某局点终端获取地址慢

AC --- 核心sw --- XX服务器  ——出口——  省服务器

现场为MAC Portal 认证，第一次终端认证获取地址慢，需等待十几秒以上

1、经过分析发现第一次认证中 MAC认证的radius报文交互过程未完成，导致终端接入异常，且AC上radius状态显示为block。

2、对MAC认证过程进行debug信息收集，发现相同终端认证，服务器回复的大部分reject报文AC密钥解析为无效，同时存在少部分报文解析正常，并能被正确识别。（AC若识别服务器发送报文为无效报文，会持续发送request请求共三次，三次无有效报文响应后会将radius状态置为block）

*May 26 15:02:01:240 2024 WX3520X RADIUS/7/ERROR: The response packet has an invalid Response Authenticator value.

*May 26 15:02:01:240 2024 WX3520X RADIUS/7/ERROR: The reply packet is invalid.

识别为无效报文

识别为有效报文

3、收集AC对端的radius报文交互，对比分析，我司发起相同终端的request请求，服务器回复reject报文内容有差异，具体内容如下：

            识别为无效报文

            报文中相比能正常被识别的reject报文多出部分Attribute Value Pairs字段信息

识别为有效报文

4、由于现场组网认证模式是有AC发送报文至XX服务器，再由XX服务器发送至省服务器。对比服务器侧抓包：

            AC-XX服务器以及XX服务器-省服务器：相同终端认证，Authenticator皆为5efb1fa084c8954df78d6a0409791c79

           省服务器-XX服务器：相同终端认证，Authenticator为60fe404986951d9584c520d0eb5f1a34

           XX服务器-AC：相同终端认证，Authenticator为90bd2ade80a3c207999310eea47e866d

进行第二次MAC无感知认证，radius交互无异常，能认证成功。AC对radius报文进行处理，首先需要检测密钥是否正常，是否为设备可处理的报文，再对其中内容进行判断。综合以上信息分析，AC对服务器发送的部分报文能进行解析并识别处理，无法识别处理报文的原因皆为密钥解析无效，初步分析可能服务器回复过程中对密钥进行MD5计算时或者传递转发过程中存在异常。

        还需明确XX服务器角色：与省服务器radius密钥不一致情况下，XX服务器是否会对报文密钥做进一步解密加密处理；还是无论密钥是否一致的情况下，仅对AC和省服务器发送的报文做单纯转发；

        还需明确access-reject内容差异原因：从radius access-reject报文分析，从省服务器发送的初始报文中就会携带上述描述多出的Attribute Value Pairs信息字段，导致两者报文携带内容不一致的原因是什么

        由于省服务器侧排查进展缓慢，现场临时修改为Portal Mac-trigger认证规避