国产另类ts人妖高潮,久久亚洲v成人无码国产

關(guān)鍵配置檢查

VAP模板配置檢查

根據(jù)SSID找到對應(yīng)VAP模板，檢查VAP模板下配置，主要檢查安全模板和認(rèn)證模板配置。

1. 通過命令display vap-profile all查看所有的VAP模板，根據(jù)SSID找到對應(yīng)的VAP模板。

[Huawei] display vap-profile all
FMode   : Forward mode
STA U/D : Rate limit client up/down
VAP U/D : Rate limit VAP up/down
BR2G/5G : Beacon 2.4G/5G rate
---------------------------------------------------------------------------------------------------------------------
Name     FMode     Type     VLAN      AuthType      STA U/D(Kbps)  VAP U/D(Kbps)  BR2G/5G(Mbps)  Reference  SSID
---------------------------------------------------------------------------------------------------------------------
default  direct   service  VLAN 1    Open          -/-               -/-              1/6               0            HUAWEI-WLAN
vap_dot1x tunnel service  VLAN 200  WPA2+802.1X  -/-              -/-              1/6               3            dot1x_test
---------------------------------------------------------------------------------------------------------------------
Total: 2

說明

不建議多個VAP模板下綁定相同SSID，因為SSID相同的多個VAP模板綁定到同一AP時，會引起接入失敗等異常現(xiàn)象。

2. 查看VAP模板下的配置，檢查VAP模板下綁定的安全模板和認(rèn)證模板。

[Huawei] wlan
[Huawei-wlan-view] vap-profile name vap_dot1x
[Huawei-wlan-vap-prof-vap_dot1x] display this
#
 forward-mode tunnel
 service-vlan vlan-id 200
 ssid-profile dot1x
 security-profile security_dot1x
 authentication-profile authen_dot1x
#

3. 查看安全模板下的配置，安全策略需要配置為WPA/WPA2的802.1X認(rèn)證和加密。

[Huawei] wlan
[Huawei-wlan-view] security-profile name security_dot1x
[Huawei--wlan-sec-prof-security_dot1x] display this
#
 security wpa2 dot1x aes
#

4. 查看認(rèn)證模板下的配置，需要綁定802.1X接入模板。

[Huawei] authentication-profile name authen_dot1x
[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authen_dot1x
 dot1x-access-profile access_dot1x
 access-domain domain_test
#

5. 查看802.1X接入模板下的配置，dot1x認(rèn)證方式需要配置為EAP中繼方式，默認(rèn)為EAP中繼方式。

[Huawei] dot1x-access-profile name access_dot1x
[Huawei--dot1x-access-profile-access_dot1x] display this
#
dot1x-access-profile name access_dot1x
#

認(rèn)證模式配置檢查

802.1X認(rèn)證場景認(rèn)證模式需要配置為RADIUS認(rèn)證模式。

說明

802.1X認(rèn)證支持本地認(rèn)證和RADIUS認(rèn)證兩種認(rèn)證模式。本地認(rèn)證模式需要創(chuàng)建本地用戶并配置內(nèi)置EAP服務(wù)器，本文僅考慮RADIUS認(rèn)證模式。

認(rèn)證模式在認(rèn)證方案下指定，認(rèn)證方案的引用有兩種方式：第一種方式是在認(rèn)證模板下直接引用認(rèn)證方案，第二種方式是在域下引用認(rèn)證方案，然后在認(rèn)證模板下引用域，第一種方式優(yōu)先級最高（此時無視其他域的配置）。兩種方式不可混用，若兩種方式同時配置，第一種方式生效，第二種方式在認(rèn)證模板下配置的默認(rèn)域或強(qiáng)制域不生效。實(shí)際項目應(yīng)用中，推薦采用第二種方式。

方式一：在認(rèn)證模板下引用認(rèn)證方案。

在認(rèn)證模板下引用認(rèn)證方案時，需要同時引用RADIUS服務(wù)器模板，如果需要計費(fèi)，還需要同時引用計費(fèi)方案。

[Huawei] authentication-profile name authen_dot1x
[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authen_dot1x
 dot1x-access-profile access_dot1x
 authentication-scheme radius
 accounting-scheme radius
 radius-server radius_test
#

方式二：在域下引用認(rèn)證方案。

在域下引用認(rèn)證方案時，需要同時在域下引用RADIUS服務(wù)器模板，如果需要計費(fèi)，還需要同時在域下引用計費(fèi)方案。

[Huawei] aaa
[Huawei-aaa] domain domain_test
[Huawei-aaa-domain-domain_test] display this
#
 domain domain_test
  authentication-scheme radius
  accounting-scheme radius
  radius-server radius_test
#

后續(xù)需要在認(rèn)證模板下配置默認(rèn)域或者強(qiáng)制域。建議在認(rèn)證模板下配置不指定接入類型的默認(rèn)域：

[Huawei] authentication-profile name authen_dot1x
[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test
#

認(rèn)證域之間存在優(yōu)先級，終端在優(yōu)先級高的認(rèn)證域中進(jìn)行認(rèn)證：指定接入類型的強(qiáng)制域 > 非指定接入類型的強(qiáng)制域 > 用戶名中攜帶的合法域 > 指定接入類型的默認(rèn)域 > 非指定接入類型的默認(rèn)域 > 全局默認(rèn)域。各種域的配置示例如下：

指定接入類型的強(qiáng)制域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test dot1x force

非指定接入類型的強(qiáng)制域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test force

用戶名中攜帶的合法域：指用戶認(rèn)證時使用的用戶名中使用@攜帶了域名，并且該域在設(shè)備上已創(chuàng)建

指定接入類型的默認(rèn)域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test dot1x

非指定接入類型的默認(rèn)域：

[Huawei-authentication-profile-authen_dot1x] display this
#
authentication-profile name authendot1x
 dot1x-access-profile accessdot1x
 access-domain domain_test

全局默認(rèn)域：指在系統(tǒng)視圖上通過domain xxx指定的全局默認(rèn)域

常見問題

RADIUS服務(wù)器認(rèn)證拒絕

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示Radius authentication reject。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32846
User login time         : 2020/10/19 1422
User online fail reason : Radius authentication reject
Authen reply message    : ErrorReason is Incorrect user na...
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

通過業(yè)務(wù)診斷功能，追蹤終端用戶上線認(rèn)證過程，看到RADIUS服務(wù)器回應(yīng)了拒絕報文：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication reject packet from radius server(server ip = 10.10.10.1).
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 10.10.10.1
Server Port : 1812
Protocol: Standard
Code    : 3
Len     : 176
ID      : 80
[EAP-Message                        ] [6 ] [04 22 00 04 ]
[State                              ] [16] [01u?237372O]
[Reply-Message                      ] [116] [ErrorReason is Incorrect user name or password or Incorrect dataSource or Incorrect access device key.ErrCode:4101]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:Send authentication reject message to AAA.
[BTRACE][2020/10/19 1423][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENREJECT message(51) from RADIUS module(235).

