radius服务器下发地址与MA5200G的地址冲突导致用户分配地址失败

发布时间:  2012-07-26 浏览次数:  89 下载次数:  0
问题描述
用户所在域中共有6个地址池,会随机的出现前面地址池使用率较高的时候用户很难分配IP地址问题,导致用户无法获得IP地址上网,只有等前面地址池中用户下线后才能获得前面地址池中的地址上网。有时还会出现第一个地址池中地址分配完后,第二个地址池就很难分配IP地址,出现问题时报警为fail to alloc ip address。


告警信息
不断出现以下告警:
fail to alloc ip address


处理过程
有两个方案可以很好的解决这个问题:
1、在MA5200G上本地地址池中禁用所有radius下发的地址或不配置相应地址段的section信息。
2、IP地址的发放由MA5200G来完成,禁止radius向用户下发IP地址。


根因

初一看告警象是IP地址分析失败,那最可能的原因是域中的地址不够了,但仔细分析发现:
用户所在域中共有6个地址池,一个地址有4个C网段,共有IP地址数为24×256=6144个,而在线用户也就4千个左右,这说明IP地址总数足够多,地址池地址并未耗尽。
查看MA5200G上的有关配置,也无问题。
进一步分析:
发现有用户使用radius分配的地址:10.47.222.222
 [5200G]display access-user ip-address 10.47.222.222

  User access index             : 7807
  State                         : Used
  User name                     : user@isp
  User access Interface         : Ethernet5/0/5.1
  User access inner VLAN        : 101
  User MAC                      : xxxx-xx6c-aaf9
  User IP address               : 10.47.222.222
而查看地址池包含该地址。
[5200G-ip-pool-huawei]display this
#
ip pool huawei local
 gateway 10.47.216.1 255.255.248.0
 section 0 10.47.216.2 10.47.219.255
 section 1 10.47.220.1 10.47.223.254
 观察其它几个地址也同样出现以上现象。
从以上信息得出结论:
用户从地址池中得到MA5200G分配的地址时,该地址已与radius下发的地址相同,这样就会产生地址冲突,导致用户无法上线,同时MA5200G会发出地址分配失败的告警。


END