问题描述:
网络安全>AAA>PADIUS>认证服务器,主服务器和备份服务器的状态都是堵塞,修改为活动后,过一会就会变成阻塞。
组网及组网描述:
H3C Comware Software, Version 7.1.064, Release 5612 Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved. H3C WX2560X-LI uptime is 0 weeks, 0 days, 13 hours, 23 minutes Last reboot reason : User soft reboot Boot image: flash:/boot.bin Boot image version: 7.1.064, Release 5612 Compiled Jul 19 2022 15:00:00 System image: flash:/system.bin System image version: 7.1.064, Release 5612 Compiled Jul 19 2022 15:00:00 with 1 1600MHz Multi-core Processor 2048M bytes DDR4 7456M bytes EMMC Memory Hardware Version is Ver.A CPLD Version is 002 Basic Bootrom Version is 1.09 Extend Bootrom Version is 1.09 [Subslot 0]WX2560X-LI Hardware Version is Ver.A
AC 与 RADIUS 服务器(如 H3C iMC)之间的通信状态在手动修改为“活动(Active)”后,过一会又自动变成“阻塞(Block)”,这是非常典型的通信故障表现。
这说明 AC 在后台持续对 RADIUS 服务器进行健康探测,或者在转发认证报文时,连续多次无法收到服务器的有效回应,从而触发了设备的自我保护机制,将服务器状态再次置为阻塞。
你可以按照以下顺序,由浅入深进行排查:
1. 检查基础网络连通性与端口放行
- Ping 测试:在 AC 的命令行界面(CLI)中,使用
ping <RADIUS服务器IP>命令,确认 AC 与 RADIUS 服务器之间的基础网络是通畅的。 - 防火墙/安全组策略:如果中间经过防火墙,或者服务器本身开启了系统防火墙,请务必确认放行了 RADIUS 协议的默认通信端口:UDP 1812(认证) 和 UDP 1813(计费)。
2. 核心配置一致性排查(最常见原因)
RADIUS 通信极其依赖两端配置的严格匹配,请重点核对以下几点:
- 共享密钥(Shared Key):AC 上 RADIUS 方案中配置的密钥,必须与 RADIUS 服务器(如 iMC)上添加该接入设备(AC)时填写的密钥完全一致(包括大小写和特殊字符)。
- NAS-IP 地址:在 AC 的 RADIUS 方案视图下,通常会配置一个
nas-ip。请确认这个 IP 地址,与 RADIUS 服务器上添加 AC 设备时填写的“设备 IP”是完全匹配的。 - 设备接入配置:登录 RADIUS 服务器后台,确认是否已经正确添加了这台 AC 的接入设备信息(IP 地址和密钥)。
3. 检查报文是否被拦截或拒绝
如果网络通畅且配置无误,需要排查报文交互的具体情况:
- 端口占用或冲突:检查 RADIUS 服务器所在的物理机或虚拟机,确认 1812 和 1813 端口没有被其他非认证服务占用(可以在服务器上执行
netstat -aon | findstr 1812查看)。 - IP 地址冲突:排查网络中是否存在 IP 地址冲突的情况(例如准入设备的虚拟网卡地址与 NAS-IP 冲突),这会导致 AC 发出的报文无法正确到达服务器。
- 开启调试信息:如果条件允许,可以在 AC 上开启 RADIUS 的调试开关(如
debugging radius packet或debugging radius error),实时查看 AC 发出的 Access-Request 报文是否有回应。如果 Debug 信息显示Authenticator error,则直接证明是共享密钥配置错误。
4. 检查超时与静默时间配置
- 超时重传机制:检查 AC 上 RADIUS 方案的超时时间(
timer response-timeout)和重传次数(retry)配置。如果网络延迟较大,而超时时间设置过短,AC 会误判服务器不可达。 - 静默时间(Quiet Period):当服务器被判定为不可达后,AC 会将其置为 Block 状态并进入一段“静默期”(默认为 5 分钟)。在静默期内,即使网络恢复,AC 也不会向该服务器发送报文。你可以通过命令适当缩短这个静默时间,以便更快地测试状态恢复情况。
