
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:Radius server is up but no response.
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:8,reason is:Radius server is up but no response.
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(235).
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
CID:55  TemplateNo:4  SerialNo:69
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:10.10.10.1 Vrf:0
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:Radius authentication has no response.
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:7,reason is:Radius authentication has no response.

RADIUS服務(wù)器不響應(yīng)問(wèn)題排查步驟如下：

1. 確認(rèn)RADIUS服務(wù)器是否正確添加設(shè)備IP。

RADIUS服務(wù)器如果沒(méi)有添加設(shè)備IP地址則需要添加正確的設(shè)備IP。

2. 如果RADIUS服務(wù)器已經(jīng)添加設(shè)備IP地址，需要確認(rèn)添加的設(shè)備IP與設(shè)備發(fā)送RADIUS認(rèn)證請(qǐng)求報(bào)文的源IP是否相同。

設(shè)備發(fā)送RADIUS認(rèn)證請(qǐng)求報(bào)文的源IP可通過(guò)命令配置，如果沒(méi)有通過(guò)命令配置，則使用路由出接口IP地址。如果RADIUS服務(wù)器上添加的設(shè)備IP地址與路由出接口IP地址一致，則不需要在設(shè)備上配置與RADIUS服務(wù)器通信的源IP地址，否則需要通過(guò)命令配置源IP地址。

a. 先根據(jù)RADIUS服務(wù)器IP地址查找路由表獲取出接口，然后再根據(jù)出接口確認(rèn)IP地址，如果RADIUS服務(wù)器添加的設(shè)備IP地址與路由出接口地址一致，則不需要再通過(guò)命令配置與RADIUS服務(wù)器通信的源IP地址。

[Huawei] display ip routing-table 10.10.10.1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto  Pre Cost Flags NextHop     Interface
10.10.10.0/24     Direct 0   0     D     10.10.10.76   Vlanif12
[Huawei] interface Vlanif 12
[Huawei-Vlanif12] display this
#
interface Vlanif12
 ip address 10.10.10.76 255.255.255.0
#

b. 如果RADIUS服務(wù)器添加的設(shè)備IP地址與路由出接口地址不同，則需要在設(shè)備上配置與RADIUS服務(wù)器通信的源IP地址。源IP地址可在全局下配置，也可在RADIUS服務(wù)器模板下配置，RADIUS服務(wù)器模板下配置的源IP地址優(yōu)先級(jí)高于全局下的配置。

在VRRP雙機(jī)熱備場(chǎng)景開(kāi)啟了無(wú)線(xiàn)配置同步條件下，只能在全局下配置與RADIUS服務(wù)器通信的源IP地址，如果是單機(jī)場(chǎng)景下，建議在RADIUS服務(wù)器模板下配置源IP地址。

查詢(xún)?cè)O(shè)備上配置的與RADIUS服務(wù)器通信的源IP地址。

i. 查看全局是否配置與RADIUS服務(wù)器通信的源IP地址：

[Huawei] display radius-server configuration
------------------------------------------------------
Global:
 Radius Server Source IP Address           : -
 Radius Server Source IPv6 Address         : ::
 Radius Attribute Nas IP Address           : -
 Radius Attribute Nas IPv6 Address         : ::
------------------------------------------------------
[Huawei] display radius-server configuration
------------------------------------------------------
Global:
 Radius Server Source IP Address           : 100.1.1.1
 Radius Server Source IPv6 Address         : ::
 Radius Attribute Nas IP Address           : -
 Radius Attribute Nas IPv6 Address         : ::
------------------------------------------------------

如果“Radius Server Source IP Address”為“-”，則表明全局下沒(méi)有配置源IP地址，如果“Radius Server Source IP Address”為具體IP地址，則表明配置了源IP地址。

ii. 查看RADIUS服務(wù)器模板是否配置與RADIUS服務(wù)器通信的源IP地址

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] display this
#
radius-server template radius_test
 radius-server shared-key cipher %^%#x[yB5Wd"!3GqH6,@[kW(Xi6PYA%^%#
 radius-server authentication 10.10.10.1 1812 source ip-address 100.1.1.1 weight 80
 radius-server accounting 10.10.10.1 1813 source ip-address 100.1.1.1 weight 80
#
[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] display this
#
radius-server template radius_test
 radius-server shared-key cipher %^%#x[yB5Wd"!3GqH6,@[kW(Xi6PYA%^%#
 radius-server authentication 10.10.10.1 1812 source Vlanif 100 weight 80
 radius-server accounting 10.10.10.1 1813 source Vlanif 100 weight 80

如果RADIUS服務(wù)器模板下再認(rèn)證服務(wù)器或計(jì)費(fèi)服務(wù)器后面寫(xiě)的“source ip-address”或者“source vlanif”，則表明RADIUS服務(wù)器模板下配置了源IP地址。