服務(wù)器回應(yīng)認(rèn)證拒絕有多種原因，最常見的有用戶名密碼錯誤、授權(quán)策略無法匹配等，這些問題需要首先通過排查服務(wù)器日志找到根因后，再調(diào)整服務(wù)器、終端或設(shè)備配置解決。

RADIUS服務(wù)器不響應(yīng)

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示The radius server is up but has no reply或者The radius server is not reachable。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32861
User login time         : 2020/10/19 1702
User online fail reason : The radius server is up but has no reply
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32865
User login time         : 2020/10/19 2021
User online fail reason : The radius server is not reachable
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

通過業(yè)務(wù)診斷功能，追蹤終端用戶上線認(rèn)證過程，看到RADIUS服務(wù)器無響應(yīng)：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(235).
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
CID:51  TemplateNo:4  SerialNo:62
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:10.10.10.1 Vrf:0
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:Radius server is up but no response.
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:8,reason is:Radius server is up but no response.
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(235).
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
CID:55  TemplateNo:4  SerialNo:69
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:10.10.10.1 Vrf:0
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:Radius authentication has no response.
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:7,reason is:Radius authentication has no response.

RADIUS服務(wù)器不響應(yīng)問題排查步驟如下：

1. 確認(rèn)RADIUS服務(wù)器是否正確添加設(shè)備IP。

RADIUS服務(wù)器如果沒有添加設(shè)備IP地址則需要添加正確的設(shè)備IP。

2. 如果RADIUS服務(wù)器已經(jīng)添加設(shè)備IP地址，需要確認(rèn)添加的設(shè)備IP與設(shè)備發(fā)送RADIUS認(rèn)證請求報文的源IP是否相同。

設(shè)備發(fā)送RADIUS認(rèn)證請求報文的源IP可通過命令配置，如果沒有通過命令配置，則使用路由出接口IP地址。如果RADIUS服務(wù)器上添加的設(shè)備IP地址與路由出接口IP地址一致，則不需要在設(shè)備上配置與RADIUS服務(wù)器通信的源IP地址，否則需要通過命令配置源IP地址。

a. 先根據(jù)RADIUS服務(wù)器IP地址查找路由表獲取出接口，然后再根據(jù)出接口確認(rèn)IP地址，如果RADIUS服務(wù)器添加的設(shè)備IP地址與路由出接口地址一致，則不需要再通過命令配置與RADIUS服務(wù)器通信的源IP地址。

[Huawei] display ip routing-table 10.10.10.1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto  Pre Cost Flags NextHop     Interface
10.10.10.0/24     Direct 0   0     D     10.10.10.76   Vlanif12
[Huawei] interface Vlanif 12
[Huawei-Vlanif12] display this
#
interface Vlanif12
 ip address 10.10.10.76 255.255.255.0
#

b. 如果RADIUS服務(wù)器添加的設(shè)備IP地址與路由出接口地址不同，則需要在設(shè)備上配置與RADIUS服務(wù)器通信的源IP地址。源IP地址可在全局下配置，也可在RADIUS服務(wù)器模板下配置，RADIUS服務(wù)器模板下配置的源IP地址優(yōu)先級高于全局下的配置。

在VRRP雙機(jī)熱備場景開啟了無線配置同步條件下，只能在全局下配置與RADIUS服務(wù)器通信的源IP地址，如果是單機(jī)場景下，建議在RADIUS服務(wù)器模板下配置源IP地址。

查詢設(shè)備上配置的與RADIUS服務(wù)器通信的源IP地址。

i. 查看全局是否配置與RADIUS服務(wù)器通信的源IP地址：

[Huawei] display radius-server configuration
------------------------------------------------------
Global:
 Radius Server Source IP Address           : -
 Radius Server Source IPv6 Address         : ::
 Radius Attribute Nas IP Address           : -
 Radius Attribute Nas IPv6 Address         : ::
------------------------------------------------------
[Huawei] display radius-server configuration
------------------------------------------------------
Global:
 Radius Server Source IP Address           : 100.1.1.1
 Radius Server Source IPv6 Address         : ::
 Radius Attribute Nas IP Address           : -
 Radius Attribute Nas IPv6 Address         : ::
------------------------------------------------------

如果“Radius Server Source IP Address”為“-”，則表明全局下沒有配置源IP地址，如果“Radius Server Source IP Address”為具體IP地址，則表明配置了源IP地址。

ii. 查看RADIUS服務(wù)器模板是否配置與RADIUS服務(wù)器通信的源IP地址

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] display this
#
radius-server template radius_test
 radius-server shared-key cipher %^%#x[yB5Wd"!3GqH6,@[kW(Xi6PYA%^%#
 radius-server authentication 10.10.10.1 1812 source ip-address 100.1.1.1 weight 80
 radius-server accounting 10.10.10.1 1813 source ip-address 100.1.1.1 weight 80
#
[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] display this
#
radius-server template radius_test
 radius-server shared-key cipher %^%#x[yB5Wd"!3GqH6,@[kW(Xi6PYA%^%#
 radius-server authentication 10.10.10.1 1812 source Vlanif 100 weight 80
 radius-server accounting 10.10.10.1 1813 source Vlanif 100 weight 80

如果RADIUS服務(wù)器模板下再認(rèn)證服務(wù)器或計費(fèi)服務(wù)器后面寫的“source ip-address”或者“source vlanif”，則表明RADIUS服務(wù)器模板下配置了源IP地址。

配置設(shè)備與RADIUS服務(wù)器通信的源IP地址。

i. 在全局下配置與RADIUS服務(wù)器通信源地址：

[Huawei] radius-server source ip-address 100.1.1.1

ii. 在RADIUS模板下配置與RADIUS服務(wù)器通信源IP地址：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server authentication 10.10.10.1 1812 source ip-address 100.1.1.1

<<<<<左右滑動查看更多>>>>>

3. 確認(rèn)設(shè)備與RADIUS服務(wù)器之間中間鏈路是否正常。

a. 從設(shè)備指定源IP ping服務(wù)器測試，確認(rèn)路由是否可達(dá)；

[Huawei] ping -a 10.10.10.76 10.10.10.1

b. 在設(shè)備和服務(wù)器同時抓包確認(rèn)認(rèn)證報文收發(fā)是否正常，常見問題有中間網(wǎng)絡(luò)存在防火墻，防火墻未放通RADIUS（默認(rèn)認(rèn)證端口：1812）報文。

