因MA5200F配置loopback0地址导致radius认证失败案例

发布时间:  2012-07-26 浏览次数:  119 下载次数:  0
问题描述
某MA5200F,下带PPPOE用户,pppoe用户认证方式为radius认证,radius上注册的NAS IP为MA5200F的上行接口地址,设备一直正常运行。
某日,对此MA5200F进行了网络优化,配置了loopback0地址,但配置此地址后,radius用户认证失败。
     
            
告警信息

处理过程
1、此radius下带了全省的宽带拨号业务,由于其他局点业务均正常,且本MA5200F局点是在整改后发生的故障,因此,基本可排除radius侧原因。
2、在MA5200F上,debug  radius pac,看到大量code=3的拒绝包,拒绝的原因是NAS IP ERROR
    (1)检查5200F发出的radius包,发现radius包源地址已经由上行接口地址更改为loopback地址。
    (2)在radius服务器上,注册的地址是上行接口地址。
      因此,由于nas ip非法导致拨号用户认证不通过。
3、协调radius维护人员将MA5200F的nas ip更改为loopback地址后,问题解决。
根因

由于增加loopback0地址后,发送radius报文的接口地址变成了loopback0接口,而此地址在radius服务器上没有配置,所以报文就会被丢弃从而导致Radius报文没有响应,用户上线失败。

建议与总结

1、MA5200F如果没有配置loopback0地址,那发出的radius源地址是上行接口地址。
2、MA5200F如果配置loopback0地址后,radius包的源地址自动更改为loopback0地址。

 因此,在对MA5200F进行有关loopback地址的调整和优化工作中,需要特别注意此点。
 
      

END