配置設(shè)備與RADIUS服務(wù)器通信的源IP地址。

i. 在全局下配置與RADIUS服務(wù)器通信源地址：

[Huawei] radius-server source ip-address 100.1.1.1

ii. 在RADIUS模板下配置與RADIUS服務(wù)器通信源IP地址：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server authentication 10.10.10.1 1812 source ip-address 100.1.1.1

<<<<<左右滑動(dòng)查看更多>>>>>

3. 確認(rèn)設(shè)備與RADIUS服務(wù)器之間中間鏈路是否正常。

a. 從設(shè)備指定源IP ping服務(wù)器測(cè)試，確認(rèn)路由是否可達(dá)；

[Huawei] ping -a 10.10.10.76 10.10.10.1

b. 在設(shè)備和服務(wù)器同時(shí)抓包確認(rèn)認(rèn)證報(bào)文收發(fā)是否正常，常見(jiàn)問(wèn)題有中間網(wǎng)絡(luò)存在防火墻，防火墻未放通RADIUS（默認(rèn)認(rèn)證端口：1812）報(bào)文。

4. 查看RADIUS服務(wù)器狀態(tài)是否正常，STState字段如果不是STState-up狀態(tài)，則為異常。

[Huawei] display radius-server item template radius_test
---------------------------------------------------------------
  STState    = STState-up
  STChgTime  = -
  Type       = auth-server
  State      = state-up
  AlarmFlag  = false
  STUseNum   = 1
  IPAddress  = 10.10.10.76
  AlarmTimer = 0xffffffff
  Head       = 10274
  Tail       = 10273
  ProbeID    = 255
 --------------------------------------------------------------

5. 確認(rèn)設(shè)備與RADIUS服務(wù)器配置的共享密鑰（shared-key）是否一致?？梢酝ㄟ^(guò)test-aaa命令測(cè)試，同時(shí)開(kāi)啟radius debug打印，debug信息中如出現(xiàn)“Authenticator error·”則表示設(shè)備與RADIUS服務(wù)器配置的共享密鑰不一致，需要同時(shí)修改設(shè)備與RADIUS服務(wù)器上共享密鑰，使其相同。

[Huawei] test-aaa test test radius-template radius_test
[Huawei]
Oct 24 2020 1549.591.1+08:00 AC6605_129_76 RDS/7/DEBUG:
RADIUS packet: IN (TotalLen=20)
Len 1 ~ 20:
02 08 00 14 F6 DA 06 57 40 25 32 2A A9 70 6E FD
46 F6 B1 25
[Huawei]
Oct 24 2020 1549.591.2+08:00 AC6605_129_76 RDS/7/DEBUG:
[RDS(Err):] Receive a illegal packet(Authenticator error), please check share key config.(ip:10.10.10.1 port:1812)

設(shè)備支持在全局下配置指定RADIUS服務(wù)器的共享密鑰及在RADIUS服務(wù)器模板下配置共享密鑰，其中全局下的配置優(yōu)先級(jí)高于模板下的配置.

建議在RADIUS服務(wù)器模板下配置共享密鑰，如果兩個(gè)都配置的條件下，建議刪除全局下的配置，僅保留模板下的配置。

RADIUS服務(wù)器模板下配置共享密鑰：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server shared-key cipher huawei@123

全局下配置RADIUS服務(wù)器共享密鑰：

[Huawei] radius-server ip-address 10.10.10.1 shared-key cipher huawei@123

RADIUS服務(wù)器授權(quán)數(shù)據(jù)失敗

通過(guò)命令display aaa online-fail-record mac-address H-H-H查看終端上線(xiàn)失敗記錄，用戶(hù)上線(xiàn)失敗原因（User online fail reason）顯示Authorization data error。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domaintest
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32873
User login time         : 2020/10/24 1634
User online fail reason : Authorization data error
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

原因?yàn)镽ADIUS服務(wù)器授權(quán)了相關(guān)權(quán)限（如VLAN或者ACL等），但設(shè)備上無(wú)對(duì)應(yīng)的授權(quán)內(nèi)容配置（如未創(chuàng)建授權(quán)VLAN或者未創(chuàng)建授權(quán)ACL）。

通過(guò)業(yè)務(wù)診斷功能，追蹤終端用戶(hù)上線(xiàn)認(rèn)證過(guò)程，看到RADIUS服務(wù)器下發(fā)的授權(quán)內(nèi)容：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable

授權(quán)VLAN檢查失敗

[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 194
ID      : 194
[Tunnel-Type                        ] [6 ] [13]
[Tunnel-Medium-Type                 ] [6 ] [6]
[Tunnel-Private-Group-ID            ] [6 ] [201]
[EAP-Message                        ] [6 ] [03 4a 00 04 ]
[State                              ] [16] [01uY31125N]
[MS-MPPE-Send-Key                   ] [52] [fb a1 e9 55 16 62 a3 e5 da 35 fc ce 3e 8f ae 7d ac 0a d6 0b 20 59 ad 82 a8 66 88 06 6a 81 10 82 61 95 2e cf 44 50 c0 79 e5 3f a4 32 43 45 a5 9e 2b c4 ]
[MS-MPPE-Recv-Key                   ] [52] [fb a1 e9 65 b1 18 6d 60 8f 0a ed af 53 1e 26 8a e6 18 9d 26 8c 21 c8 4f c2 8a 6a d5 a8 85 8a 9d ba d8 be 8d 97 b8 b8 d3 24 04 21 23 90 71 33 35 f4 6b ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:Send authentication reply message to AAA.
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENACCEPT message(50) from RADIUS module(235).
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
CID:57  TemplateNo:4  SerialNo:73
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:12.12.12.1 Vrf:0
SessionTimeout:0 IdleTimeout:0
AcctInterimInterval:0 RemanentVolume:0
InputPeakRate:0 InputAverageRate:0
OutputPeakRate:0 OutputAverageRate:0
InputBasicRate:0 OutputBasicRate:0
InputPBS:0 OutputPBS:0
Priority:[0,0] DNS:[0.0.0.0, 0.0.0.0]
ServiceType:0 LoginService:0 AdminLevel:0 FramedProtocol:0
LoginIpHost:0 NextHop:0
EapLength:4 ReplyMessage:
TunnelType:13 MediumType:6 PrivateGroupID:201
WlanReasonCode:0
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]AAA check authen ack, check VLANID error!
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:Radius authorization data error.
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:16,reason is:Radius authorization data error.

授權(quán)VLAN須知：

授權(quán)VLAN需要同時(shí)下發(fā)RADIUS 64號(hào)屬性Tunnel-Type，值固定為13，表示VLAN協(xié)議，RADIUS 65號(hào)屬性Tunnel-Medium-Type，值固定為6，表示以太類(lèi)型，RADIUS 81號(hào)屬性Tunnel-Private-Group-ID，支持通過(guò)VLAN編號(hào)、VLAN描述信息、VLAN名稱(chēng)和VLAN Pool授權(quán)，并且授權(quán)生效順序?yàn)椋篤LAN編號(hào) > VLAN描述信息 > VLAN名稱(chēng) > VLAN Pool。

授權(quán)ACL檢查失敗

Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1619][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 182
ID      : 205
[Filter-Id                          ] [6 ] [3000]
[EAP-Message                        ] [6 ] [03 4c 00 04 ]
[State                              ] [16] [01uY31432103]
[MS-MPPE-Send-Key                   ] [52] [bd ce 7f 1d bf 78 33 d4 6c 45 d8 d0 1b f7 ee d2 02 16 7a ac fd 62 25 88 f7 84 7a 22 44 d8 01 8a 99 a3 33 66 7d 47 e9 a7 ed 88 d5 01 f8 62 4f 9d cd 56 ]
[MS-MPPE-Recv-Key                   ] [52] [bd ce 7f 54 6f 27 35 d1 01 5c f1 5e aa e8 27 91 c7 8b 89 2f 06 8f ac 46 13 5c 92 78 ec cf 39 aa dc bb f8 ff b1 b8 5c 42 6b f8 ca 80 76 b1 e8 35 c9 ed ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/24 1619][6144][RADIUS][64e5-99f3-18f6]:Send authentication reply message to AAA.
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENACCEPT message(50) from RADIUS module(235).
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
CID:58  TemplateNo:4  SerialNo:75
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:12.12.12.1 Vrf:0
SessionTimeout:0 IdleTimeout:0
AcctInterimInterval:0 RemanentVolume:0
InputPeakRate:0 InputAverageRate:0
OutputPeakRate:0 OutputAverageRate:0
InputBasicRate:0 OutputBasicRate:0
InputPBS:0 OutputPBS:0
Priority:[0,0] DNS:[0.0.0.0, 0.0.0.0]
ServiceType:0 LoginService:0 AdminLevel:0 FramedProtocol:0
LoginIpHost:0 NextHop:0
EapLength:4 ReplyMessage:
TunnelType:0 MediumType:0 PrivateGroupID:
ACLID:3000
WlanReasonCode:0
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]AAA check radius authen ack, check acl error!
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:Radius authorization data error.
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:16,reason is:Radius authorization data error.

授權(quán)ACL須知：無(wú)線(xiàn)場(chǎng)景下，授權(quán)ACL ID取值范圍為3000-3031，ACL中rule id最大為64。

RADIUS服務(wù)器授權(quán)數(shù)據(jù)失敗排查步驟如下：

1. 確認(rèn)是否需要對(duì)應(yīng)的授權(quán)。

如果需要，則需要在設(shè)備上創(chuàng)建對(duì)應(yīng)的授權(quán)內(nèi)容，如授權(quán)VLAN需要在設(shè)備上創(chuàng)建對(duì)應(yīng)VLAN；如授權(quán)ACL需要?jiǎng)?chuàng)建對(duì)應(yīng)ACL，并且在ACL中配置相應(yīng)規(guī)則。

如果不需要，可以修改RADIUS服務(wù)器上的授權(quán)策略，將對(duì)應(yīng)授權(quán)內(nèi)容刪除，也可以在設(shè)備通過(guò)配置忽略對(duì)應(yīng)的授權(quán)內(nèi)容，配置命令如下：

