iMC EIA有线802.1x认证失败报错radius server no response

不涉及

现场结合iMC-EIA组件使用iNODE进行802.1x有线认证，客户端报错“radius server no response”。

1、收集现场设备侧配置和iMC侧的配置进行基本排查，通过仔细对比发现并无问题。

2、iMC侧并未看到认证失败明细信息，收集iMC侧UAM调试日志发现日志中没有正常的radius报文交互情况，此刻确认iMC侧并未收到设备侧的radius报文。

3、收集设备侧radius报文的debug信息如下：

*Apr 27 11:03:29:780 2000 H3C RDS/7/DEBUG:

[1  User-name                   ] [42] [MGFdHxpXNytyTUlhIwV4In95K1A=  zhangsan]

Event: Begin to switch RADIUS server when sending 0 packet.

*Apr 27 11:03:31:101 2000 H3C RDS/7/DEBUG: Send: IP=[10.31.3.238], UserIndex=[141], ID=[0], RetryTimes=[0], Code=[1], Length=[226]

*Apr 27 11:03:31:261 2000 H3C RDS/7/DEBUG:

Event: Set socket VPN attribute, VPN index=0, Result=0!

*Apr 27 11:03:31:382 2000 H3C RDS/7/DEBUG: Send Raw Packet is:

*

*Apr 27 11:03:32:423 2000 H3C RDS/7/DEBUG: Recv MSG,[MsgType=PKT auth timeout Index = 141, ulParam3=0]

*Apr 27 11:03:32:553 2000 H3C RDS/7/DEBUG: Send: IP=[10.31.3.238], UserIndex=[141], ID=[0], RetryTimes=[1], Code=[1], Length=[226]    //重传radius 报文

*Apr 27 11:03:32:723 2000 H3C RDS/7/DEBUG:

Event: Set socket VPN attribute, VPN index=0, Result=0!

*Apr 27 11:03:32:844 2000 H3C RDS/7/DEBUG: Recv MSG,[MsgType=PKT auth timeout Index = 141, ulParam3=0]

*Apr 27 11:03:32:974 2000 H3C RDS/7/DEBUG: Send: IP=[10.31.3.238], UserIndex=[141], ID=[0], RetryTimes=[2], Code=[1], Length=[226]  //第二次重传

*Apr 27 11:03:33:135 2000 H3C RDS/7/DEBUG:

Event: Set socket VPN attribute, VPN index=0, Result=0!

*Apr 27 11:03:33:255 2000 H3C RDS/7/DEBUG: Recv MSG,[MsgType=PKT auth timeout Index = 141, ulParam3=0]

*Apr 27 11:03:33:386 2000 H3C RDS/7/DEBUG:

Event: Begin to switch RADIUS server when sending 0 packet.

*Apr 27 11:03:33:516 2000 H3C RDS/7/DEBUG:

Event: No active RADIUS server is available for switching when sending packet (pkt-flag = 0).

*Apr 27 11:03:33:686 2000 H3C RDS/7/DEBUG:

Error: Auth server no response.(AAAID = 141, Req-ID = 0)

*Apr 27 11:03:33:807 2000 H3C RDS/7/DEBUG: RADIUS Server No Response

从debug信息来看，设备已发了radius 报文给服务器，但是服务器没有响应，设备连发三次，服务器都没响应，导致设备把服务器设置为block 状态，建议按照下面排查：

Ø  确认设备和imc 服务器之间的连通性，ping 测试；

Ø  确认中间是否对端口号有做限制，也可以设备和imc 侧分别抓包查看；

Ø  确认服务器是否监听1812/1813 端口；

4、排查服务器端口是否开放，现场iMC服务器安装在Linux服务器上，排查iMC服务器的1812、1813端口发现：一个未知IP占用了认证端口（并非真实服务器IP），经过和客户确认，了解到该IP是之前iMC服务器的IP地址，于是判断之前修改服务器网卡地址时未按照规范修改iMC服务器相关配置文件。

图1-linux排查端口

图2-Windows排查端口

最终发送《iMC 服务器IP 地址修改配置举例》（https://zhiliao.h3c.com/Theme/details/1800）案例，现场正常按照该案例修改相关参数后认证恢复正常。