4. 查看RADIUS服務(wù)器狀態(tài)是否正常，STState字段如果不是STState-up狀態(tài)，則為異常。

[Huawei] display radius-server item template radius_test
---------------------------------------------------------------
  STState    = STState-up
  STChgTime  = -
  Type       = auth-server
  State      = state-up
  AlarmFlag  = false
  STUseNum   = 1
  IPAddress  = 10.10.10.76
  AlarmTimer = 0xffffffff
  Head       = 10274
  Tail       = 10273
  ProbeID    = 255
 --------------------------------------------------------------

5. 確認(rèn)設(shè)備與RADIUS服務(wù)器配置的共享密鑰（shared-key）是否一致?？梢酝ㄟ^test-aaa命令測試，同時開啟radius debug打印，debug信息中如出現(xiàn)“Authenticator error·”則表示設(shè)備與RADIUS服務(wù)器配置的共享密鑰不一致，需要同時修改設(shè)備與RADIUS服務(wù)器上共享密鑰，使其相同。

[Huawei] test-aaa test test radius-template radius_test
[Huawei]
Oct 24 2020 1549.591.1+08:00 AC6605_129_76 RDS/7/DEBUG:
RADIUS packet: IN (TotalLen=20)
Len 1 ~ 20:
02 08 00 14 F6 DA 06 57 40 25 32 2A A9 70 6E FD
46 F6 B1 25
[Huawei]
Oct 24 2020 1549.591.2+08:00 AC6605_129_76 RDS/7/DEBUG:
[RDS(Err):] Receive a illegal packet(Authenticator error), please check share key config.(ip:10.10.10.1 port:1812)

設(shè)備支持在全局下配置指定RADIUS服務(wù)器的共享密鑰及在RADIUS服務(wù)器模板下配置共享密鑰，其中全局下的配置優(yōu)先級高于模板下的配置.

建議在RADIUS服務(wù)器模板下配置共享密鑰，如果兩個都配置的條件下，建議刪除全局下的配置，僅保留模板下的配置。

RADIUS服務(wù)器模板下配置共享密鑰：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server shared-key cipher huawei@123

全局下配置RADIUS服務(wù)器共享密鑰：

[Huawei] radius-server ip-address 10.10.10.1 shared-key cipher huawei@123

RADIUS服務(wù)器授權(quán)數(shù)據(jù)失敗

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示Authorization data error。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domaintest
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32873
User login time         : 2020/10/24 1634
User online fail reason : Authorization data error
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

原因為RADIUS服務(wù)器授權(quán)了相關(guān)權(quán)限（如VLAN或者ACL等），但設(shè)備上無對應(yīng)的授權(quán)內(nèi)容配置（如未創(chuàng)建授權(quán)VLAN或者未創(chuàng)建授權(quán)ACL）。

通過業(yè)務(wù)診斷功能，追蹤終端用戶上線認(rèn)證過程，看到RADIUS服務(wù)器下發(fā)的授權(quán)內(nèi)容：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable

授權(quán)VLAN檢查失敗

[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 194
ID      : 194
[Tunnel-Type                        ] [6 ] [13]
[Tunnel-Medium-Type                 ] [6 ] [6]
[Tunnel-Private-Group-ID            ] [6 ] [201]
[EAP-Message                        ] [6 ] [03 4a 00 04 ]
[State                              ] [16] [01uY31125N]
[MS-MPPE-Send-Key                   ] [52] [fb a1 e9 55 16 62 a3 e5 da 35 fc ce 3e 8f ae 7d ac 0a d6 0b 20 59 ad 82 a8 66 88 06 6a 81 10 82 61 95 2e cf 44 50 c0 79 e5 3f a4 32 43 45 a5 9e 2b c4 ]
[MS-MPPE-Recv-Key                   ] [52] [fb a1 e9 65 b1 18 6d 60 8f 0a ed af 53 1e 26 8a e6 18 9d 26 8c 21 c8 4f c2 8a 6a d5 a8 85 8a 9d ba d8 be 8d 97 b8 b8 d3 24 04 21 23 90 71 33 35 f4 6b ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:Send authentication reply message to AAA.
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENACCEPT message(50) from RADIUS module(235).
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
CID:57  TemplateNo:4  SerialNo:73
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:12.12.12.1 Vrf:0
SessionTimeout:0 IdleTimeout:0
AcctInterimInterval:0 RemanentVolume:0
InputPeakRate:0 InputAverageRate:0
OutputPeakRate:0 OutputAverageRate:0
InputBasicRate:0 OutputBasicRate:0
InputPBS:0 OutputPBS:0
Priority:[0,0] DNS:[0.0.0.0, 0.0.0.0]
ServiceType:0 LoginService:0 AdminLevel:0 FramedProtocol:0
LoginIpHost:0 NextHop:0
EapLength:4 ReplyMessage:
TunnelType:13 MediumType:6 PrivateGroupID:201
WlanReasonCode:0
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]AAA check authen ack, check VLANID error!
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:Radius authorization data error.
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:16,reason is:Radius authorization data error.

授權(quán)VLAN須知：

授權(quán)VLAN需要同時下發(fā)RADIUS 64號屬性Tunnel-Type，值固定為13，表示VLAN協(xié)議，RADIUS 65號屬性Tunnel-Medium-Type，值固定為6，表示以太類型，RADIUS 81號屬性Tunnel-Private-Group-ID，支持通過VLAN編號、VLAN描述信息、VLAN名稱和VLAN Pool授權(quán)，并且授權(quán)生效順序為：VLAN編號 > VLAN描述信息 > VLAN名稱 > VLAN Pool。