忽略授權(quán)VLAN：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Tunnel-Private-Group-ID receive

忽略授權(quán)ACL：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Filter-Id receive

認(rèn)證賬號(hào)被鎖定

通過(guò)命令display aaa online-fail-record mac-address H-H-H查看終端上線(xiàn)失敗記錄，用戶(hù)上線(xiàn)失敗原因（User online fail reason）顯示Remote user is blocked。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domaintest
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 16450
User login time         : 2020/11/03 1915
User online fail reason : Remote user is blocked
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

認(rèn)證賬號(hào)被鎖定原因?yàn)樵撡~號(hào)在一段時(shí)間內(nèi)連續(xù)認(rèn)證失敗次數(shù)過(guò)多，需要確認(rèn)認(rèn)證賬號(hào)被鎖定之前多次認(rèn)證失敗原因，該失敗原因需要在RADIUS服務(wù)器側(cè)排查。

有一種場(chǎng)景需要特別注意，即所有終端使用相同賬號(hào)認(rèn)證接入，如果有一個(gè)終端使用了錯(cuò)誤的密碼，導(dǎo)致該賬號(hào)被鎖定，會(huì)導(dǎo)致所有終端均無(wú)法接入，該場(chǎng)景下需要關(guān)閉遠(yuǎn)端賬號(hào)鎖定功能。

V200R010及之前版本遠(yuǎn)端認(rèn)證失敗后賬號(hào)鎖定功能默認(rèn)開(kāi)啟；V200R019及之后版本接入用戶(hù)遠(yuǎn)端認(rèn)證失敗后賬號(hào)鎖定功能默認(rèn)關(guān)閉。

查看遠(yuǎn)端賬號(hào)是否被鎖定命令：

[Huawei] display remote-user authen-fail blocked
Interval: Retry Interval(Mins)
TimeLeft: Retry Time Left
BlockDuration: Block Duration(Mins)
----------------------------------------------------------------
Username  Interval  TimeLeft  BlockDuration  BlockTime
----------------------------------------------------------------
test       0         0         5              2020-11-03 1914+08:00
----------------------------------------------------------------
Total 1, 1 printed

解鎖特定遠(yuǎn)端賬號(hào)命令：

[Huawei] aaa
[Huawei-aaa] remote-user authen-fail unblock username test

V200R010及之前版本關(guān)閉遠(yuǎn)端認(rèn)證失敗后賬號(hào)鎖定功能：

[Huawei] aaa
[Huawei-aaa] undo remote-aaa-user authen-fail

V200R019及之后版本關(guān)閉接入用戶(hù)遠(yuǎn)端認(rèn)證失敗后賬號(hào)鎖定功能：

[Huawei] aaa
[Huawei-aaa] undo access-user remote authen-fail

終端MAC地址靜默

在系統(tǒng)視圖下執(zhí)行命令trace object mac-address mac-address可以看到提示User is still in quiet status，說(shuō)明終端處于靜默狀態(tài)。

[BTRACE][2020/11/21 1501][7177][EAPoL][000c-291a-4b03]:User is still in quiet status.(MAC:000c-291a-4b03)    //終端處于靜默狀態(tài)，報(bào)文被丟棄
[BTRACE][2020/11/21 1501][7177][EAPoL][000c-291a-4b03]:Quiet table check failure,drop the packet.

可以執(zhí)行命令display dot1x quiet-user all，查看用戶(hù)MAC處于靜默狀態(tài)的剩余靜默時(shí)間。

[Huawei] display dot1x quiet-user all
---------------------------------------------------------------
MacAddress                      Quiet Remain Time(Sec)
---------------------------------------------------------------
000c-291a-4b03                  49
---------------------------------------------------------------
1 silent mac address(es) found, 1 printed.

該終端用戶(hù)在60s內(nèi)連續(xù)802.1X認(rèn)證失敗達(dá)到一定次數(shù)，需要確認(rèn)認(rèn)證賬號(hào)前多次認(rèn)證失敗原因，等到用戶(hù)MAC退出靜默狀態(tài)后再重新嘗試。也可以在系統(tǒng)視圖下執(zhí)行命令dot1x timer quiet-period quiet-period-times調(diào)小802.1X用戶(hù)被靜默的時(shí)間。

