ME60对radius的L2TP属性识别问题导致欠费用户仍能上网

发布时间:  2012-07-27 浏览次数:  177 下载次数:  0
问题描述
组网如下:
       radius server
             |
用户-LAC(ME60)--LNS(portal 服务器)
             |
           Internet
正常用户通过PPPOE上网,当用户帐号过期后radius server向ME60下发L2TP属性,实现用户通过VPND的方式连接到运营商的催缴费界面。
该组网应用到其他厂家的BRAS设备时无问题,但应用到ME60时无法实现VPDN功能,且欠费的用户仍然能够从ME60获取IP地址,上网。 
 
告警信息
无。
处理过程
 1、在ME60上打开radius的debug信息,显示信息如下:
 Mar 17  11:54:56 2010 xxx RDS/8/debug2:                              
  Radius Received a Packet                                                      
  Server Template: 0                                                            
  Server IP   : 60.31.xx.xx                                                    
  Vpn-Instance: --                                                              
  Server Port : 1812                                                            
  Protocol: Standard                                                            
  Code    : 2                                                                   
  Len     : 47                                                                  
  ID      : 86                                                                  
  [Tunnel-Type(64)                    ] [6 ] [3]                                
  [Tunnel-Medium-type(65)             ] [6 ] [1]                                
  [Tunnel-Server-Endpoint(67)         ] [15] [218.xx.xx.xx] 
从上可知radius下发l2tp的相关参数我司设备能够正常读取,交互使用的是标准radius协议。                   
2、在ME60手工配置和L2TP测试。
按照radius下发的相同参数对ME60手工配置到催缴费LNS的L2TP,测试L2TP能够正常使用,说明radius下发的l2tp相关参数和LNS侧匹配。
3、使能L2TP属性接收功能。
在用户接入的域下增加命令 l2tp-user radius-force后,vpdn连接建立,问题解决。
 
根因
1、radius侧下发的L2tp属性的相关参数ME60设备不识别或使用协议标准与ME60不一致。
2、radius侧下发的l2tp属性的相关参数(tunnel name、 password)在ME60和LNS侧配置不匹配。
3、ME60侧配置有问题。
建议与总结
ME60、MA5200G默认情况下域内用户并不检测和使用RADIUS下发的L2TP属性。本案例中ME60检测到radius报文中Code=2(认证通过)后,并不检测下面相关的l2tp参数,而是认为收到code=2的报文即认为radius鉴权成功,然后按照pppoe流程为用户分配IP地址,完成用户pppoe拨号连接的建立。这样导致了欠费用户仍然能够上网的奇怪现象发生。
若要使L2TP用户由RADIUS通道类型属性决定。则需要在对应域下使能L2TP属性接收功能。命令为:l2tp-user radius-force。

END