ME60认证后域IDLE-CUT设置范围不当致异常下线不能切断用户问题处理

发布时间:  2012-07-27 浏览次数:  296 下载次数:  0
问题描述
    在某局维护业务中发现用户进行Portal认证时,异常下线之后再次拨号上线进行Portal认证时出现Portal无法跳转到认证成功页面,ME60则显示用户已经从认证前域转入认证后域,Radius则显示用户已上线并处于计费状态。更换用户名和密码或者PC则可成功上线。
告警信息
设备告警信息无,终端进行Portal认证无法跳转到成功页面。
处理过程
    检查数据配置发现在认证后域中配置有idle-cut 2 0的数据,idle-cut 2 0的含义为用户在2分钟的时间内数据流量为0,则切断该用户强制下线。
1、按照以上分析,将测试终端异常下线之后观察计时,五分钟后再次进行认证,在Portal页面输入用户名密码之后,不能成功跳转到认证成功页面。检查用户认证前域信息为:
[quidway]dis access-user domain zhongtai
%No user 
认证后域在线情况:
[quidway]dis access-user domain huawei
 --------------------------------------------------------------------------    
  UserID  Username                              IP address        MAC      
  --------------------------------------------------------------------------    
  98 ERDOS_YD_CMNET_ME60-01000361400011@huawei  172.16.2.143      -      
显然用户异常下线五分钟之后ME60并没有按照idle-cut 2 0数据配置,在2分钟内数据流量为零时将用户清除并向Radius发送计费终止报文。
2、使用cut access-user ip-address 172.16.2.143强制测试用户下线,再次进行WEB认证获得成功。
   [quidway-aaa]cut access-user ip-address 172.16.2.143
3、idle-cut 2 0,2为时间参数,单位为分钟;0为流量参数,取值范围为0-768000kbit,将流量参数0改为60再次复现异常下线,两分钟之后再次认证可以成功进行WEB认证。问题获得确认,即发生异常之后ME60没有将用户强制下线并向Radius发送用户下线报文,导致用户再次认证失败,配置idle-cut 2 0中流量参数不能设置为零。
4、版本对idle-cut的定义为idle-cut 后的两个参数中任一参数等于零则不执行idle-cut操作,及两个参数必须都设置为大于零执行idle-cut。流量参数建议取值60-100。
根因
    ME60对宽带城域网接入用户进行二层、三层Portal认证时,需要考虑接入用户的异常下线处理问题,即在用户断电或网线脱落的时候,需要ME60及时地将用户信息从认证后域删除并向Radius发送计费终止报文,以便终止用户计费或再次认证。基于以上分析进行如下测试:
1、成功上线之后,拔掉网线,使用同一用户名和密码重新上线,认证不能成功跳转到成功页面。
2、更换用户名密码,重新进行Portal认证,可以成功跳转到Portal页面。
3、更换PC,进行Portal认证,可以成功上线。
4、按照上述测试分析可能的原因为Radius上对用户名密码的唯一性进行校验;或者ME60对接入用户的PC进行检测。
5、再次复现不能跳转认证成功页面,在ME60上使用disp access-user domain huawei发现该测试用户依旧在后域中,并且Radius用户状态信息显示为该用户仍在计费,即异常中断发生之后ME60没有将用户从认证后域中删除并向Radius发送计费终止请求。
建议与总结
    对于设备中的默认临界取值范围取值时,最好查阅相关资料,区建议建议范围内。临界值有时特殊含义。

END