802.1x认证 uam日志提示非法报文

问题分析

可能的原因

1. 共享密钥不匹配（最常见原因）
   • 原因：AC 和 RADIUS 服务器之间配置的共享密钥（Shared Secret）不一致。
   • 分析：Message Authenticator 是使用共享密钥和报文内容通过 MD5 算法计算出来的。如果两边的密钥不一样，RADIUS 服务器收到报文后，用自己配置的密钥重新计算出的值就会和报文里携带的值对不上，从而判定为“非法报文”。
2. AC 配置问题
   • 原因：AC 上配置的 RADIUS 服务器 IP 地址错误，或者发送报文的源 IP 地址与 RADIUS 服务器配置的“客户端”IP 地址不匹配。
   • 分析：有些 RADIUS 服务器软件会严格检查报文来源 IP。如果 AC 发送报文的源 IP（比如是 Loopback 地址）和你在 RADIUS 服务器上配置的 AC 的 IP 不一致，也可能导致认证失败。
3. 报文传输过程中被篡改
   • 原因：网络链路不稳定，或者中间有设备（如防火墙、NAT 设备）对 UDP 报文进行了修改。
   • 分析：RADIUS 使用 UDP 协议，本身不提供可靠性保证。如果报文在网络传输中被损坏，Message Authenticator 校验自然会失败。
4. AC 软件 Bug 或版本问题
   • 原因：AC 设备的固件或软件存在 Bug，导致生成的 Message Authenticator 计算错误。
   • 分析：这种情况相对少见，但也不是不可能。
5. RADIUS 服务器软件配置问题
   • 原因：RADIUS 服务器软件（比如 FreeRADIUS, IAS 等）的配置文件中，对 Message Authenticator 的处理逻辑有误，或者配置了不兼容的选项。

排查步骤建议

1. 核对共享密钥：这是最优先要检查的。登录到你的 AC（10.41.104.253），找到 RADIUS 配置页面，仔细核对与 RADIUS 服务器之间的共享密钥。然后登录到 RADIUS 服务器，检查对应的客户端配置，确保两边的密钥完全一致（注意大小写和特殊字符）。
2. 检查 AC 的源 IP 配置：查看 AC 上是否配置了 RADIUS 报文的源 IP 地址（Source IP / Origin IP）。确保这个 IP 地址和你在 RADIUS 服务器上配置的“允许的客户端 IP”一致。
3. 检查网络连通性：使用 ping 或 traceroute 等工具，确保 AC 和 RADIUS 服务器之间的网络是通畅的，没有丢包或延迟过高的情况。
4. 检查防火墙/NAT 设备：如果 AC 和 RADIUS 服务器之间有防火墙或 NAT 设备，确保它们没有对 UDP 1812（RADIUS 认证端口）的流量进行拦截或修改。
5. 查看 AC 侧日志：登录到 AC（10.41.104.253），查看它发送 RADIUS 报文时的日志。看是否有报错，或者是否收到了 RADIUS 服务器的拒绝响应。
6. 抓包分析（进阶）：如果以上步骤都无法解决问题，可以在 RADIUS 服务器上使用 Wireshark 或 tcpdump 抓取 UDP 1812 端口的流量。分析 AC 发送过来的报文，看看 Message Authenticator 属性的具体值，以及报文的其他字段是否有异常。