由于MA5200F认证前域的重认证时间设置问题导致三层用户ping上行丢包

发布时间:  2012-07-27 浏览次数:  156 下载次数:  0
问题描述
组网:PC---CMTS-MA5200F――S8500――NE40――Eudemon
故障现象:CMTS下用户在ping CMTS地址时没有丢包现象,在ping CMTS以上的MA5200F、S8500、NE40等设备都存在3%左右的丢包。
告警信息
查看用户下线记录,发现每秒钟都会有十几个用户频繁上下线,下线原因为Invalid,而且所有Invalid原因下线用户上线时间均为30秒。[MA5200FA-aaa]dis aaa offline-record time 16:10:00 16:10:01
  -------------------------------------------------------------------
  User name          : MA5200F-vlan-09-0000@default0
  User MAC           : ffff-ffff-ffff
  User access type   : ip
  User access slot   : 0
  User port type     : Ethernet
  User access port   : 9
  User access Vlan   : 0
  User IP address    : 10.91.30.154
  User ID            : 863
  User authen state  : Authened
  User acct state    : AcctIdle
  User author state  : AuthorIdle
  User acct sessionID: 090122160931a7f19c0500863
  User login time    : 2009/01/22 16:09:31
  User offline time  : 2009/01/22 16:10:01
  User offline reason: Invalid
处理过程
1、首先查看MA5200F设备数据配置均正确,CMTS设备与MA5200F之间链路质量良好,端口无CRC错误包增长。在CMTS与MA5200F之间的交换机上抓包发现:PC ping MA5200F及以上地址时存在MA5200F无reply响应报文,表明是MA5200F没有回应。
2、PC和CMTS都是IP用户,即三层预连接用户,由于三层预连接用户在配置重认证时间内必须通过认证后域,否则MA5200F会让用户下线。现网中默认配置的重认证时间是30秒,因此查看现网中有很多用户(认证前域default0的用户)频繁间隔性地上下线。这样就导致从PC ping MA5200存在丢包。
后通过调整认证前域的重认证时间间隔后解决问题。
domain  default0
  max-ipuser-reauthtime 3000
该MA5200F下的用户大多为三层web认证,由于MA5200F下的部分用户没有设置为web认证,导致该部分用户一直在default0认证前域,由于在default0域下默认设置IP用户进行重认证的时间为30秒,当IP用户超过该时间而不进行重认证时,MA5200F将切断用户连接。导致用户在下线的瞬间ping MA5200F及上行地址丢包。
最后将该部分未进行web认证的用户设置为WEB认证。
根因
1、CMTS设备转发存在问题
2、MA5200F问题
3、MA5200F配置问题
4、其它
建议与总结

END