FAQ-MA5200设备出现radius认证无响应问题应该如何处理

发布时间:  2012-07-26 浏览次数:  90 下载次数:  0
问题描述

Q:MA5200设备出现radius认证无响应问题应该如何处理?

告警信息
处理过程

A:
RADIUS认证报文没有响应是指在打开调试开关后,发现只能看到MA5200发出了认证请求,但是没有收到任何响应报文(接受或拒绝),debugging调试信息如下所示:

* [0.2753240-] RDS-8-02033000:
  Radius Sent a Packet
  Server Group: 2
  Server IP   : 10.164.45.213
  Protocol: Standard
  Code    : 1
  Len     : 275
  ID      : 2
  [User-name(1)                       ] [10] [user@isp]
  [Challenge-Password(3)] [19] [018a95cb536c7c200089313136899fe0e2]
  [CHAP-Challenge(60)] [18] [84c1d33d0796f1bbae4bcfbf626b4220]
  [NAS-Port(5)                        ] [6 ] [4096]
  [Service-Type                       ] [6 ] [2]
  [Framed-Protocol(7)                 ] [6 ] [1]
  [Calling-Station-Id(31)             ] [19] [00:06:5b:6c:aa:f9]
  [NAS-Identifier(32)                 ] [9 ] [MA5200F]
  [NAS-Port-Type(61)                  ] [6 ] [15]
  [NAS-Port-Id(87)] [34] [slot=0;subslot=0;port=1;vlanid=0]
  [NAS-Startup-Timestamp(26-59)       ] [6 ] [1091611850]
  [Ip-Host-Addr(26-60)] [35] [255.255.255.255 00:06:5b:6c:aa:f9]
  [Connect_ID(26-26)                  ] [6 ] [5]
* [0.2753240-] RDS-8-02033000:
  [Version(26-254)] [58] [Huawei SmartAX MA5200 Software Version 2.10 RELEASE 7127]
  [Domain-name(26-138)                ] [5 ] [isp]
  [NAS-IP-Address(4)                  ] [6 ] [10.164.45.42]
\\下面两个报文是上面报文的重发报文,报文内容完全相同,说明我们发出的RADIUS认证请求没有响应
 
* [0.2758230-] RDS-8-02033000:
  Radius Sent a Packet
  Server Group: 2
  Server IP   : 10.164.45.213
  Protocol: Standard
  Code    : 1
  Len     : 275
  ID      : 2
  [User-name(1)                       ] [10] [user@isp]
  [Challenge-Password(3)] [19] [018a95cb536c7c200089313136899fe0e2]
  [CHAP-Challenge(60)] [18] [84c1d33d0796f1bbae4bcfbf626b4220]
  [NAS-Port(5)                        ] [6 ] [4096]
  [Service-Type                       ] [6 ] [2]
  [Framed-Protocol(7)                 ] [6 ] [1]
  [Calling-Station-Id(31)             ] [19] [00:06:5b:6c:aa:f9]
  [NAS-Identifier(32)                 ] [9 ] [MA5200F]
  [NAS-Port-Type(61)                  ] [6 ] [15]
  [NAS-Port-Id(87)] [34] [slot=0;subslot=0;port=1;vlanid=0]
  [NAS-Startup-Timestamp(26-59)       ] [6 ] [1091611850]
  [Ip-Host-Addr(26-60)] [35] [255.255.255.255 00:06:5b:6c:aa:f9]
  [Connect_ID(26-26)                  ] [6 ] [5]
* [0.2758230-] RDS-8-02033000:
  [Version(26-254)] [58] [Huawei SmartAX MA5200 Software Version 2.10 RELEASE 7127]
  [Domain-name(26-138)                ] [5 ] [isp]
  [NAS-IP-Address(4)                  ] [6 ] [10.164.45.42]
* [0.2763230-] RDS-8-02033000:
  Radius Sent a Packet
  Server Group: 2
  Server IP   : 10.164.45.213
  Protocol: Standard
  Code    : 1
  Len     : 275
  ID      : 2
  [User-name(1)                       ] [10] [user@isp]
  [Challenge-Password(3)] [19] [018a95cb536c7c200089313136899fe0e2]
  [CHAP-Challenge(60)] [18] [84c1d33d0796f1bbae4bcfbf626b4220]
  [NAS-Port(5)                        ] [6 ] [4096]
  [Service-Type                       ] [6 ] [2]
  [Framed-Protocol(7)                 ] [6 ] [1]
  [Calling-Station-Id(31)             ] [19] [00:06:5b:6c:aa:f9]
  [NAS-Identifier(32)                 ] [9 ] [MA5200F]
  [NAS-Port-Type(61)                  ] [6 ] [15]
  [NAS-Port-Id(87)                    ] [34] [slot=0;subslot=0;port=1;vlanid=0]
  [NAS-Startup-Timestamp(26-59)       ] [6 ] [1091611850]
  [Ip-Host-Addr(26-60)                ] [35] [255.255.255.255 00:06:5b:6c:aa:f9]
  [Connect_ID(26-26)                  ] [6 ] [5]
* [0.2763230-] RDS-8-02033000:
  [Version(26-254)                    ] [58] [Huawei SmartAX MA5200 Software Version 2.10 RELEASE 7127]
  [Domain-name(26-138)                ] [5 ] [isp]
  [NAS-IP-Address(4)                  ] [6 ] [10.164.45.42]
# [08/04/2004 10:17:26-] RDS-5-02032003:RADIUS authentication server(IP 10.164.45.213) is down!
\\默认情况下RADIUS报文重发两次(共三次)
 
