某局点使用iMC进行有线802.1x认证提示“Radius服务器无响应”的解决方法

某局点在使用iMC UAM进行有线802.1x（无证书EAP方式）认证时，发现全部用户都无法认证通过。使用iNode客户端认证时提示“Radius Server No Response”

Radius服务器无响应

一、由于iNode客户端提示“Radius Server No Response”，对于这种情况分析可能是UAM没有给接入设备回应认证请求报文。此时查看UAM调试级别日志进行分析，报文如下：

% 2016-05-05 09:04:40 ; [L_DEBUG (4)] ; [12212] ; LAN ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; End ProcLanAcctMsg() successfully.
% 2016-05-05 09:04:40 ; [ERROR   (1)] ; [9240] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapTlsAuthen::initiate] The server certficate file does not exist.\\服务器证书不存在
% 2016-05-05 09:04:40 ; [ERROR   (1)] ; [9240] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::eapTypeLoad]Failed to initiate ttls
% 2016-05-05 09:04:40 ; [ERROR   (1)] ; [9240] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::eapHandler]Can&＃39;t load dll for EAP type 21!
% 2016-05-05 09:04:40 ; [WARNING (2)] ; [9240] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [commonEap::getAttrFromPacket]no attribute of Framed-IP-Address.
% 2016-05-05 09:04:40 ; [L_DEBUG (4)] ; [9240] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [commonEap::getAttrFromPacket] no attribute of Framed_IPv6_Prefix.
% 2016-05-05 09:04:40 ; [L_DEBUG (4)] ; [9240] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; User(zx_kfw_7A2340:A8:F0:A5:37:03) auth fail and plus in auth feil map.
% 2016-05-05 09:04:40 ; [ERROR   (1)] ; [9240] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [[CEapProcess::eapCompose] Reply_Message:E63510: 证书未导入。.
% 2016-05-05 09:04:40 ; [L_DEBUG (4)] ; [10788] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::authenticate] Begin CEapProcess::authenticate().
% 2016-05-05 09:04:40 ; [L_DEBUG (4)] ; [10788] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::eapAttribute]begin eapAttribute().
% 2016-05-05 09:04:40 ; [L_DEBUG (4)] ; [10788] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::eapAttribute]end eapAttribute().
% 2016-05-05 09:04:40 ; [ERROR   (1)] ; [9240] ; LAN ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; chkAccScene: User[zx_kfw_7A23] subscribe no service .
Code = 3
ID = 32
Reply-Message(18) = E63510: 证书未导入。\\CODE=3为认证拒绝报文，为iMC服务器回应给接入设备的。

查看出现问题的时间点的调试日志，UAM日志中有大量的CODE=3认证报文，如下图所示。

所以看出iNode客户端报的“Radius Server No Response”与UAM后台日志中存在不相符，UAM日志中明确给设备回应了认证拒绝报文，而且提示是“证书未导入”。根据现场的配置查看，用户并没有配置证书。设备侧配置如下：

 dot1x

 dot1x quiet-period

 dot1x authentication-method eap

 dot1x url http://10.0.0.4

从日志中可看到存在上述现象：

% 2016-05-05 09:02:22 ; [L_DEBUG (4)] ; [12204] ; LAN ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [checkIfBYODauthUser] The user name is not equal to MAC.

% 2016-05-05 09:02:22 ; [ERROR   (1)] ; [12204] ; LAN ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; chkAccScene: User[zx_kfw_8C02] subscribe no service .

% 2016-05-05 09:02:22 ; [L_DEBUG (4)] ; [12204] ; LAN ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; fndEapType calling chkAccScenario(zx_kfw_8C02,00-21-cc-d3-7a-68) returns 63018 [V-T-O:0_0_0,SSID:0,MAC:0,AREA:0,IP:0].

% 2016-05-05 09:02:22 ; [L_DEBUG (4)] ; [12204] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::findEapTypeFromDB] user does not exist ,go with eap-ttls authentication\\用户不存在，开始进行EAP-TTLS认证方式

% 2016-05-05 09:02:22 ; [L_DEBUG (4)] ; [12204] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; outer fndEapType[zx_kfw_8C02,00-21-cc-d3-7a-68,], eaptype:21, RSA:0.

% 2016-05-05 09:02:22 ; [L_DEBUG (4)] ; [12204] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::eapTypeLoad] Begin CEapProcess::eapTypeLoad().

% 2016-05-05 09:02:23 ; [ERROR   (1)] ; [12204] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapTlsAuthen::initiate] The server certficate file does not exist.

% 2016-05-05 09:02:23 ; [ERROR   (1)] ; [12204] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::eapTypeLoad]Failed to initiate ttls\\初始化TTLS模块失败

% 2016-05-05 09:02:23 ; [ERROR   (1)] ; [12204] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::eapHandler]Can&＃39;t load dll for EAP type 21!

% 2016-05-05 09:02:23 ; [L_DEBUG (4)] ; [12204] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::eapBuildds]begin eapBuildds().

% 2016-05-05 09:02:23 ; [L_DEBUG (4)] ; [12204] ; EAP ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; [CEapProcess::eapBuildds]end eapBuildds().

通过以上日志，分析出用户不存在时缺省使用ttls进行认证，而ttls因证书问题初始化失败；后续类似报文都会触发ttls初始化，而ttls初始化会打开动态库，从而导致整个认证过程越来越慢。从而出现认证队列满的现象。但是不是每次都会导致认证失败，为概率事件。

 2016-05-05 08:47:15 ; [WARNING (2)] ; [11740] ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; rcv: [eap] Message queue is full[128].\\认证队列满

1、后续EIA 7.0 E0103H05版本对调用TTLS模块时进行了优化，可以保证即使用户输入的用户名不存在会直接提示“用户不存在”。

2、用户使用iNode“保存用户名和密码”功能。

无