MA5200F R007由于漫游域功能开启导致设备上存在未配置的域的在线用户

发布时间:  2012-07-26 浏览次数:  79 下载次数:  0
问题描述
版本:MA5200F  Version 2.10 RELEASE 7127
用户名:test@adsl(与客户用户名无关)
问题现象:设备上未配置名为adsl的域,但display access-user username test@adsl查看,该用户正常在线。

告警信息


处理过程
1、登录设备使用display domain查看,的确不存在adsl域,但使用display access-user username test@adsl查看,该用户在线。
2、通过display access-user username test@adsl查看到的该用户的在线信息了解到其所在的端口为18端口,VLAN为2203。
3、display portvlan ethernet 18 vlan 2203查看该用户所在的portvlan的信息,发现roam domain是on,由于漫游域开关打开,当有用户携带MA5200F本地未配置的域名上线时会自动使用漫游域下的认证计费方案去认证、计费,如果此时能认证通过,则用户可正常上线。
4、将portvlan下的road domain关闭后问题解决。

根因
1、roam-domain命令用于打开portvlan的漫游域开关,并配置portvlan的漫游域,当用户输入不可识别的域名即本地不存在的域名时,以portvlan下配置的漫游域作为用户的归属域进行认证。undo roam-domain命令用于关于portvlan下的漫游域开关,此时用户输入不可识别的域名时,直接返回认证失败信息。
2、缺省情况下,7143以前的版本portvlan下的漫游域开关打开,但漫游域无法指定,当漫游域开关打开时以portvlan下配置的缺省认证域(即default-domain authentication xxx配置的域)作为用户的归属域进行认;7143及其以后版本漫游域同样是打开的,缺省的漫游域是default1域,可在端口VLAN下配置漫游域。当用户输入不可识别的域名时,以端口VLAN配置的漫游域作为用户的归属域进行认证。

END