Catalyst SD-WAN Manager (旧称: vManage) にて、特定の cEdge に対し NWPI (Network Wide Path Insight) を実行すると、その cEdge を経由する RADIUS 認証パケットが破棄され、RADIUS を使った端末の認証に失敗する場合があります。

この問題は CSCwi44633 として報告されています。
CSCwi44633 - Fragmented Radius Access-Request packets are dropped when NWPI is running

cEdge で UTD や ZBFW、または NAT 機能を有効化すると、 VPN 0 インターフェースにて Virtual Fragmentation Reassembly (VFR) と呼ばれる機能が自動的に動作します。VFR と NWPI 間の相互接続の不備により、認証に証明書を使うなどしてフラグメント化された RADIUS Access-Request パケットが、VFR と NWPI の両方が動作中の cEdge を経由すると、該当の RADIUS Access-Request パケットが cEdge 上で破棄され、RADIUS 認証に失敗してしまう問題となります。

暫定回避策:
NWPI を実行する場合は、RADIUS パケットを除外するよう、あらかじめフィルタを設定してから実行してください。

恒久対策:
CSCwi44633 の問題が改修されたソフトウェアを使用してください。