锐捷S53E 对接友商IMC服务器1X认证成功后异常下线

一、故障现象描述

二、故障排查分析

1. 根据客户方报障现象，优先核查对应设备上的1X diag，明确对应异常下线原因。

2. 对应1X diag认证轨迹记录的是pkt logoff下线，对应原因代表的是客户端主动下线。

3. 抓取对应EAP报文，证实确实是PC主动发起的下线。

4. 进一步分析PC主动下线的原因，结合对应PC上SU客户端的报错“安全认证失败，当前连接即将被强制中断”，基本明确H3C IMC认证服务器认证之后还会存在安全校验机制，需要了解对应安全校验机制才能进一步分析。
5. 网上查看对应资料，对应H3C IMC认证成功之后，存在EAD安全校验机制。即认证成功后，SU客户端会发一个UDP的EAD检测报文，IMC收到之后会检索认证服务器在线的认证表象，若存在就会应答报文对应EAD安全检测通过，若不存在就会拒绝应答EAD安全检测失败。su客户端收到安全检测失败的报错就会主动发起认证下线。

6. 针对点5的报文逻辑，我司交换机运行上，可能导致异常的可能性：① 对应EAD报文未正常转发 ② 与友商IMC服务器存在某些兼容性问题，认证未正常完成，认证服务器上未正常生产认证表象
7. 针对怀疑点①，抓取对应报文，明确对应EAD的UDP报文已正常转发给与认证服务器，排除怀疑点①。

8. 针对怀疑点②，核查对应radius报文，明确对应整个radius认证流程已完成（设备上也正常生产了认证表象），未出现认证报文交互异常问题。

9. 核查客户方认证服务器上认证表象，客户方反馈对应认证成功时，认证服务器上并无对应在线认证表象，基本明确为对应radius服务器缺少在线认证表象导致EAD安全检测失败认证下线问题。
10. 网上寻找资料，发现对应IMC对接友商场景下，可将对应组网模式修订为“混合组网”，混合组网情况下，会使用radius 2字段(password字段)进行在线认证表象生成。

三、故障根因说明

四、故障解决方案