Users cannot Access Network because MA5200F does not Recognize Extended Attributes Flooded by Radius

Publication Date:  2012-07-27 Views:  58 Downloads:  0
Issue Description
Version: MA2.10-7147 (independent of version)
Symptom: Radius port is itellin. Clients dial and it prompts false"676 user is busy". User cannot access network. Turn on Radius adjustment switch and find that MA5200F receives authentication response (succeed, auth-accept) but not sends account packets. So user cannot access network.
Alarm Information
Null 
Handling Process
1. Data configuration is not problematic. 
2. Open Radius adjustment packets with debugging radius packet. After MA5200F sends code=1 authentication request packets, it receives code=2 authentication response packets from Radius server. But MA5200F does not continue to send code=4 account request packet and sends code=1 packet again. Radius returns code=3 packet and indicate “card number is used by others”. 
3. Check code=2 packet, as follows:
  Code    : 2                                                                   
  Len     : 106                                                                 
  ID      : 112                                                                 
  [User-name(1)                       ] [20] [ad55000000@itellin]               
  [Acct_Interim_Interval(85)          ] [6 ] [900]                              
  [Input_Peak_Rate(26-1)              ] [6 ] [5242880]                          
  [Input_Average_Rate(26-2)           ] [6 ] [524288]                           
  [Input_Basic_Rate(26-3)             ] [6 ] [524288]                           
  [Output_Peak_Rate(26-4)             ] [6 ] [10485760]                         
  [Output_Average_Rate(26-5)          ] [6 ] [1048576]                          
  [Output_Basic_Rate(26-6)            ] [6 ] [1048576]                          
  [Priority(26-22)                    ] [6 ] [4294967295]                       
  [Connect_ID(26-26)                  ] [6 ] [397]  
Others are extended attributes supported by Radius + 1.1 except that the attributes of number 1 and number 85 are standard. Defaulted Radius protocol of MA5200F is standard and cannot recognize all these extended attributes. So MA5200F does not send code=4 packets and users cannot access network. Change Radius protocol of MA5200F and itellin as radius+1.1, the problem is solved. The command is as follows: 
[MA5200F-radius-huawei]radius-server type portal
Root Cause
Radius does not match MA5200F. Default Radius protocol at MA5200F is standard, but Radius uses Radius extended protocol. Send extended Radius attribute in code=2 packet but MA5200F does not recognize them. So users cannot access network. 
Suggestions
For all MA5200 serials, when Radius receives successful authentication packet but not sends account packet. As a result users cannot access network. Generally, the attribute of authentication packet is false or MA5200 does not recognize. Check the consistency of MA5200 and Radius protocol. If not, change them as the same. If it is consistent and not send account packet, attribute number maybe false. Open debugging switch and check whether received Radius packet is correct or not and the format is consistent with MA5200.

END