NE80E配置错误导致radius认证不能主备切换

发布时间:  2012-07-26 浏览次数:  204 下载次数:  0
问题描述
NE80E采用主备radius服务器对接入用户进行认证,配置如下:
radius-server template wgzx1
 radius-server shared-key sxnoc
 radius-server authentication 218.xx.xxx.9 1812 source LoopBack 0
 radius-server authentication 218.xx.xxx.8 1812 secondary
aaa
 authentication-scheme default
  authentication-mode  radius  local
 domain default
  radius-server wgzx1
user-interface vty 0 4
 acl 2010 inbound
 authentication-mode aaa
用户反映主radius server down掉后,无法使用radius口令登录设备。
      
告警信息

处理过程
在ne80e配置以loopbak0向备用radius发消息后用户可以使用radius帐号登录,修改后配置如下:
radius-server template wgzx1
 radius-server shared-key sxnoc
 radius-server authentication 218.26.127.9 1812 source LoopBack 0
 radius-server authentication 218.26.127.8 1812 source LoopBack 0 secondary
查看备用radius状态为state-up,disp radius-server confi查看配置也变为
 Server-template-name             :  wgzx1
  Protocol-version                 :  standard
  Traffic-unit                     :  B
  Shared-secret-key                :  sxnoc
  Timeout-interval(in second)      :  5
  Primary-authentication-server    :  218.xx.xxx.9:1812:LoopBack0
  Primary-accounting-server        :  0.0.0.0:0:LoopBack0
  Secondary-authentication-server  :  218.xx.xxx.8:1812:LoopBack0
  Secondary-accounting-server      :  0.0.0.0:0:LoopBack0
  Retransmission                   :  3
  Domain-included                  :  NO
      
根因
检查radius配置,NE80E使用LoopBack-1向备用radius发送认证消息
[ne80e]disp radius-server confi
 Server-template-name             :  2
 Protocol-version                 :  standard
 Traffic-unit                     :  B
 Shared-secret-key                :  huawei
 Timeout-interval(in second)      :  5
 Primary-authentication-server    :  218.xx.xxx.9:1812:LoopBack0
 Primary-accounting-server        :  0.0.0.0:0:LoopBack0
 Secondary-authentication-server  :  218.xx.xxx.8:1812:LoopBack-1
 Secondary-accounting-server      :  0.0.0.0:0:LoopBack0
 Retransmission                   :  3
 Domain-included                  :  YES
在隐含模式下查看radius服务器状态,发现主备服务器状态都为down
[ne80e-hidecmd]disp radius-server item tem wgzx1
  Type       = auth-server
  State      = state-down
  AlarmFlag  = false
  STUseNum   = 1
  IPAddress  = 218.xx.xxx.9
  Type       = auth-server
  State      = state-down
 AlarmFlag  = false
  STUseNum   = 1
  IPAddress  = 218.xx.xxx.8
询问用户得知使用218.xx.xxx.8作为主用的设备登录均正常,查看命令手册得知配置radius server时若未指定源地址,则以接口地址向radius发送消息。而radius在增加设备信息时是以设备Loopback0作为标识,接收到其他源地址发来的消息认为非法,不予应答,在NE80E便会看到备用状态为down。
建议与总结

      

END