[Huawei] dot1x timer quiet-period 60

終端不響應(yīng)EAP報(bào)文 終端不響應(yīng)Request Identity

通過(guò)業(yè)務(wù)診斷功能，追蹤終端用戶(hù)上線(xiàn)認(rèn)證過(guò)程，看到設(shè)備發(fā)出Request Identity報(bào)文后沒(méi)有收到回應(yīng)，超時(shí)后設(shè)備進(jìn)行了重傳：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:Send a EAPoL request identity packet to user.
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 05 01 60 00 05 01
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:5
EAPOL packet:
Code:Request(1); Id:96; Length:5; Type:Identity(1)
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=120)
[BTRACE][2020/11/02 1445][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WSTA] Process eapol start message up sucessfully.
[BTRACE][2020/11/02 1445][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WADP] Receive EAP authentication ack message from EAPOL(Value:0, Code:0, Current SN:159, Response SN:159).
[BTRACE][2020/11/02 1445][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WSTA] Sta table aging.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:No response of request identity from user.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:Resend a EAPoL request identity packet to user.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 05 01 60 00 05 01
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:5
EAPOL packet:
Code:Request(1); Id:96; Length:5; Type:Identity(1)
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=120)

如果是所有終端均存在該問(wèn)題，則大概率可能是沒(méi)有創(chuàng)建業(yè)務(wù)VLAN，需要?jiǎng)?chuàng)建業(yè)務(wù)VLAN（即使AC僅作為二層網(wǎng)絡(luò)，不作為用戶(hù)網(wǎng)關(guān)，也需要?jiǎng)?chuàng)建對(duì)應(yīng)業(yè)務(wù)VLAN）。首選查看業(yè)務(wù)VLAN是否創(chuàng)建，如果沒(méi)有創(chuàng)建，創(chuàng)建對(duì)應(yīng)的業(yè)務(wù)VLAN。

查看業(yè)務(wù)VLAN是否創(chuàng)建（以業(yè)務(wù)VLAN 200為例）：

[Huawei] display vlan summary
static vlan:
Total 12 static vlan exist(s).
1 10 12 100 111 to 112 999 1110 to 1114
dynamic vlan:
Total 0 dynamic vlan exist(s).

創(chuàng)建業(yè)務(wù)VLAN（以業(yè)務(wù)VLAN 200為例）：

[Huawei] vlan 200

終端不響應(yīng)Request Challenge

通過(guò)業(yè)務(wù)診斷功能，追蹤終端用戶(hù)上線(xiàn)認(rèn)證過(guò)程，看到設(shè)備發(fā)出Request Challeng報(bào)文沒(méi)有收到回應(yīng)，超時(shí)后設(shè)備進(jìn)行了重傳，超過(guò)重傳次數(shù)后設(shè)備發(fā)送了Failure報(bào)文：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Eapol send authentication request challenge packet to user.
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 41 01 6c 00 41 19 00 14 03 01 00
01 01 16 03 01 00 30 85 17 ee 90 6c 84 62 9f 66
28 bb d7 29 2c e4 3f 44 dd 79 aa 10 54 3b 6d 54
ac 8e c8 6b a8 3f f7 cd 68 47 4f cc 9a a3 4e ba
0f b5 88 00 22 3e 0a
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:65
EAPOL packet:
Code:Request(1); Id:108; Length:65; Type:PEAP(25)
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=122)
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Eapol send request/challenge packet to user successfully.enter request status.(local index:122)
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:No response of request challenge from user.
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:Resend a EAPoL request challenge packet to user.
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 41 01 6c 00 41 19 00 14 03 01 00
01 01 16 03 01 00 30 85 17 ee 90 6c 84 62 9f 66
28 bb d7 29 2c e4 3f 44 dd 79 aa 10 54 3b 6d 54
ac 8e c8 6b a8 3f f7 cd 68 47 4f cc 9a a3 4e ba
0f b5 88 00 22 3e 0a
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:65
EAPOL packet:
Code:Request(1); Id:108; Length:65; Type:PEAP(25)
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=122)
[BTRACE][2020/11/03 1403][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WSTA] Sta table aging.
[BTRACE][2020/11/03 1403][2048][WLAN_AC][64e5-99f3-18f6]:[Process:2][WSTA] Flow fork MultiSta MsgType3101 Vcpu6
[BTRACE][2020/11/03 1403][2048][WLAN_AC][64e5-99f3-18f6]:[Process:2][WSTA] Flow fork MultiSta MsgType3121 Vcpu6
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:No response of request challenge from user.
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:Resend a EAPoL request challenge packet to user.
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 41 01 6c 00 41 19 00 14 03 01 00
01 01 16 03 01 00 30 85 17 ee 90 6c 84 62 9f 66
28 bb d7 29 2c e4 3f 44 dd 79 aa 10 54 3b 6d 54
ac 8e c8 6b a8 3f f7 cd 68 47 4f cc 9a a3 4e ba
0f b5 88 00 22 3e 0a
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:65
EAPOL packet:
Code:Request(1); Id:108; Length:65; Type:PEAP(25)
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=122)
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:No response of request challenge from user.
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:Resend EAP_request/identity times exceed max times.(Index=122)
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:Send EAP-Failure packet to user.
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 04 04 6c 00 04
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:4
EAPOL packet:
Code:Failure(4); Id:108; Length:4; Type:Unknown(0)