授權(quán)ACL檢查失敗

Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1619][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 182
ID      : 205
[Filter-Id                          ] [6 ] [3000]
[EAP-Message                        ] [6 ] [03 4c 00 04 ]
[State                              ] [16] [01uY31432103]
[MS-MPPE-Send-Key                   ] [52] [bd ce 7f 1d bf 78 33 d4 6c 45 d8 d0 1b f7 ee d2 02 16 7a ac fd 62 25 88 f7 84 7a 22 44 d8 01 8a 99 a3 33 66 7d 47 e9 a7 ed 88 d5 01 f8 62 4f 9d cd 56 ]
[MS-MPPE-Recv-Key                   ] [52] [bd ce 7f 54 6f 27 35 d1 01 5c f1 5e aa e8 27 91 c7 8b 89 2f 06 8f ac 46 13 5c 92 78 ec cf 39 aa dc bb f8 ff b1 b8 5c 42 6b f8 ca 80 76 b1 e8 35 c9 ed ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/24 1619][6144][RADIUS][64e5-99f3-18f6]:Send authentication reply message to AAA.
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENACCEPT message(50) from RADIUS module(235).
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
CID:58  TemplateNo:4  SerialNo:75
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:12.12.12.1 Vrf:0
SessionTimeout:0 IdleTimeout:0
AcctInterimInterval:0 RemanentVolume:0
InputPeakRate:0 InputAverageRate:0
OutputPeakRate:0 OutputAverageRate:0
InputBasicRate:0 OutputBasicRate:0
InputPBS:0 OutputPBS:0
Priority:[0,0] DNS:[0.0.0.0, 0.0.0.0]
ServiceType:0 LoginService:0 AdminLevel:0 FramedProtocol:0
LoginIpHost:0 NextHop:0
EapLength:4 ReplyMessage:
TunnelType:0 MediumType:0 PrivateGroupID:
ACLID:3000
WlanReasonCode:0
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]AAA check radius authen ack, check acl error!
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:Radius authorization data error.
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:16,reason is:Radius authorization data error.

授權(quán)ACL須知：無線場景下，授權(quán)ACL ID取值范圍為3000-3031，ACL中rule id最大為64。

RADIUS服務(wù)器授權(quán)數(shù)據(jù)失敗排查步驟如下：

1. 確認(rèn)是否需要對應(yīng)的授權(quán)。

如果需要，則需要在設(shè)備上創(chuàng)建對應(yīng)的授權(quán)內(nèi)容，如授權(quán)VLAN需要在設(shè)備上創(chuàng)建對應(yīng)VLAN；如授權(quán)ACL需要創(chuàng)建對應(yīng)ACL，并且在ACL中配置相應(yīng)規(guī)則。

如果不需要，可以修改RADIUS服務(wù)器上的授權(quán)策略，將對應(yīng)授權(quán)內(nèi)容刪除，也可以在設(shè)備通過配置忽略對應(yīng)的授權(quán)內(nèi)容，配置命令如下：

忽略授權(quán)VLAN：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Tunnel-Private-Group-ID receive

忽略授權(quán)ACL：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Filter-Id receive

認(rèn)證賬號被鎖定

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示Remote user is blocked。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domaintest
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 16450
User login time         : 2020/11/03 1915
User online fail reason : Remote user is blocked
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

認(rèn)證賬號被鎖定原因為該賬號在一段時間內(nèi)連續(xù)認(rèn)證失敗次數(shù)過多，需要確認(rèn)認(rèn)證賬號被鎖定之前多次認(rèn)證失敗原因，該失敗原因需要在RADIUS服務(wù)器側(cè)排查。

有一種場景需要特別注意，即所有終端使用相同賬號認(rèn)證接入，如果有一個終端使用了錯誤的密碼，導(dǎo)致該賬號被鎖定，會導(dǎo)致所有終端均無法接入，該場景下需要關(guān)閉遠(yuǎn)端賬號鎖定功能。

V200R010及之前版本遠(yuǎn)端認(rèn)證失敗后賬號鎖定功能默認(rèn)開啟；V200R019及之后版本接入用戶遠(yuǎn)端認(rèn)證失敗后賬號鎖定功能默認(rèn)關(guān)閉。

查看遠(yuǎn)端賬號是否被鎖定命令：

[Huawei] display remote-user authen-fail blocked
Interval: Retry Interval(Mins)
TimeLeft: Retry Time Left
BlockDuration: Block Duration(Mins)
----------------------------------------------------------------
Username  Interval  TimeLeft  BlockDuration  BlockTime
----------------------------------------------------------------
test       0         0         5              2020-11-03 1914+08:00
----------------------------------------------------------------
Total 1, 1 printed

解鎖特定遠(yuǎn)端賬號命令：

[Huawei] aaa
[Huawei-aaa] remote-user authen-fail unblock username test

V200R010及之前版本關(guān)閉遠(yuǎn)端認(rèn)證失敗后賬號鎖定功能：

[Huawei] aaa
[Huawei-aaa] undo remote-aaa-user authen-fail

V200R019及之后版本關(guān)閉接入用戶遠(yuǎn)端認(rèn)證失敗后賬號鎖定功能：

[Huawei] aaa
[Huawei-aaa] undo access-user remote authen-fail

終端MAC地址靜默

在系統(tǒng)視圖下執(zhí)行命令trace object mac-address mac-address可以看到提示User is still in quiet status，說明終端處于靜默狀態(tài)。

[BTRACE][2020/11/21 1501][7177][EAPoL][000c-291a-4b03]:User is still in quiet status.(MAC:000c-291a-4b03)    //終端處于靜默狀態(tài)，報文被丟棄
[BTRACE][2020/11/21 1501][7177][EAPoL][000c-291a-4b03]:Quiet table check failure,drop the packet.

可以執(zhí)行命令display dot1x quiet-user all，查看用戶MAC處于靜默狀態(tài)的剩余靜默時間。

[Huawei] display dot1x quiet-user all
---------------------------------------------------------------
MacAddress                      Quiet Remain Time(Sec)
---------------------------------------------------------------
000c-291a-4b03                  49
---------------------------------------------------------------
1 silent mac address(es) found, 1 printed.

該終端用戶在60s內(nèi)連續(xù)802.1X認(rèn)證失敗達(dá)到一定次數(shù)，需要確認(rèn)認(rèn)證賬號前多次認(rèn)證失敗原因，等到用戶MAC退出靜默狀態(tài)后再重新嘗試。也可以在系統(tǒng)視圖下執(zhí)行命令dot1x timer quiet-period quiet-period-times調(diào)小802.1X用戶被靜默的時間。

[Huawei] dot1x timer quiet-period 60

終端不響應(yīng)EAP報文 終端不響應(yīng)Request Identity

通過業(yè)務(wù)診斷功能，追蹤終端用戶上線認(rèn)證過程，看到設(shè)備發(fā)出Request Identity報文后沒有收到回應(yīng)，超時后設(shè)備進(jìn)行了重傳：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:Send a EAPoL request identity packet to user.
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 05 01 60 00 05 01
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:5
EAPOL packet:
Code:Request(1); Id:96; Length:5; Type:Identity(1)
[BTRACE][2020/11/02 1445][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=120)
[BTRACE][2020/11/02 1445][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WSTA] Process eapol start message up sucessfully.
[BTRACE][2020/11/02 1445][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WADP] Receive EAP authentication ack message from EAPOL(Value:0, Code:0, Current SN:159, Response SN:159).
[BTRACE][2020/11/02 1445][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WSTA] Sta table aging.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:No response of request identity from user.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:Resend a EAPoL request identity packet to user.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 05 01 60 00 05 01
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:5
EAPOL packet:
Code:Request(1); Id:96; Length:5; Type:Identity(1)
[BTRACE][2020/11/02 1447][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=120)

