MAC认证认证

1. ‌配置问题‌：

   • 无线控制器未正确启用RADIUS DAE（Disconnect Authorization Event）服务。
   • 未正确配置DAE客户端（即认证平台）的IP地址和共享密钥，导致无法识别或验证来自认证平台的下线请求。
   • 在某些设备上，如华三无线控制器，若未在radius scheme中启用server-type extended模式，可能导致强制下线功能不生效。

2. ‌密钥或认证问题‌：

   • 无线控制器与认证平台之间的共享密钥不一致，导致无法验证来自认证平台的DAE报文。
   • 认证平台发送的DAE报文中包含的密钥或认证信息与控制器配置不匹配，控制器拒绝处理该报文。

3. ‌兼容性问题‌：

   • 认证平台与无线控制器在DAE报文格式或处理机制上存在差异，导致控制器无法正确解析或响应该报文。
   • 某些认证平台在发送下线请求时未遵循标准RADIUS协议，或使用了非标准字段，导致控制器无法识别。

关键点：DM（Dynamic Authorization）报文（即你说的UDP 3799报文）同样需要进行RADIUS报文完整性验证。如果AC的 radius session-control client 下只指定了IP，没有指定共享密钥 key，设备在解密和验证该报文时会失败，导致直接丢弃该报文，不做任何处理。

检查这些配置是否完整

最可能的原因及排查步骤（按可能性排序）

• 检查点：在华三AC上，核对以下两处配置的密钥是否完全一致，并且与认证平台为AC设备配置的动态授权密钥一致。
  • 认证服务器配置中的 key（用于认证报文）
  • radius dynamic-author server下的 key（用于CoA报文）
• 排查命令：
  display radius scheme [您的方案名] display radius dynamic-author server
• 关键：很多部署中只配置了认证密钥，而动态授权密钥为空或为默认值，导致AC丢弃CoA报文。

• 检查点1（AC侧）：在AC的RADIUS方案视图下，使用 nas-ip或 nas-id命令指定了哪个IP或ID？这个值必须告知认证平台管理员，并正确配置在认证平台的“设备列表”中。
• 检查点2（平台侧）：请认证平台管理员确认，其配置的AC设备地址（NAS-IP）是否就是AC发出认证请求的源IP（通常是AC的管理地址或Loopback地址）。平台发送CoA报文时，目标地址是AC的IP，但报文内容中携带的NAS-IP属性也必须匹配。
• 排查命令：在AC上开启调试，观察CoA报文细节。
  debugging radius packet debugging radius dynamic-author
  查看AC收到的CoA报文中，其携带的 NAS-IP-Address属性值是什么。

• 检查点：标准的Disconnect请求报文必须包含 User-Name(MAC-A) 和 NAS-IP-Address属性。可以请平台侧在发送报文时，尝试同时包含 Calling-Station-Id属性（即终端MAC地址），其格式需与认证请求中发出的格式保持一致（如带冒号或不带）。

建议的排查流程

1. 首要步骤：立即检查并确保 “动态授权密钥”​ 在AC与认证平台间完全一致。
2. 其次：在AC上开启 debugging，让认证平台再次触发一次踢下线操作，直接观察AC是否收到报文、解析是否失败。这是最直接的证据。
3. 同步验证：将AC和认证平台配置的 NAS-IP/NAS-ID​ 进行交叉核对，确保两端指代的是同一个设备标识。
4. 最后考虑兼容性：如果以上均确认无误，可尝试让认证平台调整CoA报文的属性组合或顺序。但根据经验，前三点解决99%的类似问题。