終端不響應(yīng)Request Challenge排查步驟如下：

1. 首先在AC上采集station-trace信息（station-trace信息記錄的是AP收發(fā)EAP報(bào)文情況）。

[Huawei-diagnose] station-trace sta-mac 64e5-99f3-18f6

2. 按順序確認(rèn)以下四個(gè)信息：

<7>Nov 03 2020 1458.20.1 AP-10 WSRV/7/BTRACEreceive eap pkt to sta from CAPWAP(9),[type(0)=EAP pkt, src mac=841222:e8, len=1122]
<7>Nov 03 2020 1458.20.2 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[28] [EAPOL] EAPOL packet payload[1100] Recved from software switch  //AP收到AC發(fā)送的EAP Request challenge報(bào)文
<7>Nov 03 2020 1458.20.3 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[28] [EAPOL] EAPOL packet payload[1100] elapsed[0 ms] Sending pkt to target(Single)
<7>Nov 03 2020 1458.70.1 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[28] [EAPOL] EAPOL packet payload[1100] elapsed[30 ms] Success to send pkt to air  //AP向終端發(fā)送EAP Request challenge報(bào)文
<7>Nov 03 2020 1458.70.2 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] Recved from target  //AP收到終端發(fā)送的EAP Response challenge報(bào)文
<7>Nov 03 2020 1458.70.3 AP-10 WIFI7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] elapsed[0 ms] Entering rx reorder
<7>Nov 03 2020 1458.70.4 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] elapsed[0 ms] Exiting rx reorder for release
<7>Nov 03 2020 1458.70.5 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] elapsed[0 ms] Success to send pkt to software switch  //AP向AC發(fā)送EAP Response challenge報(bào)文
<7>Nov 03 2020 1458.70.6 AP-10 WSRV/7/BTRACEreceive eap pkt from sta by BSS(26),[type(0)=EAP pkt, dest mac=18d7c1:20, len=28]

a. AP是否收到AC發(fā)送的EAP Request challenge報(bào)文。根據(jù)station-trace，確認(rèn)AP是否收到AC發(fā)送的EAP Request challenge請(qǐng)求報(bào)文（Recved from software switch）。如果AP沒(méi)有收到AC發(fā)送的EAP Request challenge請(qǐng)求報(bào)文，可首先在AP上開(kāi)啟轉(zhuǎn)發(fā)debug，看AP轉(zhuǎn)發(fā)有沒(méi)有收到，如果AP轉(zhuǎn)發(fā)沒(méi)有收到，再在AC上開(kāi)啟轉(zhuǎn)發(fā)debug，看AC轉(zhuǎn)發(fā)有沒(méi)有發(fā)送，如果確認(rèn)AP轉(zhuǎn)發(fā)接收和AC轉(zhuǎn)發(fā)發(fā)送都沒(méi)有問(wèn)題，則需要在中間鏈路抓包，可能被中間鏈路丟棄。 b. AP收到后是否將EAP Request challenge報(bào)文發(fā)送給終端。根據(jù)station-trace，確認(rèn)AP是否成功將EAP Request challenge報(bào)文發(fā)送給終端（Success to send pkt to air）。 c. AP是否收到終端EAP Response challenge報(bào)文。根據(jù)station-trace，確認(rèn)AP是否收到終端發(fā)送的EAP Response challenge報(bào)文（Recved from target）。 d. AP是否將EAP Response challenge報(bào)文發(fā)送給AC。根據(jù)station-trace，確認(rèn)AP是否成功將EAP Response challenge報(bào)文發(fā)送給AC（Success to send pkt to software switch）。如果station-trace顯示發(fā)送成功，但AC沒(méi)有收到，可首先在AC上開(kāi)啟轉(zhuǎn)發(fā)debug，看AC轉(zhuǎn)發(fā)有沒(méi)有收到，如果AC轉(zhuǎn)發(fā)沒(méi)有收到，再在AP上開(kāi)啟轉(zhuǎn)發(fā)debug，看AP轉(zhuǎn)發(fā)有沒(méi)有發(fā)送，如果確認(rèn)AC轉(zhuǎn)發(fā)接收和AP轉(zhuǎn)發(fā)發(fā)送都沒(méi)有問(wèn)題，則需要在中間鏈路抓包，可能被中間鏈路丟棄。

3. 還有一個(gè)可能原因，RADIUS服務(wù)器發(fā)送的Access-challenge報(bào)文中EAP內(nèi)容比較大（長(zhǎng)度都超過(guò)1200），導(dǎo)致終端接收大的EAP Request challenge報(bào)文失敗，可在station-trace中確認(rèn)。

[G12-AP-09-3-diagnose]
May 13 2019 1710.230.6+00:00 G12-AP-09-3 WSRV/7/BTRACE:[BTRACE][WLAN_AP][3C2E-FF90-662F]:receive eap pkt to sta from CAPWAP(23),[type(0)=EAP pkt, src mac=107285:e6, len=1518]
[G12-AP-09-3-diagnose]
May 13 2019 1710.230.7+00:00 G12-AP-09-3 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][3C2E-FF90-662F]:SeqNo[3259] [EAPOL] EAPOL packet payload[1496] Recved from software switch
[G12-AP-09-3-diagnose]
May 13 2019 1710.230.8+00:00 G12-AP-09-3 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][3C2E-FF90-662F]:SeqNo[3259] [EAPOL] EAPOL packet payload[1496] elapsed[0 ms] Sending pkt to target(Single)
[G12-AP-09-3-diagnose]
May 13 2019 1710.240.1+00:00 G12-AP-09-3 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][3C2E-FF90-662F]:SeqNo[3259] [EAPOL] EAPOL packet payload[1496] elapsed[0 ms] Fail to send pkt to air with status[2]

