不涉及
现场结合iMC-EIA组件使用iNODE进行802.1x有线认证,客户端报错“radius server no response”。
1、收集现场设备侧配置和iMC侧的配置进行基本排查,通过仔细对比发现并无问题。
2、iMC侧并未看到认证失败明细信息,收集iMC侧UAM调试日志发现日志中没有正常的radius报文交互情况,此刻确认iMC侧并未收到设备侧的radius报文。
3、收集设备侧radius报文的debug信息如下:
*Apr 27 11:03:29:780 2000 H3C RDS/7/DEBUG:
[1 User-name ] [42] [MGFdHxpXNytyTUlhIwV4In95K1A= zhangsan]
Event: Begin to switch RADIUS server when sending 0 packet.
*Apr 27 11:03:31:101 2000 H3C RDS/7/DEBUG: Send: IP=[10.31.3.238], UserIndex=[141], ID=[0], RetryTimes=[0], Code=[1], Length=[226]
*Apr 27 11:03:31:261 2000 H3C RDS/7/DEBUG:
Event: Set socket VPN attribute, VPN index=0, Result=0!
*Apr 27 11:03:31:382 2000 H3C RDS/7/DEBUG: Send Raw Packet is:
*
*Apr 27 11:03:32:423 2000 H3C RDS/7/DEBUG: Recv MSG,[MsgType=PKT auth timeout Index = 141, ulParam3=0]
*Apr 27 11:03:32:553 2000 H3C RDS/7/DEBUG: Send: IP=[10.31.3.238], UserIndex=[141], ID=[0], RetryTimes=[1], Code=[1], Length=[226] //重传radius 报文
*Apr 27 11:03:32:723 2000 H3C RDS/7/DEBUG:
Event: Set socket VPN attribute, VPN index=0, Result=0!
*Apr 27 11:03:32:844 2000 H3C RDS/7/DEBUG: Recv MSG,[MsgType=PKT auth timeout Index = 141, ulParam3=0]
*Apr 27 11:03:32:974 2000 H3C RDS/7/DEBUG: Send: IP=[10.31.3.238], UserIndex=[141], ID=[0], RetryTimes=[2], Code=[1], Length=[226] //第二次重传
*Apr 27 11:03:33:135 2000 H3C RDS/7/DEBUG:
Event: Set socket VPN attribute, VPN index=0, Result=0!
*Apr 27 11:03:33:255 2000 H3C RDS/7/DEBUG: Recv MSG,[MsgType=PKT auth timeout Index = 141, ulParam3=0]
*Apr 27 11:03:33:386 2000 H3C RDS/7/DEBUG:
Event: Begin to switch RADIUS server when sending 0 packet.
*Apr 27 11:03:33:516 2000 H3C RDS/7/DEBUG:
Event: No active RADIUS server is available for switching when sending packet (pkt-flag = 0).
*Apr 27 11:03:33:686 2000 H3C RDS/7/DEBUG:
Error: Auth server no response.(AAAID = 141, Req-ID = 0)
*Apr 27 11:03:33:807 2000 H3C RDS/7/DEBUG: RADIUS Server No Response
从debug信息来看,设备已发了radius 报文给服务器,但是服务器没有响应,设备连发三次,服务器都没响应,导致设备把服务器设置为block 状态,建议按照下面排查:
Ø
Ø
Ø
4、排查服务器端口是否开放,现场iMC服务器安装在Linux服务器上,排查iMC服务器的1812、1813端口发现:一个未知IP占用了认证端口(并非真实服务器IP),经过和客户确认,了解到该IP是之前iMC服务器的IP地址,于是判断之前修改服务器网卡地址时未按照规范修改iMC服务器相关配置文件。
图1-linux排查端口
图2-Windows排查端口
最终发送《iMC 服务器IP 地址修改配置举例》(https://zhiliao.h3c.com/Theme/details/1800)案例,现场正常按照该案例修改相关参数后认证恢复正常。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作