FAQ-MA5200FR007常见下线原因说明

发布时间:  2012-07-26 浏览次数:  79 下载次数:  0
问题描述
Q:MA5200F R007使用display aaa offline-record可以查看用户的下线原因,对于常见的一些下线原因的解释如下

告警信息


处理过程

A:
1、user request to offline
   用户主动请求下线,此下线原因是正常情况
2、PPP echo fail/ARP detect fail/802.1x handshake fail
这三类原因都属于握手失败,对应的用户分别是PPPOE用户、VLAN用户和802.1X用户。根本原因是MA5200F向用户发出握手报文(三类用户分别是ARP、ECHO、EAP报文),连续多次都没有收到用户的响应报文,MA5200F认为用户已经异常断线,所以切断用户。常见的情况如:网线脱落、终端异常关机、链路DOWN、终端死机、链路捅塞及用户病毒导致主机CAR限制等。对于网络脱落、终端导常关机、终端死机、链路DOWN的情况都属于不可控因素,只能尽力避免。如果终端和链路状态都正常,用户仍然频繁异常断线,则应当首先查看二层网络流量是否正常,是否存在广播风暴导致二层网络捅塞的情况,这种情况下从终端PING MA5200F(或从MA5200 PING用户)时应当也会产生较大丢包。
解决建议:如果是因为二层网络捅塞或者用户有病毒造成用户到主机的CAR限制丢包时,最根本的解决办法是优化二层的网络(包括给客户端杀毒)。同时,可以通过调整MA5200F上握手间隔及次数缓解此类问题,需要说明的是:修改握手的时间隔和次数并不能从根本上解决问题,而且在用户出现异常关机、死机、线线脱落等情况掉线时,计费的误差会变大。对应的调整命令:
VLAN用户:[MA5200F]user detect
PPPOE用户:[MA5200F-Virtual-Template1]ppp keepalive
DOT1X用户:[MA5200F-dot1x-template-1] keepalive retransmit
其它:如果通过以上方法还无法判断问题,则可以通过抓包的方法来定位,即在MA5200F端口与交换机间加上HUB或直接在交换机上配置端口镜像来查看MA5200与客户端之间握手报文的交互过程来判断问题。
3、message to client timeout
用户拨号认证过后处于稳定态了,如果此时用户端又发了一个上线请求报文过来,就会再次处于协商态,导致出现异常。正常情况下是不应该发的,所以说是客户端有问题导致的。用户已经在线,但客户端又发了PPP协商报文上来,MA5200F回应报文了,如果这个时候用户没有返回报文的话就会有这种情况。
4、CM IP address alloc fail
分配地址失败。可能是地址池中没有地址,也可能是用户所在的域下根本未指定地址池。
解决建议:检查地址池的相关配置
5、CM Ifnet down 
用户接入的MA5200F的以太网端口状态DOWN导致的掉线
处理建议:检查端口UP/DOWN的原因,比如网线、端口工作模式等
6、WEB user request
WEB用户正常下线。
如果用户反馈为异常下线而且对应此原因,则是WEB认证用户心跳超时。WEB认证的用户在认证成功后,为防止客户异常关闭WEB认证客户端,会定时给WEB认证客户端发送报文检测(心跳),如果WEB认证客户端被异常关闭,心跳报文就会无响应,连续多次无响应时WEB服务器就会通知MA5200用户由于心跳超时断线。
解决办法:检查客户端和WEB服务器的通信是否正常,二层网络是否存在丢包等(参考上面握手失败的方法)。检查客户端是否启用了VPN业务,在某些情况VPN业务中会导致客户端的报文全部走VPN转发从而造成心跳失败。如果用户对计费时间不敏感,可以在服务器上关闭心跳报文。
7、LNS clear session
LNS清除SESSION,LNS拆链
8、AM lease timeout
DHCP租期到,没有收到用户的续租报文,切断用户
9、DHCP server nak
DHCP服务器拒绝。一般是地址已经被分配,但IP/ARP触发上线还还想要这个地址
10、DHCP time out 
DHCP过程超时
11、DHCP decline
客户端拒绝
12、CM time out
MA5200F配置了三层WEB认证,用户只要有IP报文,就会触发用户在认证前域认证,但是用户还要经过WEB认证才能真正上网,如果用户触发了认证前域认证过,但没有进行WEB认证,5分钟就会把用户给切断,下线原因就是cm time out。其它情况如果出现此类下线原因,一般是客户端异常中止上线过程导致报文消息超时,不需要关心。
13、Srvcfg cut command
命令行切断
14、CM AAA connect check fail
表项检查不一致,如果此类原因较多,请与华为公司800联系。
15、Idle cut
闲置切断用户。用户在某段时间内的流量小于MA5200F上设定的流量值,MA5200F会主动将用户切掉。
解决建议:如果没有闲置切断的要求,可以在域下使用undo idle-cut关闭闲置切断功能;如果是RADIUS下发的数据,可以在RADIUS禁止下发此属性,也可以在MA5200F上使用RADIUS属性转换工作禁止闲置切断属性生效。
16、session time out 
会话超时。由RADIUS下发27号属性,即session-timeout属性的值为0时导致用户掉线,该属性是由RADIUS定义的用户上网所剩余的时间。
处理建议:请检查RADIUS为什么会下发session-timeout=0,是否是预付费帐号没有钱等;
17、ppp authentication fail
PPPOE用户认证失败。一般是由于用户名密码错误或者端口VLAN等信息错误导致。
18、AAA_RTACCTFAIL
用户实时计费失败下线。用户在线后,为减小计费的误差,每隔一定的时间(默认12分钟)MA5200F即会向AAA服务器发送一次用户计费的报文,如果在配置的次数内计费报文都得不到响应,MA5200F就认为实时计费失败,从而切断用户。
解决办法:如果是本地认证的用户,检查是一个本地话单池是否还有空余的空间,本地FLASH是否还有空余空间。如果设置了话单TFTP备份服务器,TFTP服务器是否工作正常,话单是否可以正常向TFTP服务器备份;如果是RADIUS认证的用户,需要检查到RADIUS工作是否正常,到RADIUS链路是否正常以及RADIUS是否支持实时计费报文。对于RADIUS不支持实时计费的情况,可以在MA5200上把实时计费报文关闭。


根因


END