ME60由于上行设备配置ACL导致与RADIUS对接不通

发布时间:  2014-12-16 浏览次数:  154 下载次数:  0
问题描述
新局点下接入的用户拨号认证无法通过
局点新增一台路由器(RouterB),该局点所有用户均通过RouterB接入,采用RADIUS认证和计费方式。其中RouterA为其它厂商设备。配置完成后发现该局点所有用户拨号认证不通过
处理过程
1. 执行命令debugging RADIUS packet打开Debugging开关,发现路由器已经上送了Code 1的认证请求报文,但一直没有收到RADIUS Server的响应。
2. 查看RADIUS Server,发现RADIUS Server已收到认证请求报文,并且回复Code 2报文。
此时怀疑回复报文在中间被丢弃或回程路由有问题。
3. 在路由器上ping RADIUS Server,发现能够Ping通,证明回程链路没有问题。因此确定回复报文被中间设备丢弃。
4. 更换路由器上送RADIUS Server的源地址为其它网段,发现可以收到回复报文,用户能够上线。
由于IP报文可达,而RADIUS的返回报文是UDP报文,因此怀疑中间设备针对此网段的UDP报文做了ACL限制。
5. 逐级检查发现RouterA上配置了ACL规则,丢弃RADIUS的UDP返回报文。
6.删除RouterA上配置了ACL规则后,发现故障解决。
解决方案
删除RouterA上配置了ACL规则后,发现故障解决。
建议与总结
在定位用户无法上线问题时,应首先考虑设备是否发送了认证请求报文,并收到回复报文。在本案例中,RADIUS Server接收到了认证请求报文,并发送了回复报文,但是设备没有接收到,因为定位为设备和RADIUS Server之间的链路发生了故。

END