The display access-user Command Finds the Online Users without Obtaining IP Address Because Frequent Authentication Requests Sent by Users under MA5200F R007 Are Denied

Publication Date:  2012-07-27 Views:  249 Downloads:  0
Issue Description
MA5200F version: MA2.10-7138 (independent of version)
Account: xxx@isp MAC: xxxx-xxxx-xxxx (independent of the user account and MAC).
Symptoms: execute display access-user username xxx@isp command, and it displays as follows, and some online users do not have IP address. 
 [MA5200F]displayaccess-userusernamehuawei@isp
--------------------------------------------------------------------------
user IDusernameIPaddressMAC
--------------------------------------------------------------------------
1989xxx@isp-xxxx-xxxx-xxxx
----------------------------------------------------------------------------
1 in total, and 1 printed
Alarm Information
Null
Handling Process
1. Execute display current-configuration command to check the configurations of device, and no problem is found. 
2. Execute displayaccess-userusername xxx@isp command to check the online user, and it does not get address; use display access-user user-id xxx command to check the specific entries, and the IP address of the user is 255.255.255.255.
3. Execute displayaaaoffline-record command to check the offline reason, and it is cmtimeout(110).
4. Execute trace command for the MAC of the user, as follows: 
The result shown by trace command indicates that a virutal connection is created at MA5200F when the user sends the PADI packets. 
【--[2005/6/115:51:26-][PPPOE][xxxx-xxxx-xxxx]:Createvirtualaccess,sendPAD
Spacketsuccessfully(SessionID=1799)】
BAS transmits authentication request packets to RADIUS, but RADIUS returns the packets denying the authentication. 
--[2005/6/115:50:21-][RADIUS][000d-880c-0b76]:ReceiveAuthrejectpacketfrom
radiusserversuccessfully(IP:192.168.176.36,Port:1812,ID:231)
Thus, MA5200F will cut the entries of virtual connection, after which the user transmits PADI packets at once, and another entry for the virtual connection is set up at MA5200F. Likely, the problem is located. 
5. Delete the portvlan and then the problem is solved. 
Note: If a user transmits request to access network frequently in a short time, delete the portvaln of MA5200F, or de-activate the interface of lower layer device connecting with user; additionally, a function to depress the times of pppoe dialing is added to MA5200F 7147, which comes true through the ppp connection chastern command in system view. For instance: 
[MA5200G]ppp connection chasten 10 60 30 
Meaning: Each user can dial ten times only in 60 seconds; if it exceeds the number, and the user dials in the last 30 seconds of 60, the system will cut the user in PPP stage, without transmitting authentication packets to radius.
Root Cause
The entries of pppoe users can create pre-connection entries when they receive PADI packets, namely the online information by display access-user command. When the authentication fails, the entries will be deleted at once. 
In the case, the user attempts to dial consistently, and a new pre-connection entry will be created when the system deletes the existing. Therefore, the display access-user command can help find the entry of pre-connection of the user.  In fact, the user does not come online, and the user-id found by display access-user command differs each time because the entry updates frequently. 
Suggestions
Null

END