1.客户端认证失败排查基本思路

1）.明确客户端认证失败报错信息和SAM服务器上认证日志记录的信息,有时还需要查看对应的上网明细。

2）.根据报错信息和日志信息进行判断，检查相关配置、网络连通性、软件及交换机版本、服务器运行情况、客户端系统环境（防火墙、杀毒软件、病毒）等。

3）.排查出现故障现象的客户端是否有特殊性。更换账号、更换客户端、更换电脑、更换版本、更换网卡驱动、更换操作系统、更换NAS交换机进行认证测试，定位问题。

4）.在客户端和服务器或nas交换机上联口同时抓包，针对测试账号抓取整个认证过程。根据报文分析认证过程交互是否正常。

2.常见认证失败可能原因

1）寻找认证服务器

a.NAS没有收到EAPoL Start报文

Su认证网卡选择错误、Su发出的EAPoL-Start报文被防火墙软件过滤了、Su与NAS连通性问题（网络断路或报文过滤）

b.NAS收到了EAPoL Start报文，但没有回应

NAS没有配置认证、NAS收到EAPoL-Start的端口没有开启认证

c.Su没有收到EAP-Request报文

NAS发出的EAP-Request报文被中途网络设备过滤了

2）连接认证服务器

a.SAM没有收到Access-Request

NAS中SAM服务器地址错误、NAS与SAM连通性问题（网络断路或报文过滤）、SAM服务器开启了防火墙

b.SAM一直没有回应Access-Challenge

SAM中没有添加该设备（服务管理器与系统日志中提示）

c.SAM直接回应Access-Reject

NAS验证字与SAM配置不符（认证日志中提示）

3）认证失败

故障原因（认证日志内记录）：

用户名或密码错误

已达到同时在线用户数量上限

信息校验错误（IP、MAC、NAS IP、NAS PORT、IP地址类型）

账户处于欠费状态

不在认证时段内

客户端版本过低

客户端完整性被破坏

该服务不存在

本日内不能使用该公有服务

不能使用地区受限服务

用户处于黑名单中

3.客户端通过soho型无线小路由器（如tplink）连接到NAS，无法认证

1）.该SOHO型路由器不支持802.1x标准，无法正常的透传eap报文。可向SOHO路由器厂商咨询支持802.1x标准的型号或版本。

2）.如果是支持802.1x标准类型的soho型路由器还是无法认证，可以尝试将无线加密更换成简单加密或取消加密。

4.SU认证失败中提示“已达到同时在线用户数量上限”？

原因是此用户的已达到接入控制或套餐中设置的同时在线数量上限。

1）.先检查接入控制和套餐中设置的登录次数上限是多少

2）.查看在线表，检查该用户是否在线。

3）.如果在线，通过用户信息查看是否为不同用户使用，是否是账号被盗用或是正常的多人使用

4）.如果不是多人使用，则可能是用户异常残留在在线表，没有正常下线。此时可以踢此用户下线或在在线表中删除此用户。

5.SMP/ESS认证环境，认证失败提示使用了非锐捷安全代理

在SMP/ESS服务器用户信息中需要选择好用户使用的客户端类型（SA还是SU）。

提示此报错是因为该用户的用户信息中选择的是安全代理（SA），认证的时候使用SU客户端认证就会出现此报错。

6.su认证失败提示不要安装代理软件或使用代理软件

在SAM接入控制-用户行为管理中开启了防架设代理，客户端就会检测系统环境。

1）请务必确认你电脑上没有安装homeshare，ccporxy等代理软件。

2）拨号软件也会被禁止，如天翼拨号软件等。部分应用软件可以设置代理服务器如通信软件、下载软件等，请设置此类软件关闭代理服务器功能。

3）使用最新正式版的客户端版本。

7.NAS为S21交换机，认证失败提示连接不到服务器

S21低版本默认开启过滤非锐捷客户端功能，无法识别SU4.x的客户端。使用SU4.x的客户端会被此功能过滤掉。

需要在交换机上配置“no dot1x filter-nonRG-su enable”关闭此功能，或者将S21交换机升级到最新版本。

8.win7 64位的系统使用锐捷客户端认证不上

1）.SAM3.4x及以上的版本使用SU4.44或SU4.60都可以正常认证。SAM3.1x及以下版本使用SU4.21可以正常认证。

2）.低版本的客户端可通过兼容性设置来达到win7 64位系统认证：

a.尝试开启兼容性模式运行程序认证测试。

b.打开锐捷安装目录。默认情况下，路径如下：

　　找到以下两个文件：PCAMp50a64.sys和PCASp50a64.sys。

　　将上述两个文件复制粘贴到此路径下：C:\Windows\System32\drivers

　　打开兼容模式。以管理员身份运行程序。

建议将服务器和客户端都升级到最新正式版。

9.NAS为汇聚或核心交换机，认证总是提示连接不到服务器

一般是因为NAS上面存在多个IP地址，发送的radius报文的源ip与radius服务器上添加的设备IP不一样导致。可通过数据流走向分析或抓包来定位。

需要在NAS配置ip radius souce-interface 接口类型接口号这条命令来指定radius报文源端口。

10. 部分电脑报文出现重传，导致认证失败或认证成功然后马上掉线

主要是电脑网卡原因，可通过抓包定位。交换机发送给客户端eap-request后默认等待3秒，3秒未收到回复则重传报文，客户端接收到后可能会同时进行两次认证导致问题。

可在nas交换机上设置报文重传间隔，适当改大测试：Ruijie(config)# dot1x timeout tx-period 10

11.能认证成功但不能上网

此故障多为网络环境或接入设备的问题。可能原因：

1）DNS设置错误

2）交换机FFP资源溢出

3）交换机软件bug

12.认证失败提示交换机资源表项不足

交换机ace资源不足，删除不需要的安全策略，尝试调整ACL的顺序。

13.客户端认证失败，提示获取不到IP地址？

先检查网卡实际是否有IP地址，如果实际就没有，则该报错主要是由于用户PC网卡未获取到IP地址导致。

客户端本身不直接参与DHCP过程，建议抓包排查DHCP过程。可配置静态地址或取消1x认证来确认是否为DHCP过程问题。

14.客户端认证登陆失败，提示“网卡没有连接上，请检查网卡连接”或者提示“IP地址信息获取错误”或者提示“无法启动DHCP client服务”？

确保网线、交换机连接没有问题以及网卡IP也正常获取到还出现上述报错，则原因为：猎豹Wifi或其他Wifi破坏了系统的TCP/IP协议栈造成的。请首先卸载猎豹Wifi或其他的Wifi。

还可以尝试：

1.使用IP配置修复工具修复

2.提前下载好无线网卡驱动，将原有网卡驱动卸载，然后重装

3.重装操作系统

15.苹果客户端认证失败，对苹果系统的一些排查方法

1.确认使用的苹果客户端是最新版本

2.确认客户端具有系统权限，例如启动客户端的时候，有没有要求输入系统的密码

3.网卡的高级属性打开--确认系统的自动认证功能已经关闭

4.网卡属性中查看pppoe拨号方式是否关闭，需要关闭

16.认证失败报错密码错误

1.先确保密码正确，尝试更换密码、更换账号测试

2.检查设备上radius key是否配置正常

3.检查是否数据库中的密码为明文，而安装时选择的是密文保存或者完全相反。

4.检查PC上是否安装了有自动认证的某些软件，使用了错误的密码来认证。

17.认证时，用户输入任意用户名密码都能认证成功