ME60由于RADIUS数据配置错误导致导致拨号失败

发布时间:  2014-12-16 浏览次数:  154 下载次数:  0
问题描述
用户通过QinQ方式,经Switch接入路由器的接口GE1/0/1,并在路由器上终结VLAN ID。该用户账号在RADIUS上做了精确绑定。
用户在拨号时提示691错误
处理过程
1. 在RADIUS服务器上查看该账号绑定的接口和VLAN与用户实际接入的接口和VLAN一致。
2. 在路由器的GE1/0/1接口视图下执行命令display this,查看接口下的配置信息,发现接口的内外层VLAN都配置正确。
3. 打开RADIUS服务器的debug开关,发现设备打印出以下显示信息:
[Reply-Message(18)    [175]  [29;User(ntest0001)'s  Authen  Attrib(Authen  Attrib  ai-vlan-id:  NAS  is  601.1001,  RADIUS  is  ge--1,0,1:601.1001--0,0,0,0,0,0,  Not  match)
其中,NAS is 601.1001是BRAS发送给RADIUS服务器的用户信息,RADIUS is ge--1,0,1:601.1001是该用户帐号在RADIUS服务器的绑定信息。可以发现路由器只是把用户的VLAN信息(601,1001)发送给RADIUS服务器,而RADIUS侧的用户信息不但有VLAN绑定(601.1001)也有端口绑定(ge--1,0,1),认证信息和绑定信息不完全匹配而导致拨号通不过。
路由器中携带这种用户信息格式的是NAS-Port-Id属性,此属性有4种格式,缺省情况下,系统使用version2.0格式。此时需要将格式修改为standard格式,就和RADIUS服务器上的报文格式一致了(即VLAN+端口格式)。
解决方案
1. 执行命令system-view,进入系统视图。
2. 执行命令aaa,进入AAA视图。
3. 执行命令vlanpvc-to-username standard,设置路由器上送RADIUS服务器的NAS-Port-Id属性的格式为standard。
4.修改之后用户再次拨号成功
建议与总结
通常情况下,用户在拨号时提示691错误可能有以下原因:
1、 用户帐号实际绑定的端口和VLAN与规划不一致。
2、 设备接口下的VLAN信息配置错误。
3、 设备上报的用户信息格式和RADIUS服务器不一致。
4、路由器与RADIUS服务器之间的设备做了策略控制,导致路由器与RADIUS服务器之间无法通信

END