由于BAS授权服务器配置未指定server-group导致radius上无法踢用户下线

发布时间:  2012-07-27 浏览次数:  269 下载次数:  0
问题描述
组网:pppoe用户----MA5200G----radius(iTELLIN)
版本:MA5200G 3356,使用标准radius协议和radius1+协议与iTELLIN系统对接
现象:radius系统上无法踢用户下线
告警信息

处理过程
1、经确认,MA5200G配置标准radius协议或radius1+协议均支持DM。
2、检查全局配置,核对授权服务器和密钥协商正确。
radius-server authorization X.X.X.X shared-key xxxxxx
3、BAS接收DM报文的端口是3799,radius上配置成2000,修改radius侧配置测试仍然无法踢用户下线。
4、再次核对设备配置,并通过抓包比对发现BAS回应DM报文时候采用的是loopback0,而上线认证的时候采用loopback1。
radius-server source interface LoopBack0 ----------这是radius公用源接口
radius-server group test   -------------测试用户使用   
 radius-server authentication 222.47.22.3 1812 weight 0                         
 radius-server accounting 222.47.22.3 1813 weight 0                             
 radius-server shared-key abc123                                                
 radius-server timeout 3                                                        
 radius-server source interface LoopBack1    ----------这是test组私用的源接口   
#                                                                               
radius-server group itellin ----------普通用户使用    
 radius-server authentication 222.47.22.3 1812 weight 0                         
 radius-server accounting 222.47.22.3 1813 weight 0                             
 radius-server shared-key abc123                                                
 radius-server type plus11                                                      
 radius-server timeout 3                                                        
 radius-server traffic-unit kbyte                                               
#                                                                               
radius-server authorization 222.47.22.3 shared-key abc123    ----由于没有指定radius-server group,因此设备回应dm-ack采用公用的源接口LoopBack0,而之前该用户上线(认证计费)使用的是test私有的源接口LoopBack1。经咨询radius侧,iTELLIN-radius服务器上test节点配置的目的IP是LoopBack1地址,同时iTELLIN-radius服务器实现时要求:同一个用户的认证、计费以及下线dm报文需要使用同一个IP进行交互,否则不予处理。
6、将配置修改为radius-server authorization 222.47.22.3 shared-key abc123 server-group test后测试正常。
根因
1、radius协议版本不支持DM。
2、未配置radius授权服务器,密钥不正确。
3、radius给BAS下发DM报文的目的端口不正确。
4、DM报文交互异常。
建议与总结
与radius协议对接的时候需要注意,BAS对于同一个用户的认证/计费/下线dm报文需要使用同一个源IP进行交互。

END