如果是所有終端均存在該問題，則大概率可能是沒有創(chuàng)建業(yè)務(wù)VLAN，需要創(chuàng)建業(yè)務(wù)VLAN（即使AC僅作為二層網(wǎng)絡(luò)，不作為用戶網(wǎng)關(guān)，也需要創(chuàng)建對應(yīng)業(yè)務(wù)VLAN）。首選查看業(yè)務(wù)VLAN是否創(chuàng)建，如果沒有創(chuàng)建，創(chuàng)建對應(yīng)的業(yè)務(wù)VLAN。

查看業(yè)務(wù)VLAN是否創(chuàng)建（以業(yè)務(wù)VLAN 200為例）：

[Huawei] display vlan summary
static vlan:
Total 12 static vlan exist(s).
1 10 12 100 111 to 112 999 1110 to 1114
dynamic vlan:
Total 0 dynamic vlan exist(s).

創(chuàng)建業(yè)務(wù)VLAN（以業(yè)務(wù)VLAN 200為例）：

[Huawei] vlan 200

終端不響應(yīng)Request Challenge

通過業(yè)務(wù)診斷功能，追蹤終端用戶上線認(rèn)證過程，看到設(shè)備發(fā)出Request Challeng報文沒有收到回應(yīng)，超時后設(shè)備進(jìn)行了重傳，超過重傳次數(shù)后設(shè)備發(fā)送了Failure報文：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Eapol send authentication request challenge packet to user.
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 41 01 6c 00 41 19 00 14 03 01 00
01 01 16 03 01 00 30 85 17 ee 90 6c 84 62 9f 66
28 bb d7 29 2c e4 3f 44 dd 79 aa 10 54 3b 6d 54
ac 8e c8 6b a8 3f f7 cd 68 47 4f cc 9a a3 4e ba
0f b5 88 00 22 3e 0a
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:65
EAPOL packet:
Code:Request(1); Id:108; Length:65; Type:PEAP(25)
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=122)
[BTRACE][2020/11/03 1400][6144][EAPoL][64e5-99f3-18f6]:Eapol send request/challenge packet to user successfully.enter request status.(local index:122)
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:No response of request challenge from user.
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:Resend a EAPoL request challenge packet to user.
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 41 01 6c 00 41 19 00 14 03 01 00
01 01 16 03 01 00 30 85 17 ee 90 6c 84 62 9f 66
28 bb d7 29 2c e4 3f 44 dd 79 aa 10 54 3b 6d 54
ac 8e c8 6b a8 3f f7 cd 68 47 4f cc 9a a3 4e ba
0f b5 88 00 22 3e 0a
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:65
EAPOL packet:
Code:Request(1); Id:108; Length:65; Type:PEAP(25)
[BTRACE][2020/11/03 1402][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=122)
[BTRACE][2020/11/03 1403][6144][WLAN_AC][64e5-99f3-18f6]:[Process:6][WSTA] Sta table aging.
[BTRACE][2020/11/03 1403][2048][WLAN_AC][64e5-99f3-18f6]:[Process:2][WSTA] Flow fork MultiSta MsgType3101 Vcpu6
[BTRACE][2020/11/03 1403][2048][WLAN_AC][64e5-99f3-18f6]:[Process:2][WSTA] Flow fork MultiSta MsgType3121 Vcpu6
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:No response of request challenge from user.
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:Resend a EAPoL request challenge packet to user.
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 41 01 6c 00 41 19 00 14 03 01 00
01 01 16 03 01 00 30 85 17 ee 90 6c 84 62 9f 66
28 bb d7 29 2c e4 3f 44 dd 79 aa 10 54 3b 6d 54
ac 8e c8 6b a8 3f f7 cd 68 47 4f cc 9a a3 4e ba
0f b5 88 00 22 3e 0a
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:65
EAPOL packet:
Code:Request(1); Id:108; Length:65; Type:PEAP(25)
[BTRACE][2020/11/03 1404][6144][EAPoL][64e5-99f3-18f6]:Send EAP_request packet to user successfully.(Index=122)
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:No response of request challenge from user.
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:Resend EAP_request/identity times exceed max times.(Index=122)
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:Send EAP-Failure packet to user.
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:Add a Eap Packet Node to EAPOL Ucib, MAC is 64e5-99f3-18f6.
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:
EAPOL packet: OUT
64 e5 99 f3 18 f6 84 5b 12 69 22 e8 81 00 00 c8
88 8e 01 00 00 04 04 6c 00 04
[BTRACE][2020/11/03 1406][6144][EAPoL][64e5-99f3-18f6]:
802.1x packet:
Version:802.1X-2001(1); Type:Eap(0); Length:4
EAPOL packet:
Code:Failure(4); Id:108; Length:4; Type:Unknown(0)

終端不響應(yīng)Request Challenge排查步驟如下：

1. 首先在AC上采集station-trace信息（station-trace信息記錄的是AP收發(fā)EAP報文情況）。

[Huawei-diagnose] station-trace sta-mac 64e5-99f3-18f6

2. 按順序確認(rèn)以下四個信息：

<7>Nov 03 2020 1458.20.1 AP-10 WSRV/7/BTRACEreceive eap pkt to sta from CAPWAP(9),[type(0)=EAP pkt, src mac=841222:e8, len=1122]
<7>Nov 03 2020 1458.20.2 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[28] [EAPOL] EAPOL packet payload[1100] Recved from software switch  //AP收到AC發(fā)送的EAP Request challenge報文
<7>Nov 03 2020 1458.20.3 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[28] [EAPOL] EAPOL packet payload[1100] elapsed[0 ms] Sending pkt to target(Single)
<7>Nov 03 2020 1458.70.1 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[28] [EAPOL] EAPOL packet payload[1100] elapsed[30 ms] Success to send pkt to air  //AP向終端發(fā)送EAP Request challenge報文
<7>Nov 03 2020 1458.70.2 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] Recved from target  //AP收到終端發(fā)送的EAP Response challenge報文
<7>Nov 03 2020 1458.70.3 AP-10 WIFI7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] elapsed[0 ms] Entering rx reorder
<7>Nov 03 2020 1458.70.4 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] elapsed[0 ms] Exiting rx reorder for release
<7>Nov 03 2020 1458.70.5 AP-10 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][64E5-99F3-18F6]:SeqNo[29] [EAPOL] EAPOL packet payload[6] elapsed[0 ms] Success to send pkt to software switch  //AP向AC發(fā)送EAP Response challenge報文
<7>Nov 03 2020 1458.70.6 AP-10 WSRV/7/BTRACEreceive eap pkt from sta by BSS(26),[type(0)=EAP pkt, dest mac=18d7c1:20, len=28]

