S5720-36C-EI-AC mac认证失败，30分钟后认证通过

2025-8-18

问题描述

在mac认证名单里的设备，mac认证成功，新接入的设备，mac认证失败。添加认证的mac后，认证依然失败。30分钟后认证才能通过

从trace信息查看是服务器拒绝了认证，导致mac认证失败的，但是从客户的描述中来看，此现象只能维持30分

[BTRACE][2019/02/22 09:24:50][RADIUS][001a-4b2e-e13f]:

Receive authentication request message from AAA module.

[BTRACE][2019/02/22 09:24:50][RADIUS][001a-4b2e-e13f]:

Send a authentication request packet to radius server( server ip = 172.26.18.69).

[BTRACE][2019/02/22 09:24:50][RADIUS][001a-4b2e-e13f]:

Received a authentication reject packet from radius server(server ip = 172.26.18.69).

从服务器侧分析发现，认证流程异常。

当新添加的设备没有在服务器添加mac，认证返回拒绝，是正常的。但是再加入该设备的mac地址后，认证返回的信息也是拒绝。正常的认证流程，此时服务器应该返回pass。

分析信息发现，交换机收到的认证返回信息是服务器拒绝，但是从服务器侧来看，拒绝原因是没有收到交换机的认证请求。

在交换机上执行以下命令后认证恢复正常

<HUAWEI> system-view

[HUAWEI] aaa

[HUAWEI-aaa] undo remote-aaa-user authen-fail

Info: All blocked users will unblock. Continue?[Y/N] y

缺省情况下，AAA远端认证失败后账号锁定功能处于使能状态，AAA远端认证失败后用户的重试时间间隔为30分钟，连续认证失败的限制次数为30次，账号锁定时间为30分钟。

1使能AAA远端认证失败后账号锁定功能，根据现网实际情况修改重试时间间隔、连续认证失败的限制次数及账号锁定时间。

2去使能AAA远端认证失败后账号锁定功能

配置命令如下：

# 使能AAA远端认证失败后账号锁定功能，配置AAA远端认证失败后用户的重试时间间隔为5分钟、连续认证失败的限制次数为3次及账号锁定时间为5分钟。

<HUAWEI> system-view

[HUAWEI] aaa

[HUAWEI-aaa] remote-aaa-user authen-fail retry-interval 5 retry-time 3 block-time 5

# 去使能AAA远端认证失败后账号锁定功能。

<HUAWEI> system-view

[HUAWEI] aaa

[HUAWEI-aaa] undo remote-aaa-user authen-fail

阅读剩余

作者：SE_Gao

链接：https://www.cnesa.cn/7289.html

文章版权归作者所有，未经允许请勿转载。

THE END