MA5200F上VLAN下做了接入限制,在取消接入限制后不生效

发布时间:  2012-07-26 浏览次数:  96 下载次数:  0
问题描述
版本:MA2.10-7XXX
MA5200F上VLAN下做了接入限制,每个VLAN只能接入一个用户,用户接入类型为PPPOE,采用radius认证、计费,在将规则实施后,有个别用户要求能接入多个用户,在将个别用户的接入限制修改为大于一个时,用户端仍然只能接入一个用户。

告警信息

处理过程
将VLAN下接入用户数量限制为1时,用户端只能接入一个用户,说明该规则是可以起作用的。但将该规则取消后,仍然只能接入一个用户。根据用户提供的端口号和帐号进行了以下测试:
1、用户提供了15端口下的某帐号存在只能接入一个用户的问题,查看portvlan下的数据配置,没有配置接入数限制,同时确认在radius上没有做接入限制;
2、在MA5200F上做trace操作,跟踪该帐号的拨号情况,跟踪结果中无拨号信息,怀疑用户提供的信息有误;
3、询问用户提供给我们的15号端口是根据radius的记录得到的,检查MA5200F的数据配置中发现有port-to-username  logic命令,MA5200F 7xxx系列版本中配置有port-to-username  logic命令后,MA5200F上报给radius的端口号是实际的物理端口号相差1,即上报给radius的逻辑端口号与实际物理端口号之间的关系是:上报给radius的逻辑端口号=实际物理端口号-1,对于该局点来说,虽然用户申告的15端口(从RADIUS查到是15端口),实际应该是16端口下的用户;
4、检查16端口下的相关VLAN配置,发现该VLAN的portvlan下配置了access-limit 1,取消该命令后,用户申告的帐号可以接入多个用户,至此,问题解决。

根因
MA5200F7xxx系列版本中配置有port-to-username  logic命令后,MA5200F上报给radius的端口号是实际的物理端口号相差1,即上报给radius的逻辑端口号与实际物理端口号之间的关系是:上报给radius的逻辑端口号=实际物理端口号-1,对于该局点来说,用户申告的15端口,实际应该是16端口下的用户。


END