a. AP是否收到AC發(fā)送的EAP Request challenge報文。根據(jù)station-trace，確認(rèn)AP是否收到AC發(fā)送的EAP Request challenge請求報文（Recved from software switch）。如果AP沒有收到AC發(fā)送的EAP Request challenge請求報文，可首先在AP上開啟轉(zhuǎn)發(fā)debug，看AP轉(zhuǎn)發(fā)有沒有收到，如果AP轉(zhuǎn)發(fā)沒有收到，再在AC上開啟轉(zhuǎn)發(fā)debug，看AC轉(zhuǎn)發(fā)有沒有發(fā)送，如果確認(rèn)AP轉(zhuǎn)發(fā)接收和AC轉(zhuǎn)發(fā)發(fā)送都沒有問題，則需要在中間鏈路抓包，可能被中間鏈路丟棄。 b. AP收到后是否將EAP Request challenge報文發(fā)送給終端。根據(jù)station-trace，確認(rèn)AP是否成功將EAP Request challenge報文發(fā)送給終端（Success to send pkt to air）。 c. AP是否收到終端EAP Response challenge報文。根據(jù)station-trace，確認(rèn)AP是否收到終端發(fā)送的EAP Response challenge報文（Recved from target）。 d. AP是否將EAP Response challenge報文發(fā)送給AC。根據(jù)station-trace，確認(rèn)AP是否成功將EAP Response challenge報文發(fā)送給AC（Success to send pkt to software switch）。如果station-trace顯示發(fā)送成功，但AC沒有收到，可首先在AC上開啟轉(zhuǎn)發(fā)debug，看AC轉(zhuǎn)發(fā)有沒有收到，如果AC轉(zhuǎn)發(fā)沒有收到，再在AP上開啟轉(zhuǎn)發(fā)debug，看AP轉(zhuǎn)發(fā)有沒有發(fā)送，如果確認(rèn)AC轉(zhuǎn)發(fā)接收和AP轉(zhuǎn)發(fā)發(fā)送都沒有問題，則需要在中間鏈路抓包，可能被中間鏈路丟棄。

3. 還有一個可能原因，RADIUS服務(wù)器發(fā)送的Access-challenge報文中EAP內(nèi)容比較大（長度都超過1200），導(dǎo)致終端接收大的EAP Request challenge報文失敗，可在station-trace中確認(rèn)。

[G12-AP-09-3-diagnose]
May 13 2019 1710.230.6+00:00 G12-AP-09-3 WSRV/7/BTRACE:[BTRACE][WLAN_AP][3C2E-FF90-662F]:receive eap pkt to sta from CAPWAP(23),[type(0)=EAP pkt, src mac=107285:e6, len=1518]
[G12-AP-09-3-diagnose]
May 13 2019 1710.230.7+00:00 G12-AP-09-3 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][3C2E-FF90-662F]:SeqNo[3259] [EAPOL] EAPOL packet payload[1496] Recved from software switch
[G12-AP-09-3-diagnose]
May 13 2019 1710.230.8+00:00 G12-AP-09-3 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][3C2E-FF90-662F]:SeqNo[3259] [EAPOL] EAPOL packet payload[1496] elapsed[0 ms] Sending pkt to target(Single)
[G12-AP-09-3-diagnose]
May 13 2019 1710.240.1+00:00 G12-AP-09-3 WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][3C2E-FF90-662F]:SeqNo[3259] [EAPOL] EAPOL packet payload[1496] elapsed[0 ms] Fail to send pkt to air with status[2]

如上所示，EAP Request challenge報文長度為1496，AP發(fā)送給終端失敗，該問題有兩種解決方式

在RADIUS服務(wù)器上調(diào)整Frame-Mtu大小為1000以下。

可嘗試在radius-server模板下降低設(shè)備發(fā)送給RADIUS服務(wù)器認(rèn)證請求報文中Frame-Mtu屬性值，F(xiàn)rame-Mtu屬性值默認(rèn)為1500，可將其調(diào)整為1000。

說明

部分第三方RADIUS服務(wù)器不支持該屬性，只能采用第一種方式去調(diào)整。

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute set Framed-Mtu 1000

四步握手失敗

在系統(tǒng)視圖下執(zhí)行命令trace object mac-address mac-address可以看到提示4-way-handshake failed，說明四步握手失敗。

[BTRACE] [2020/11/30 1142][3072][WLAN_AC][0433-c2ad-9008]:[Process:3][WSTA] Receive elb table process(Ap:22, radio:1, wlan:1, vlan:1199, access mode:0, L3:0, version:0, IP:00000000, code:0, type:2)
[BTRACE][2020/11/30 1142][6144][WLAN_AC][0433-c2ad-9008]:[Process:6][WSEC] 4-way-handshake failed (Code:00000003).

四步握手失敗一般是由于空口環(huán)境干擾大/終端信號弱引起的，此時建議排查WLAN空口環(huán)境。

認(rèn)證成功后定時做重認(rèn)證

出現(xiàn)這種情況一般有如下兩種可能：

設(shè)備本地配置了重認(rèn)證

檢查接入模板下有沒有配置dot1x reauthenticate命令，如果有，刪除掉該配置：

[Huawei] dot1x-access-profile name access_dot1x
[Huawei--dot1x-access-profile-access_dot1x] display this
#
dot1x-access-profile name access_dot1x
dot1x reauthenticate
#

