EAP错误码原因分析.docx

错误分析错误信息认证类型错误说明原因分析日志命中率排查建议user wlan authority check errorSIM/AKAHLR代理返回失败结果，无法继续认证。Radius可以与HLR代理正常通信;但HLR代理与HLR可能存在通信问题，或未能获取期望的数据。567/565检查HLR代理端与HLR通信异常或通信超时情况。eap session not foundALL由于Radius端session已被超时删除，无法处理AC发来的后续请求。在认证过程中Radius将某个超时(30秒)的session删除后，AC又发来针对该session的请求报文。还有可能是错投报文(调查中)Session超时删除13/21发错报文8/21配合AC检查超时原因。invalid NT-ResponsePEAP在MSCHAPV2阶段，客户端认证过程中出现两端(客户端与Radius)计算(NT Hash和MD5)出的质询响应结果(24字节)不一致。客户端认证不通过。可能是客户端的算法实现与Radius不一致。或因传输数据在网络中被篡改。找固定有该问题的终端进行调研。user not found in dbALL在数据库中查不到该用户该用户不在ps_radius表检查该用户是否开通业务eap method mismatchALL(依据日志分析)客户端响应NAK，表示不支持当前认证类别。客户端不支持当前的认证方式。日志中发现有案AKA规范Identity传来的报文，响应Radius报文方法为NAK，并携带可支持的认证方式为SIM。230/230核对Identity匹配规范，看是否有类似说明。找固定有该问题的终端进行调研。incorrect at_macSIM/AKA校验消息鉴权码(MAC)不正确。消息鉴权码是保证数据传输过程中不被篡改的技术。客户端的鉴权算法与Radius不一致。或者报文在网络传输过程中被改动。找固定有该问题的终端进行调研。hlragent network io errorSIM/AKA与HLR代理通信错误null eap-indentitySIM/AKA获取永久用户名为空EAP报文中永久用户名不存在，协议交互失败。18/18找固定有该问题的终端进行调研。client report error 0SIM/AKA客户端返回错误号(0)客户端返回错误号(0)632/634调研错误号0找固定有该问题的终端进行调研。user pattern not found in users.datALL用户号(Identity)不符合认证规范Identity无法匹配现有支持的认证类型规范找固定有该问题的终端进行调研。eap cannot process errorget GSM triplet errorget AKA quintuple errorpeap create tls tunnel errorpeap phrase 1 errorpeap phrase 2 errorpeap phrase2 method errorclient report error 3日志分析user wlan authority check errorRadius端10级日志EAP-SIM DB: HLR Return Code=1, erroreap session not foundRadius端10级日志:session已删除情况:State attribute included but no session found发错报文情况:eap packet not for me!client report error 0EAP-SIM: Client reported error 0Received EAP data datalen=12, data is:02 02 00 0C 12 0E 00 00 16 01 00 00invalid NT-Response在MSCHAPV2阶段，终端生成的响应值与Radius自己生成的不匹配，客户端认证失败23步WLAN UE收到后:WLAN UE产生一个 16字节的随机数，称为“端认证质询”,WLAN UE 将3GPP AAA Server服务器中收到的16字节质询，及其产生的16字节端认证质询，以及WLAN UE的用户名进行SHA1算法的HASH,取结果的开始8字节。WLAN UE将b产生的8字节质询加密用windows nt hash 函数生成的本地口令HASH值（16字节），产生24字节的响应（MD4算法）；WLAN UE 将24字节的响应，结果封装在EAP-Response/EAP_MS_CHAP_V2 Response报文中发送给WLAN AN. (CODE=2:Response)25步3GPP AAA