背景信息
用户认证过程中,设备会发送认证请求报文到RADIUS服务器。为避免由于网络故障、时延等原因导致设备无法收到服务器的回应报文,设备在发送认证请求报文到服务器时具有超时重传超时机制,重传次数和重传间隔通过定时器进行控制。如下图所示,在重传停止后,如果设备仍没有收到RADIUS服务器的回应报文,则会将RADIUS服务器的状态标记为Down状态或者无响应。
故障现象
RADIUS服务器无响应时,查看命令display aaa online-fail-record all和Trace诊断信息的显示如下:
执行命令display aaa online-fail-record all,发现User online fail reason字段显示为The radius server is up but has no reply或者The radius server is not reachable。
Trace诊断信息显示AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(73)。
处理方法
情况一:RADIUS服务器上配置的shared-key与设备上配置的不一致
在设备上,RADIUS服务器模板视图下,执行命令radius-server shared-key cipherkey-string重新配置共享密钥;在RADIUS服务器上,重新配置共享密钥,保证与设备上配置的一致。
情况二:RADIUS服务器没有添加设备的IP地址或者添加的IP地址不正确
RADIUS服务器上添加的设备IP地址必须是设备发送认证请求报文的源IP地址。源IP地址可以在RADIUS服务器模板下通过命令配置;如果未配置,则使用缺省值,即发送认证请求报文出接口的IP地址作为源IP地址。确认源IP地址的步骤如下:
通过命令display radius-server configuration template name,可以确认是否通过命令配置了源IP地址。回显中字段Source IP表示源IP地址:
有显示,则表示通过命令配置了源IP地址,RADIUS服务器上的配置必须与显示的值保持一致;
1、无显示,则表示源IP地址使用的是默认值,需要通过第2步确认具体值。
2、源IP地址使用的是默认值(即发送认证请求报文出接口的IP地址)时,需要通过查路由确认源IP地址。以简单的直连路由场景为例,RADIUS服务器的IP地址是192.168.1.1,通过查询路由可以看到NextHop是192.168.1.101,这个地址即作为认证请求报文的源IP,RADIUS服务器上的设置需要与该值保持一致。
情况三:防火墙未放通RADIUS服务器的端口号
如果RADIUS服务器上设置的设备IP地址没有问题,需要进一步在设备和服务器侧同时进行报文分析确认中间链路是否存在问题。常见的链路问题有网络中存在防火墙,防火墙未放通RADIUS服务器的端口号(默认认证端口:1812,计费端口:1813)。
情况四:RADIUS服务器或者中间网络出现异常
如果大量用户无法认证,并且设备上有日志RDAUTHDOWN(表示RADIUS服务器Down),大概率是RADIUS服务器或中间网络出现异常,需要逐一排查。