RADIUS服務(wù)器錯誤下發(fā)Session-Timeout和Termination-Action屬性

通過業(yè)務(wù)診斷功能，追蹤終端用戶上線認(rèn)證過程，看到RADIUS服務(wù)器下發(fā)的授權(quán)內(nèi)容：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
如下所示trace中，顯示RADIUS服務(wù)器在認(rèn)證成功報文中下發(fā)了Session-Timeout和Termination-Action屬性
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 194
ID      : 194
[Session-Timeout                ] [6 ] [3600]
[Termination-Action             ] [6 ] [1]
[EAP-Message                        ] [6 ] [03 4a 00 04 ]
[State                              ] [16] [01uY31125N]
[MS-MPPE-Send-Key                   ] [52] [fb a1 e9 55 16 62 a3 e5 da 35 fc ce 3e 8f ae 7d ac 0a d6 0b 20 59 ad 82 a8 66 88 06 6a 81 10 82 61 95 2e cf 44 50 c0 79 e5 3f a4 32 43 45 a5 9e 2b c4 ]
[MS-MPPE-Recv-Key                   ] [52] [fb a1 e9 65 b1 18 6d 60 8f 0a ed af 53 1e 26 8a e6 18 9d 26 8c 21 c8 4f c2 8a 6a d5 a8 85 8a 9d ba d8 be 8d 97 b8 b8 d3 24 04 21 23 90 71 33 35 f4 6b ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]

可以修改RADIUS服務(wù)器上的授權(quán)策略，將對應(yīng)授權(quán)內(nèi)容刪除；也可以在設(shè)備通過配置忽略對應(yīng)的授權(quán)內(nèi)容，配置命令如下：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Termination-Action receive 
[Huawei-radius-radius_test] radius-attribute disable Session-Timeout receive

信息采集

用戶狀態(tài)

[Huawei] display access-user mac-address xxxx-xxxx-xxxx

在AC上采集trace信息，復(fù)現(xiàn)問題，可看到終端認(rèn)證過程。

[Huawei] trace object mac-address xxxx-xxxx-xxxx
[Huawei] trace enable

在AC上采集station-trace信息，復(fù)現(xiàn)問題，可看到AP上終端認(rèn)證報文收發(fā)情況。

[Huawei-diagnose] station-trace sta-mac xxxx-xxxx-xxxx

采集完成后，需要關(guān)閉trace信息

[Huawei] undo trace object mac-address xxxx-xxxx-xxxx
[Huawei] undo trace enable
[Huawei-diagnose] undo station-trace sta-mac xxxx-xxxx-xxxx

終端上下線原因

AAA側(cè)終端上下線原因查看命令：

[Huawei] display aaa online-fail-record mac-address xxxx-xxxx-xxxx
[Huawei] display aaa abnormal-offline-record mac-address xxxx-xxxx-xxxx
[Huawei] display aaa offline-record mac-address xxxx-xxxx-xxxx

WLAN側(cè)終端上下線原因查看命令：

[Huawei-diagnose] display station online-fail-record sta-mac xxxx-xxxx-xxxx
[Huawei-diagnose] display station offline-record sta-mac xxxx-xxxx-xxxx

協(xié)議回放

EAP協(xié)議回放

[Huawei-diagnose] display dot1x abnormal-eap-track mac xxxx-xxxx-xxxx

RADIUS協(xié)議回放

[Huawei-diagnose] display aaa abnormal-radius-track mac xxxx-xxxx-xxxx

日志

AAA上線日志（記錄在AC log日志中）

%%01CM/5/USER_ACCESSRESULT(s)[395622]:[WLAN_STA_INFO_AUTHENTICATION]ACMAC:xx-xx-xx-xx-xx-xx;ACNAME:xxx;APMAC:xx-xx-xx-xx-xx-xx;APNAME:xxx;SSID:xxx;RADIOID:1;USER:xxx;MAC:xx-xx-xx-xx-xx-xx;IPADDRESS:-;TIME:1608639482;ZONE:UTC+0300;DAYLIGHT:false;ERRCODE:4294967295;RESULT:Open;USERGROUP:NULL;CIB ID:10192;INTERFACE:Wlan-Dbss18108;ACCESS TYPE:None;RDSIP:-;Portal TYPE:-;AUTHID=866625466;AuthFailType:MAC;AUTHPROTOCOL:PAP;

AAA下線日志（記錄在AC log日志中）

%%01CM/5/USER_OFFLINERESULT(s)[395621]:[WLAN_STA_INFO_OFFLINE]ACMAC:xx-xx-xx-xx-xx-xx;ACNAME:xxx;APMAC:xx-xx-xx-xx-xx-xx;APNAME:xxx;SSID:xxx;RADIOID:1;USER:xxx;MAC:xx-xx-xx-xx-xx-xx;IPADDRESS:-;TIME:1608639482;ZONE:UTC+0300;DAYLIGHT:false;SESSIONTIME:2;ERRCODE:208;RESULT:Authentication during association failed;USERGROUP:NULL;AUTHENPLACE:None;EXTENDINFO:The signal strength of the STA is -43 dbm.;CIB ID:11430;INTERFACE:Wlan-Dbss18108;ACCESS TYPE:None;RDSIP:-;Portal TYPE:-;AUTHID=1837558961;AUTHPROTOCOL:-;

AP上dot1x高精度日志（記錄在AP log日志中）

%%01WSRV/6/STA_EVENT_DOT1X_PROC(l)[294062]:dot1x authentication procedure(ApMac=xx-xx-xx-xx-xx-xx,UserMac=xx-xx-xx-xx-xx-xx,Identify=xxx,RadioId=1,Band=2,VapId=20,SSID=xxx,Result=Fail,Msg=ae 5 17;se 0 19;se 38 26;ae 6 47;se 166 49;ae 1012 77;se 6 104;ae 1008 121;se 6 122;ae 10 154;se 136 162;ae 57 219;se 6 229;ae 36 246;se 69 248;ae 69 269;se 123 272;ae 82 293;se 37 294;ae 46 314;se 46 315;ae 4

AP上終端關(guān)聯(lián)/去關(guān)聯(lián)日志

一鍵診斷信息

[Huawei] display diagnostic-information

原文標(biāo)題：S系列交換機(jī)維護(hù)寶典 | 802.1X認(rèn)證失敗

文章出處：【微信公眾號：華為產(chǎn)品資料】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

審核編輯：彭菁

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴

服務(wù)器

服務(wù)器

+關(guān)注

關(guān)注
12

文章
9335

瀏覽量
86149
SSID

SSID

+關(guān)注

關(guān)注
0

文章
14

瀏覽量
11399
模板

模板

+關(guān)注

關(guān)注
0

文章
108

瀏覽量
20620

原文標(biāo)題：S系列交換機(jī)維護(hù)寶典 | 802.1X認(rèn)證失敗

文章出處：【微信號：huaweidoc，微信公眾號：華為產(chǎn)品資料】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

