MA5200G未配置授权服务器导致远程RADIUS服务器强制用户下线不成功

发布时间:  2012-07-26 浏览次数:  136 下载次数:  0
问题描述
某局使用MA5200G做为BAS设备,远程radius认证、计费。radius服务器通过eudemon500作为内部服务器接入。在MA5200G配置完成后,用户可以正常注册、计费,但是当从radius服务器主动发起强制用户下线的报文后,接入用户依然正常上线,该功能无法正常使用。
      
告警信息

处理过程
1、首先根据从用户端发起认证请求,能正常上线,判断MA5200G配置应该没有问题。
2、在MA5200G上打开debug radius packet开关,没有收到radius发来的type=40的强制用户下线报文,判断问题出在前一级设备。
3、在防火墙两侧抓包分析发现radius服务器已发送此报文,防火墙也正常转换、转发此报文。
4、问题回到MA5200G上,通过使用debug ip packet acl **** 查询MA5200G收到的IP报文,发现MA5200G收到此报文,但是没有正常进行处理切断用户。
5、仔细查找MA5200G的配置文件,发现为没有配置全局的radius授权服务器所制,radius-server authorization ipaddress shary-key,增加此命令,在radius服务器上测试强制用户下线,MA5200G通过debug radius packet能查询到相关报文,用户正常下线。
根因

因为MA5200G没有配置授权服务器的地址,导致radius下发切断用户的报文会被认为是非法报文,所以无法切断用户。

建议与总结
除了DM(code=40,用于切断用户)的报文外,COA(code=41,用于修改用户的属性)报文也需要配置授权服务器才能生效。

END