用户名后面跟 @本地域名

当 RADIUS 服务器不可达时，本地账号登录缓慢，主要是因为设备仍在等待 RADIUS 服务器响应超时。

你可以从缩短等待时间与明确认证策略两个方向入手，对设备进行优化配置：

 缩短等待与重试时间

这是解决此问题的核心操作。RADIUS服务器不可达时的“慢”，绝大部分时间是消耗在超时等待和重试上。减少这部分耗时是体验提升的关键。所有优化均需在 RADIUS 方案视图下完成：

1. timer response-timeout：缩短 RADIUS 服务器响应超时时间。H3C设备缺省为3秒，建议可改为1秒。需注意：发送RADIUS报文的最大尝试次数(默认为3) × 响应超时时间 = 总等待时间，设置时请关注此乘积小于75秒的上限。

2. retry：减少 RADIUS 请求报文的最大重传次数。H3C设备缺省为3次，如果不希望等待太久，可尝试改为1次或2次。

 明确认证首选策略

虽然AAA的ISP域配置中，radius-scheme local 这种写法表示 RADIUS 是主认证方法，local 是 RADIUS 无响应时的备选方法，但部分资料指出H3C Comware平台不支持“先本地，后RADIUS”的认证顺序。因此，无法通过配置变更来强制优先本地认证，还是需要在超时发生后才能回落到本地用户。

 规范本地用户配置

虽然认证顺序无法更改，但一个配置正确的本地账户仍是提速的关键。设备仍需为 RADIUS 服务器“失联”时的下降级做好兜底，确保本地认证过程本身是顺畅的：

1. 确保本地用户已创建并被分配到正确的ISP域。

2. 给本地用户设置的密码应尽量简单，减少认证过程本身的耗时。

3. 确保本地用户的授权用户角色属性（如network-admin）配置正确，以避免因权限下发延迟造成额外等。

• 缩减备用服务器：在RADIUS方案中，undo secondary authentication 可快速删除备用服务器，只留下主服务器。这样设备在尝试主服务器失败后会更快进入本地认证流程。

• 优化网络可达性：从根本上来看，还是要保证设备与RADIUS服务器的网络可达（如检查nas-ip配置的源IP与RADIUS上添加的接入设备IP是否一致）。这可以让主备RADIUS服务器快速恢复业务，避免长期处于降级模式。

• 检查域配置：建议检查并精简 domain 下的 authentication login、authorization login、accounting login 等相关配置，清除所有不必要的认证、授权或计费方法。

 配置验证

配置生效后，可以通过以下命令进行验证：

• display radius scheme：输出中应能正确显示你修改的超时时间 (Response-timeout) 和重试次数 (Retry times)。

• 关闭RADIUS服务器网络，模拟“失联”场景进行登录测试，感受本地登录速度。

• display local-user：确认本地用户已正确创建。

核心原因 & 极速优化方案（H3C 全网设备通用）

一、为什么本地账号登录慢

二、解决核心思路

1. 缩短 RADIUS 超时时间、重传次数
2. 配置 认证顺序：先本地、后 RADIUS
3. 配置 RADIUS 探测不可达后快速降级

三、直接可复制配置（V7 交换机 / 防火墙 / 路由器通用）

1. 减小 RADIUS 超时、重传（关键提速）

2. 调整 AAA 域认证顺序：先本地，再 RADIUS

3. 开启 RADIUS 服务器可达性探测（故障快速跳过）

四、补充最佳配置（彻底根治卡顿）

五、原理一句话总结

1. 把 RADIUS 超时改小、重传改少
2. 域内认证顺序 local 放前面
3. 开启服务器存活探测 + AAA 故障降级