嵌入式WEB服務(wù)器常見的有哪些

嵌入式WEB服務(wù)器常見的有l(wèi)ighttpdshttpdthttpdboamathopdminihttpdappwebgoahead

發(fā)表于 12-14 08:43

ESP32 TLS RADIUS服務(wù)器連接問題求解

我們正在嘗試使用 TLS 協(xié)議通過ESP32wifi 網(wǎng)絡(luò)連接到 RADIUS 服務(wù)器，但它不起作用。我們使用 AT 命令與 ESP32 通信，因此在我們的系統(tǒng)中，它作為從設(shè)備工作。通過

發(fā)表于 03-08 07:28

跨平臺RADIUS服務(wù)器的設(shè)計與實(shí)現(xiàn)

RADIUS 服務(wù)器在VoIP 系統(tǒng)中扮演著認(rèn)證計費(fèi)的角色。當(dāng)前網(wǎng)絡(luò)電話技術(shù)的迅速發(fā)展，越來越多的IP 電話運(yùn)營商開始意識到認(rèn)證計費(fèi)的重要性，因此R

發(fā)表于 01-22 15:45 ?16次下載

功能服務(wù)器的認(rèn)證

功能服務(wù)器的認(rèn)證 認(rèn)證的官方含義是：由可以充分信任的第三方證實(shí)某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標(biāo)準(zhǔn)或規(guī)范性文件的活動。 &

發(fā)表于 01-08 14:47 ?959次閱讀

服務(wù)器配置常見誤區(qū)

服務(wù)器配置常見誤區(qū) 　服務(wù)器是至關(guān)重要的核心設(shè)備，確保網(wǎng)絡(luò)服務(wù)器能夠高性能、穩(wěn)定持續(xù)的工作一直以來都是用戶最關(guān)心的問題。然而在關(guān)注

發(fā)表于 01-27 17:10 ?475次閱讀

服務(wù)器常見專業(yè)術(shù)語大全(一)

服務(wù)器常見專業(yè)術(shù)語大全(一) [服務(wù)器術(shù)語]-- 服務(wù)器配件　　在信息系統(tǒng)中，服務(wù)器主要應(yīng)用于數(shù)據(jù)庫和Web

發(fā)表于 01-29 13:47 ?1493次閱讀

服務(wù)器常見專業(yè)術(shù)語大全(二)

服務(wù)器常見專業(yè)術(shù)語大全(二) 機(jī)箱和電源　　相對于普通ATX機(jī)箱，服務(wù)器機(jī)箱有如下特點(diǎn)：　　1）材料散熱性好：為了保證服務(wù)器穩(wěn)定

發(fā)表于 01-29 13:48 ?1468次閱讀

AAA_RADIUS和TACACS+

學(xué)習(xí)完本課程，您應(yīng)該能夠：掌握AAA認(rèn)證架構(gòu)，掌握RADIUS、TACACS+認(rèn)證原理，熟悉AAA、RADIUS和TACACS+相關(guān)配置命令。

發(fā)表于 04-12 17:38 ?6次下載

基于_群封裝_技術(shù)的RADIUS認(rèn)證優(yōu)化_高寶

基于_群封裝_技術(shù)的RADIUS認(rèn)證優(yōu)化_高寶

發(fā)表于 03-19 11:31 ?0次下載

RADIUS-AAA測試實(shí)例詳細(xì)資料說明免費(fèi)下載

TC1.2.2 交換機(jī)802.1X認(rèn)證功能Radius服務(wù)器認(rèn)證－EAP終結(jié)方式測試用例編號TC1.2.2測試項目802.1X認(rèn)證功能測試測

發(fā)表于 11-14 08:00 ?15次下載

基于Linux Ubuntu的RADIUS服務(wù)器搭建

RADIUS的全稱為Remote Authentication Dial-In User Service，是一種能夠讓服務(wù)器驗證各種接入用戶身份的協(xié)議，RADIUS可以對用戶身份進(jìn)行集中管理，安全性更好，策略也更靈活，同時還可以

發(fā)表于 05-26 09:30 ?6376次閱讀

常見的服務(wù)器有哪些？5款常見的應(yīng)用服務(wù)器介紹

服務(wù)器在通常用于處理業(yè)務(wù)邏輯，服務(wù)器端與前端具有輕耦合的特點(diǎn)。在往期服務(wù)器相關(guān)文章中，小編對高防服務(wù)器、GPU服務(wù)器等有所闡述。為增進(jìn)大家對

發(fā)表于 02-10 17:23 ?1.5w次閱讀

DHCP服務(wù)器的工作原理及常見問題總結(jié)

關(guān)于一些DHCP服務(wù)器的工作原理、常見問題總結(jié)和虛擬機(jī)部署DHCP服務(wù)器時出現(xiàn)的問題

發(fā)表于 02-11 09:26 ?2628次閱讀

獨(dú)立服務(wù)器與云服務(wù)器的區(qū)別

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，企業(yè)對于服務(wù)器的需求日益增加，而服務(wù)器市場也隨之出現(xiàn)了多種類型的產(chǎn)品，其中最常見的是獨(dú)立服務(wù)器和云服務(wù)器。這兩種

發(fā)表于 10-12 14:34 ?343次閱讀

RADIUS服務(wù)器無響應(yīng)的解決方法

有兩種方式快速確認(rèn)RADIUS服務(wù)器是否回應(yīng)。

發(fā)表于 11-09 16:02 ?791次閱讀

欧美性猛交xxxx免费看_牛牛在线视频国产免费_天堂草原电视剧在线观看免费_国产粉嫩高清在线观看_国产欧美日本亚洲精品一5区

搜索歷史

RADIUS服務(wù)器常見認(rèn)證問題

評論

嵌入式WEB服務(wù)器常見的有哪些

ESP32 TLS RADIUS服務(wù)器連接問題求解

跨平臺RADIUS服務(wù)器的設(shè)計與實(shí)現(xiàn)

功能服務(wù)器的認(rèn)證

服務(wù)器配置常見誤區(qū)

服務(wù)器常見專業(yè)術(shù)語大全(一)

服務(wù)器常見專業(yè)術(shù)語大全(二)

AAA_RADIUS和TACACS+

基于_群封裝_技術(shù)的RADIUS認(rèn)證優(yōu)化_高寶

RADIUS-AAA測試實(shí)例詳細(xì)資料說明免費(fèi)下載

基于Linux Ubuntu的RADIUS服務(wù)器搭建

常見的服務(wù)器有哪些？5款常見的應(yīng)用服務(wù)器介紹

DHCP服務(wù)器的工作原理及常見問題總結(jié)

獨(dú)立服務(wù)器與云服務(wù)器的區(qū)別

RADIUS服務(wù)器無響應(yīng)的解決方法