由于radius返回错误的属性导致MA5200G的l2tp业务不通

发布时间:  2012-07-26 浏览次数:  68 下载次数:  0
问题描述
MA5200G版本:VRP3.30-2211
组网为:PC--RTU---MA5100--MA5200G(做为LAC侧)--路由器(做为LNS侧),用户首先拔号到MA5200G上,由MA5200G再送往RADIUS服务器上由RADIUS认证并下发相关L2TP属性,RADIUS认证通过后由MA5200G与路由器建立L2TP遂道。
配置后用户测试发现RADIUS能认证通过,但是L2TP遂道无法建立,用户上线失败。

告警信息


处理过程
1、由于MA5100上用户可以正常的PPPOE,说明链路正常;
2、检查MA5200G的数据配置,配置也都正确;
3、在MA5200G上执行DEBUG RADIUS、DEBUG L2TP ALL打开调试开关。
捕获到了radius返回的code 2的报文(认证通过),但是没有任何l2tp的报文。
 Radius Received a Packet                                                      
  Server Template: 1                                                            
  Server IP   : ××××××
  Server Port : 1645                                                            
  Protocol: Standard                                                            
  Code    : 2                                                                   
  Len     : 70                                                                  
  ID      : 99                                                                  
  [Tunnel-Type                        ] [6 ] [1][3]                             
  [Tunnel-Medium-type(65)             ] [6 ] [1]                                
  [Tunnel-Server-Endpoint(67)         ] [17] [×××××]                  
  [Tunnel-password                    ] [21] [01901d2ac8d8c103f0909d375aa9afd718349d]      
分析该报文,发现tunnel type和password属性里面带了tag域01,其他属性没带,而且只下发了一组L2TP参数,这就导致MA5200G无法正确接收参数,不能建立L2TP遂道。
4、调整radius下发报文的tag域属性后,解决了问题。

根因

造成此类现象可能的原因有:
1、用户PPPOE拔号报文没有送到MA5200G上;
2、MA5200G上的数据配置有数误;
3、MA5200G与路由器的隧道建立有问题;
4、RADIUS没有认证通过,或下发的属性不对。本案例即属于此原因,RADIUS下发了相关的参数,但是有的属性带了TAG域,有的没有带,导致用户建立L2TP遂道失败。


建议与总结
RADIUS下发L2TP参数时可以同时下发多组,每组里都包括遂道类型、服务器地址、密码等相关参数,那么这么参数怎么知道哪些参数是同一组的呢?就通过TAG域来标识,TAG域值相同的是同一组的参数。所以如果RADIUS下发的参数带TAG域,则同一组里的每个参数都要带TAG域,这在下发多组参数的时候是必须的;如果只下发一组参数时,可以不带TAG域,但要求必须所有的参数都不带。

END