WX2560X-LI 上 RADIUS 服务器一会 Active、一会 Blocked(堵塞),90% 是:端口不通 / 被防火墙拦、共享密钥错、服务器真的超时无响应、或 AC 侧探测次数 / 超时时间太短。
一、先确认:什么叫 “堵塞(Block)”
华三 Comware7 机制:
- AC 发认证 / 计费请求 → 服务器超时不回或一直报错
- 连续失败次数到阈值 → 标记为 Blocked(堵塞),不再发请求
- 你手动改成 Active → 再发几次又失败 → 又自动 Block
典型日志:
plaintext
RADIUS server xxx.xxx.xxx.xxx state changed to Block
RADIUS server xxx.xxx.xxx.xxx no response
二、最常见 4 个原因(你大概率是其中之一)
-
UDP 1812/1813 端口不通
- AC 到 RADIUS 服务器之间有防火墙 / ACL,拦了 UDP 1812(认证)、1813(计费)
- 服务器本机防火墙也没放行
-
共享密钥(shared-key)不一致
- AC 上的 key 和 RADIUS 服务器(iMC/FreeRADIUS)上的 完全一样(含大小写、空格)
- 错一个字符就会 “收到但不回应”,直接超时 → Block
-
RADIUS 服务器本身故障 / 负载高
- iMC 进程挂了、数据库连不上、CPU / 内存满
- 服务器没把 AC 的 IP 加为 “信任客户端”
-
AC 侧探测参数太严格
- 默认:超时 3 秒、重传 3 次,很容易判死
- 改成:超时 5 秒、重传 2 次,更稳定
三、命令行快速排查(在 WX2560X-LI 上敲)
1)看服务器状态和配置
bash
运行
display radius scheme
display radius-server configuration
重点核对:
- 主 / 备服务器 IP 是否正确
- 认证端口:1812、计费端口:1813(不要写成 1645/1646)
- shared-key 是否配置、是否一致
2)ping + 测端口连通性
bash
运行
ping -a 【AC管理IP】 【RADIUS服务器IP】
telnet 【RADIUS服务器IP】 1812
telnet 【RADIUS服务器IP】 1813
- ping 不通:查路由、VLAN、网关
- telnet 连不上:防火墙 / ACL 拦了 UDP 端口(重点查)
3)开调试,看为啥超时(关键)
bash
运行
terminal monitor
terminal debugging
debugging radius packet
debugging radius error
再把服务器改成 Active,触发认证:
- 看到
send Access-Request但 没回包 → 网络 / 防火墙 / 服务器没加客户端 - 看到
receive Access-Reject→ 密钥错或用户被拒绝 - 看到
timeout→ 服务器慢或网络丢包
四、把 AC 改成 “不容易自动堵塞”(必配)
bash
运行
system-view
# 进入 radius 方案(假设名字是 8021x)
radius scheme 8021x
# 认证/计费端口确认
primary authentication 【主IP】 1812
primary accounting 【主IP】 1813
secondary authentication 【备IP】 1812
secondary accounting 【备IP】 1813
# 共享密钥(和服务器一致)
shared-key simple 【你的密钥】
# 超时+重传(改成更宽松)
timer response-timeout 5
retry 2
# 探测次数(失败5次才堵)
block-time 10
五、服务器侧必须做的(iMC/FreeRADIUS)
-
添加 AC 为 RADIUS 客户端
- 客户端 IP:WX2560X-LI 的 管理 IP
- 密钥:和 AC 上完全一样
- 端口:1812/1813
-
放行端口
- 服务器本机防火墙:放行 UDP 1812、1813
- 中间网络:ACL 允许 AC → 服务器 1812/1813
六、你现在可以直接这样做(最快见效)
- 命令行核对:IP、端口、密钥
- 测:ping + telnet 1812/1813
- 改参数:timeout 5、retry 2、block-time 10
- 服务器加 AC 为客户端、放行端口
做完这四步,基本不会再自动堵塞。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论