如上所示，EAP Request challenge報(bào)文長(zhǎng)度為1496，AP發(fā)送給終端失敗，該問(wèn)題有兩種解決方式

在RADIUS服務(wù)器上調(diào)整Frame-Mtu大小為1000以下。

可嘗試在radius-server模板下降低設(shè)備發(fā)送給RADIUS服務(wù)器認(rèn)證請(qǐng)求報(bào)文中Frame-Mtu屬性值，F(xiàn)rame-Mtu屬性值默認(rèn)為1500，可將其調(diào)整為1000。

說(shuō)明

部分第三方RADIUS服務(wù)器不支持該屬性，只能采用第一種方式去調(diào)整。

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute set Framed-Mtu 1000

四步握手失敗

在系統(tǒng)視圖下執(zhí)行命令trace object mac-address mac-address可以看到提示4-way-handshake failed，說(shuō)明四步握手失敗。

[BTRACE] [2020/11/30 1142][3072][WLAN_AC][0433-c2ad-9008]:[Process:3][WSTA] Receive elb table process(Ap:22, radio:1, wlan:1, vlan:1199, access mode:0, L3:0, version:0, IP:00000000, code:0, type:2)
[BTRACE][2020/11/30 1142][6144][WLAN_AC][0433-c2ad-9008]:[Process:6][WSEC] 4-way-handshake failed (Code:00000003).

四步握手失敗一般是由于空口環(huán)境干擾大/終端信號(hào)弱引起的，此時(shí)建議排查WLAN空口環(huán)境。

認(rèn)證成功后定時(shí)做重認(rèn)證

出現(xiàn)這種情況一般有如下兩種可能：

設(shè)備本地配置了重認(rèn)證

檢查接入模板下有沒(méi)有配置dot1x reauthenticate命令，如果有，刪除掉該配置：

[Huawei] dot1x-access-profile name access_dot1x
[Huawei--dot1x-access-profile-access_dot1x] display this
#
dot1x-access-profile name access_dot1x
dot1x reauthenticate
#

RADIUS服務(wù)器錯(cuò)誤下發(fā)Session-Timeout和Termination-Action屬性

通過(guò)業(yè)務(wù)診斷功能，追蹤終端用戶(hù)上線(xiàn)認(rèn)證過(guò)程，看到RADIUS服務(wù)器下發(fā)的授權(quán)內(nèi)容：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
如下所示trace中，顯示RADIUS服務(wù)器在認(rèn)證成功報(bào)文中下發(fā)了Session-Timeout和Termination-Action屬性
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 194
ID      : 194
[Session-Timeout                ] [6 ] [3600]
[Termination-Action             ] [6 ] [1]
[EAP-Message                        ] [6 ] [03 4a 00 04 ]
[State                              ] [16] [01uY31125N]
[MS-MPPE-Send-Key                   ] [52] [fb a1 e9 55 16 62 a3 e5 da 35 fc ce 3e 8f ae 7d ac 0a d6 0b 20 59 ad 82 a8 66 88 06 6a 81 10 82 61 95 2e cf 44 50 c0 79 e5 3f a4 32 43 45 a5 9e 2b c4 ]
[MS-MPPE-Recv-Key                   ] [52] [fb a1 e9 65 b1 18 6d 60 8f 0a ed af 53 1e 26 8a e6 18 9d 26 8c 21 c8 4f c2 8a 6a d5 a8 85 8a 9d ba d8 be 8d 97 b8 b8 d3 24 04 21 23 90 71 33 35 f4 6b ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]

可以修改RADIUS服務(wù)器上的授權(quán)策略，將對(duì)應(yīng)授權(quán)內(nèi)容刪除；也可以在設(shè)備通過(guò)配置忽略對(duì)應(yīng)的授權(quán)內(nèi)容，配置命令如下：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Termination-Action receive 
[Huawei-radius-radius_test] radius-attribute disable Session-Timeout receive

信息采集

用戶(hù)狀態(tài)

[Huawei] display access-user mac-address xxxx-xxxx-xxxx

在AC上采集trace信息，復(fù)現(xiàn)問(wèn)題，可看到終端認(rèn)證過(guò)程。

[Huawei] trace object mac-address xxxx-xxxx-xxxx
[Huawei] trace enable

在AC上采集station-trace信息，復(fù)現(xiàn)問(wèn)題，可看到AP上終端認(rèn)證報(bào)文收發(fā)情況。

[Huawei-diagnose] station-trace sta-mac xxxx-xxxx-xxxx

采集完成后，需要關(guān)閉trace信息

[Huawei] undo trace object mac-address xxxx-xxxx-xxxx
[Huawei] undo trace enable
[Huawei-diagnose] undo station-trace sta-mac xxxx-xxxx-xxxx

