Users Fail to Come Online Because Radius Packets Are Filtered by Firewall Which Is Caused by that the Dialup of Users under MA5200 Increase Suddenly

Publication Date:  2012-07-27 Views:  113 Downloads:  0
Issue Description
Version: independent of version and equipment type. 
Topoloyg: Users--LS2--MA5200G--Internet--firewall--RADIUS
Symptoms: Dialup users under MA5200 cannot come online suddenly in a time, and the online users can access network normally. 
Alarm Information
There are a great deal of alarms on repeated up/down of radius.
Handling Process
1. Other MA5200s using the same radius and in the same domain work well, indicating RADIUS works well. 
2.No packet is discarded in ping of MA5200 to radius, and the delay keeps consistent. 
3. Execute debug radius command, and it is found that there is no response for the accounting packets of code 4 (change configuration to ignore the accounting failure as to restore the services).
4. Check the records on the access of MA5200 users, and it is found that dialup increases suddenly, and some suers dial crazily; also, some users stay online for a very short time (accessed users) and they dial again after getting offline, repeating the access process. 
5. Check the radius server. According to the records on the server, all the radius request received have been replied the packets of code 4. However, comparing with the packets transmitted by MA5200, a lot of request packets do not reach RADIUS. Later, it is found that the radius server is under the protection of a state firewall. Capture packets at the firewall, and it is found that all the request packets from MA5200 have reached the firewall, but most of them are filtered by the firewall. The radius traffic at MA5200 increase greatly because a large number of users under MA5200 perform the operation to get online and drop offline. This triggers hte protection scheme of firewall for radius server, and the firewall discards some packets. 
6. Adjust the parameters of firewall, and send all the packets to radius, and the problem is solved completely.  
Root Cause
1. Radius is problematic. 
2. The link from MA5200 to radius is problematic. 
3. Packet interactions between MA5200 and radius fails. 
Suggestions
Through investigation, it is found that some users are infected by virus, and they transmit PPP termination packets after dialing in, and RADIUS packets also. The victim users congest the communication between MA5200 and radius, and influence other users who have to dial up many times because they cannot come online through once dialup. Therefore, more users are influenced, and a great deal of users cannot access network. 

END