LNS上用户验证方案错误导致L2TP不通

发布时间:  2012-07-26 浏览次数:  171 下载次数:  5
问题描述
组网情况:某单位用户通过家庭ADSL接入城域网,用MA5200G作BAS,同时作L2TP隧道的LAC。该单位内部的一台AR46路由器作LNS,通过AR46接入企业私网。
故障现象:用户通过ADSL可访问公网(互联网),但访问不了企业私网。
告警信息

处理过程
于是将验证方案改为Radius验证后,用户可访问私网。
根因
查找原因思路:按照PPPoE用户建立L2TP隧道的流程逐段排查。
用户能访问公网,表明从用户终端到DSLAM设备再到BAS的通信都是正常的。于是查看L2TP隧道是否能正常建立。在LAC和LNS上抓包,看出L2TP会话也建立成功。按照流程,隧道会话建立后,应在LNS上进行第二次的用户身份验证。检查LNS的配置,发现域下未配置authentication scheme。按系统缺省,未配置scheme则为本地验证。经查看,LNS上无本地用户数据库,LNS上无法找到用户名,因此不能验证成功。
建议与总结
1、注意:PPPoE用户通过L2TP访问私网根据配置情况有时需要两次身份验证。
2、遇到故障时,一般要按照设备上应用的业务的流程来排查。

END