业务跟踪(trace)的信息如下所示:
--[2004/8/4 10:17:21-][RADIUS][0006-5b6c-aaf9]:Send Auth req packet to radius server successfully(IP:10.164.45.213,Port:1812,ID:2 )
  --[2004/8/4 10:17:26-][RADIUS][0006-5b6c-aaf9]:Send fail message to AAA successfully(reason: Send count full,source msg:)
  --[2004/8/4 10:17:26-][   AAA][0006-5b6c-aaf9]:Receive notify of message send fail from RADIUS successfully(UserID = 5, soruce message = AAA->Radius authen request)
  --[2004/8/4 10:17:26-][   AAA][0006-5b6c-aaf9]:Fail to authentication because fail to send request packet to RADIUS server(UserID = 5, Code = 824)
\\trace信息中会打印发送认证请求报文到radius server失败,说明RADIUS器没有响应。
---------------
这种情况一般可能的原因如下:
1、RADIUS没有配置相应的对应这台MA5200的NAS-IP。
2、RADIUS和MA5200间的共享密钥(secret-key)不一致。
3、RADIUS和MA5200配置的端口号一不致。
4、RADIUS和MA5200上配置的协议类型不一致,比如RADIUS使用标准的RADIUS协议,而MA5200上配置的协议类型为iphotel(即RADIUS+1.0)等,要求必须配置一致。MA5200上配置协议类型为standard表示标准RADIUS协议,iphotel表示RADIUS+1.0协议,portal表示RADIUS+1.1协议。
5、到RADIUS的链路不正常,可以通过在MA5200的控制台PING RADIUS服务器的地址是否可以PING通来判断。
对1、2、3、4的情况只要检查即可发现是否有错误,对于5的情况,如果MA5200上无法PING通RADIUS,可以通过下面的方法来排除:
a、在MA5200上PING MA5200上行设备是否可以PING通;如果PING不通检查MA5200上行接口是否UP、检查两端的地址配置是否正确、端口工作模式是否一致,以上可以使用display interface命令,检查是否端口收到大量的错包,可以使用display traffic port命令。
b、在MA5200上PING外网一个知道的地址(如各地的DNS)是否可以PING通,如果PING不通检查MA5200上面是否有路由表项,使用命令display ip route可以查看。
c、如果以上两步都没有问题,但还是PING不通RADIUS服务器,说明MA5200是没有问题的,需要检查到RADIUS的其它链路,可以通过TRACERT的方式来检查哪一跳不通从而判断哪一个设备有问题。
 
如果对以上的内容都检查确认没有问题时还是无法收到RADIUS响应报文,则可能的原因是:
1、报文在中间设备被丢弃,RADIUS没有收到报文。
2、RADIUS收到报文但检查有错,丢弃报文。
3、RADIUS收到并响应报文,但是响应报文被丢弃。
4、RADIUS收到并响应报文,但是响应报文到达MA5200经过时间过长,超时被MA5200丢弃。
5、RADIUS收到并响应报文,但响应报文有属性MA5200不识别,被MA5200丢弃且未打印。
对于这些问题,需要RADIUS来配合检查,即可以通过打开RADIUS的调试信息观察是否收到了MA5200发出的认证请求报文,如果没有收到就需要确认报文在中间哪个设备上丢弃;如果收到但是检查有错,可以根据RADIUS提示的错误原因来解决问题;如果RADIUS收到报文并且响应,但MA5200却没收到响应报文,说明响应报文在中间设备被丢弃;对于上述1、3、4、5情况造成的原因时,确认的方法一般是抓包,抓包可以通过在MA5200和上行设备间加上一个HUB的方式来实现,也可以在上行设备做端口镜像,把MA5200F上行口的报文镜像后抓包观察;同时,对于由于响应报文超进被MA5200丢弃的情况,如果通过抓包确认响应报文的确需要较长的时间,可能通过修改MA5200上RADIUS报文超时时间间隔来解决问题:
[MA5200F-radius-huawei]radius-server timeout 8
\\把RADIUS报文超时时间设置为8秒,默认为3秒
根因
建议与总结

END