由于修改用户组号对用户没有实时生效导致取消用户上网限制失败

发布时间:  2012-07-26 浏览次数:  83 下载次数:  0
问题描述
MA5200修改用户所属的UCL组后对于已在线用户不起作用,使得用户还是受到acl的限制无法上网。
告警信息

处理过程

1、MA5200F上对于网吧用户配置中关于定时限制上网的acl:

acl number 3001 match-order auto
 rule 16 net-user deny ip destination 1 time-range wangba 
 rule 17 user-net deny ip source 1 time-range wangba 
time-range wangba 00:00 to 07:00 daily 
access-group 3001

2、在本地帐号中将关于ucl-group的配置恢复为了默认组0:

[MA5200F-local-aaa-server] batch-user ethernet 2 0 2 domain 163.net ucl-group 0

该用户还是会在00:00 to 07:00之间无法上网。使用display access-user 发现,用户已经长期在线达4~5天之久,ucl-group还是在acl被禁用的组1。证明新的配置对用户没起作用,所以用户还是会定时无法上网。
3、将这些用户使用cut命令切断,重新上线后问题得到解决。

根因

客户想取消用户上网的限制,修改了用户的UCL组号,但是组号的修改对在线用户是不生效的,所以取消用户上网限制失败,用户重新上下线即可。

建议与总结
对于MA5200F/G,在查看用户在线信息中还可以看到目前在线用户所属的ucl-group和inter-group,这些信息的修改无法直接自动更新到已经上线的用户中,都需要重新认证后才可以应用成功。

END