終端上下線(xiàn)原因

AAA側(cè)終端上下線(xiàn)原因查看命令：

[Huawei] display aaa online-fail-record mac-address xxxx-xxxx-xxxx
[Huawei] display aaa abnormal-offline-record mac-address xxxx-xxxx-xxxx
[Huawei] display aaa offline-record mac-address xxxx-xxxx-xxxx

WLAN側(cè)終端上下線(xiàn)原因查看命令：

[Huawei-diagnose] display station online-fail-record sta-mac xxxx-xxxx-xxxx
[Huawei-diagnose] display station offline-record sta-mac xxxx-xxxx-xxxx

協(xié)議回放

EAP協(xié)議回放

[Huawei-diagnose] display dot1x abnormal-eap-track mac xxxx-xxxx-xxxx

RADIUS協(xié)議回放

[Huawei-diagnose] display aaa abnormal-radius-track mac xxxx-xxxx-xxxx

日志

AAA上線(xiàn)日志（記錄在AC log日志中）

%%01CM/5/USER_ACCESSRESULT(s)[395622]:[WLAN_STA_INFO_AUTHENTICATION]ACMAC:xx-xx-xx-xx-xx-xx;ACNAME:xxx;APMAC:xx-xx-xx-xx-xx-xx;APNAME:xxx;SSID:xxx;RADIOID:1;USER:xxx;MAC:xx-xx-xx-xx-xx-xx;IPADDRESS:-;TIME:1608639482;ZONE:UTC+0300;DAYLIGHT:false;ERRCODE:4294967295;RESULT:Open;USERGROUP:NULL;CIB ID:10192;INTERFACE:Wlan-Dbss18108;ACCESS TYPE:None;RDSIP:-;Portal TYPE:-;AUTHID=866625466;AuthFailType:MAC;AUTHPROTOCOL:PAP;

AAA下線(xiàn)日志（記錄在AC log日志中）

%%01CM/5/USER_OFFLINERESULT(s)[395621]:[WLAN_STA_INFO_OFFLINE]ACMAC:xx-xx-xx-xx-xx-xx;ACNAME:xxx;APMAC:xx-xx-xx-xx-xx-xx;APNAME:xxx;SSID:xxx;RADIOID:1;USER:xxx;MAC:xx-xx-xx-xx-xx-xx;IPADDRESS:-;TIME:1608639482;ZONE:UTC+0300;DAYLIGHT:false;SESSIONTIME:2;ERRCODE:208;RESULT:Authentication during association failed;USERGROUP:NULL;AUTHENPLACE:None;EXTENDINFO:The signal strength of the STA is -43 dbm.;CIB ID:11430;INTERFACE:Wlan-Dbss18108;ACCESS TYPE:None;RDSIP:-;Portal TYPE:-;AUTHID=1837558961;AUTHPROTOCOL:-;

AP上dot1x高精度日志（記錄在AP log日志中）

%%01WSRV/6/STA_EVENT_DOT1X_PROC(l)[294062]:dot1x authentication procedure(ApMac=xx-xx-xx-xx-xx-xx,UserMac=xx-xx-xx-xx-xx-xx,Identify=xxx,RadioId=1,Band=2,VapId=20,SSID=xxx,Result=Fail,Msg=ae 5 17;se 0 19;se 38 26;ae 6 47;se 166 49;ae 1012 77;se 6 104;ae 1008 121;se 6 122;ae 10 154;se 136 162;ae 57 219;se 6 229;ae 36 246;se 69 248;ae 69 269;se 123 272;ae 82 293;se 37 294;ae 46 314;se 46 315;ae 4

AP上終端關(guān)聯(lián)/去關(guān)聯(lián)日志

一鍵診斷信息

[Huawei] display diagnostic-information

原文標(biāo)題：S系列交換機(jī)維護(hù)寶典 | 802.1X認(rèn)證失敗

文章出處：【微信公眾號(hào)：華為產(chǎn)品資料】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

審核編輯：彭菁

聲明：本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴

服務(wù)器

服務(wù)器

+關(guān)注

關(guān)注
14

文章
10251

瀏覽量
91480
SSID

SSID

+關(guān)注

關(guān)注
0

文章
15

瀏覽量
11926
模板

模板

+關(guān)注

關(guān)注
0

文章
111

瀏覽量
21083

原文標(biāo)題：S系列交換機(jī)維護(hù)寶典 | 802.1X認(rèn)證失敗

文章出處：【微信號(hào)：huaweidoc，微信公眾號(hào)：華為產(chǎn)品資料】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

搜索歷史

RADIUS服務(wù)器常見(jiàn)認(rèn)證問(wèn)題

評(píng)論