因为RADIUS下发IP地址错误导致MA5200下用户radius认证不通过问题的处理

发布时间:  2012-07-26 浏览次数:  94 下载次数:  0
问题描述
版本:MA5200 R009版本(与版本无关)
现象:MA5200下PPPoE用户拨号是认证通不过(帐号:lslan3320712),提示用户名密码错误,而换个帐号(帐号:lslan9370084)就可以。但是把帐号lslan3320712换到其他BAS下可以正常拨号上网。

告警信息


处理过程
1、登陆到设备,查看数据,告警都正常;
2、抓debug报文,发现lslan3320712这个帐号拒绝认证的信息为:Bad ip address form(或ip allocate fail等IP地址分配失败的告警,不同的设备提示可能不相同);
3、把两个帐号的报文对比一下,发现两个帐号中Framed-IP-Address下发的属性不一样;
  lslan3320712中 Framed-IP-Address属性下发的是0.0.0.0.
  lslan3170084中 Framed-IP-Address属性下发的是255.255.255.254
  查看radius属性解释 
  Framed-IP-Address: 代表用户的IP地址。对于PPP用户,可由RADIUS服务器为用户分配地址,若服务器为PPP用户分配地址,合法地址为A类或B类或C类地址, 但地址不能为0.0.0.0, 也不能为127.***.***.***。 若RADIUS200为用户分配地址,那么服务器将Framed-IP-Address 赋值为0xFFFFFFFE。RADIUS也可以直接给用户分配IP地址,例如给用户的IP地址为8.0.0.7, 此IP地址用十六进制表示为0x08000007,因此服务器将Framed-IP-Address赋值为0x0800007;
4、让客户在radius server上把lslan3320712这个帐号中Framed-IP-Address属性改成255.255.255.254后,用户可以正常拨号上网。

根因

RADIUS认证的用户无法认证通过的问题可能有:
1、BAS配置数据问题;
2、RADIUS服务器配置问题;
3、RADIUS下发属性BAS不识别
4、帐号问题;
对于此案例主要是由于RADIUS下发了Framed-IP-Address,但是此属性的值MA5200认为非法,从而导致RADIUS用户上线失败。


END