ME60X3(V600R007C00SPC300)用户无法上线报Fill HQOS to ucm fail问题

发布时间:  2014-09-23 浏览次数:  707 下载次数:  0
问题描述
 设备上线后部分用户出现拨号错误691的情况,通过在BRAS上查看用户信息,发现用户已经下线,但是radius服务器上看用户处于上线状态。导致用户拨号的认证请求被服务器拒绝。
告警信息
Aug  7 2014 13:23:40.340.1 HU-AJGD-ME60-B2 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=0][RADIUS][user info:
  MAC Address    : 0026-55B2-2FB6
  IP Address     : 255.255.255.255
  Interface      : Eth-Trunk0.2500
  PE VLAN ID     : 4050
  User Name      : g8907658@unicom]
[trace info:
  Radius Received a Packet
  Server Template: 1
  Server IP   : 221.12.33.242
  Vpn-Instance: -
  Server Port : 1645
  NAS Port    : 1812
  Protocol: Standard
  Code    : Authentication reject
  Len     : 150
  ID      : 123
  [Reply-Message(18)                  ] [130] [21;User(g8907658) Checking LM, policy -1 {RADIUS thread} g8907658 rejected, login limit 1 exceeded, Request Deny by zjnetcom.com]]

[HU-AJGD-ME60-B2]
Aug  8 2014 09:20:10.920.2 HU-AJGD-ME60-B2 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=0][RADIUS][user info:
  MAC Address    : 0026-55B2-2FB6
  IP Address     : 255.255.255.255
  Interface      : Eth-Trunk0.2500
  PE VLAN ID     : 4050
  User Name      : g8907658@unicom]
[trace info:
[RDS(Evt):] Send a msg(Auth accept)]

[HU-AJGD-ME60-B2]
Aug  8 2014 09:20:10.920.3 HU-AJGD-ME60-B2 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=0][AAA][user info:
  MAC Address    : 0026-55B2-2FB6
  IP Address     : 255.255.255.255
  Interface      : Eth-Trunk0.2500
  PE VLAN ID     : 4050
  User Name      : g8907658@unicom]
[trace info: User authentication fail, Fill HQOS to ucm fail ]
处理过程
联系联通那边检查radius服务器流量模板配置,发现他们radius服务器做过调整,修改了模板名称,从而造成策略不匹配,导致用户无法正常上线。
根因
通过以上告警信息可以看出,用户上线失败原因周期性在Fill HQOS to ucm fail和RADIUS authentication reject之间来回切换。而Fill HQOS to ucm fail的原因是RADIUS下发的Qos-profile模板在ME60上匹配失败,默认情况AAA模块会将Radius下发的Qos-Profile模板转换成小写去匹配,由于radius模板与本地配置的模板名或大小写不一样,匹配失败,走下线流程,下线原因为Fill HQOS to ucm fail。
ME60在上述情况时不会给Radius server发计费开始报文,Radius Server上的用户表项会因等待计费开始报文超时删除,而超时之前的认证请求,都因用户名相同,唯一性检查失败报RADIUS authentication reject,从而造成用户上线失败。
解决方案
及时联系radius端技术处理及避免协调模版名称时避免大小写。
建议与总结
建议在出现此问题时及时联系radius端技术处理,同时要协调模板名称时要尽量避免大小写。

END