RADIUS服务器无响应的解决方法

现象描述

有两种方式快速确认RADIUS服务器是否回应。

方法一：

执行命令display aaa online-fail-record all，发现User online fail reason字段显示为The radius server is up but has no reply或者The radius server is not reachable。

方法二：

在系统视图下执行命令trace object mac-address mac-address可以看到服务器没有回应。

操作步骤

出现服务器无响应的情况首先确认服务器是否添加了设备IP。如果没有添加，请添加正确的设备IP。如果已经添加，那么需要确定服务器添加的设备IP与认证请求的源IP是否一致（设备默认出接口的IP地址作为向RADIUS服务器发送RADIUS报文时使用的源IP地址）。

1.用户可以执行命令display radius-server configuration template查看RADIUS服务器模板下是否配置了source-ip。

如果已配置，则服务器上添加的设备IP必须要是这个source-ip。

如果未配置，则可以执行命令display ip routing-table查路由确认认证请求报文的源IP是否是服务器添加的设备IP。例如RADIUS服务器IP是192.168.1.1，通过查询路由的命令可以看到NextHop是192.168.1.101，这个地址即作为认证请求报文的源IP。

2.如果服务器上添加设备IP没有问题，就需要在设备和服务器上同时获取报文确认中间链路是否存在问题，例如中间网络存在防火墙，防火墙未放通RADIUS（默认认证端口：1812）报文。

另外一种服务器无响应场景是服务器和设备配置的shared-key不一致，可以通过test-aaa命令测试。Debug信息如下所示，出现这种情况需要确保设备和服务器上的shared-key一致。

3.如果出现大量用户无法认证，日志里出现RADIUS服务器Down记录，那么大概率是服务器或中间网络出现异常，需要逐一排查。

4.查看异常RADIUS报文的统计信息

当RADIUS认证失败时，需要查看一段时间内的异常RADIUS报文的统计信息，可以诊断视图下使用命令reset aaa abnormal-radius-track清空数据，然后再 display aaa abnormal-radius-track 重新统计。

5.查看RADIUS模块相关统计信息

调试诊断时，可以通过在诊断视图下使用 display radius statistics { error | message | packet } 显示RADIUS模块相关统计信息，具体回显较多，可以参见产品手册。