MA5200G下如何强制用户在域下进行认证

发布时间:  2012-07-26 浏览次数:  71 下载次数:  0
问题描述
某局点一MA5200G,客户反映下挂很多用户不需认证就可就上网。
      
告警信息

      
      
处理过程
查看端口下bas视图中的配置,发现配置如下:
interface Ethernet6/0/1.1
 user-vlan 1050 2049
 pppoe-server bind virtual-template  1
 undo shutdown
 bas
  access-type layer2-subscriber  default-domain  authentication adsl
#
interface Ethernet6/0/1.2
 user-vlan 307
 pppoe-server bind virtual-template  1
 undo shutdown
 bas
  access-type layer2-subscriber  default-domain  authentication vlan  authentication-method  bind
其中adsl为拨号用户所在的域,radius认证计费;vlan为管理用户所在域,不认证不计费。
用户正常拨号时用户名是不带域名上到5200g的,这样5200g就将此用户放到默认的域也就是adsl域下,这时将根据adsl域下配置的认证计费策略去对用户做鉴权;如果用户在拨号时采用XXX@vlan格式时则5200g会将该用户放到vlan域中,而vlan域是不认证不计费的且vlan域与adsl域采用的是同一地址池,这样就会出现上述问题。
解决方法:可以在端口下的bas视图中将用户强制到adsl域中进行认证
interface Ethernet6/0/1.1
 user-vlan 1050 2049
 pppoe-server bind virtual-template  1
 undo shutdown
 bas
  access-type layer2-subscriber  default-domain  authentication force/replace adsl
采用force还是replace方式还得根据radius的设置而定。采用force时,用户在输入帐号的时候,无论用户是否输入域名或用户输入什么域名,5200g都按此强制认证默认域的认证、计费及RADIUS策略去认证计费,但在认证的时候不改变用户输入的域名(如果没输入则加上此强制认证默认域的域名)。使用repalce时,与force情况类似,只是在认证时强制用户的域名为force指定的。
这样的话如果MA5200G在radius组中配置了undo radius-server user-name domain-included的话,则上送用户名密码至radius时是不带着域名的,这种情况下配置force或replace都是可以的;若没有配置该命令,则最好配置成replace,这样用户拨号时无论用户是否输入域名或用户输入什么域名只要用户名和密码正确都可以正常认证,接入网络。
第二种方法就是将拨号用户的地址池与管理用户的地址池区分开来,并将管理用户的地址池全部exclude出去,这样用户即使上到vlan在域中也得不到任何的地址。
还有一种方法就是对管理用户所在的域配置为本地认证,这样也可防止非法用户接入。
      
      
根因
查看在线用户时发现这些用户是从静态用户所在的域vlan域上来的,而vlan域基本用于设备的管理地址,所以是不认证不计费的,这样如果用户在pppoe拨号时的用户名中加入域名如XXX@vlan的话这样不需认证和计费就可以接入网络。
      
      
建议与总结
今后的配置中最好能将pppoe用户与管理用户的地址池区分开来,或配置管理用户为本地认证,这样可以防止此类现象。
      
      

END