AR2200 路由器L2TP拨号采用radius服务器下发ip地址,终端无法获取ip地址

发布时间:  2015-07-21 浏览次数:  704 下载次数:  5
问题描述

如图所示,用户通过L2TP拨号到LNSLNS配置通过RADIUS认证,由RADIUS服务器给用户分配指定的IP地址,用户拨号上线确无法获取到指定的IP地址,导致L2TP业务中断。


 

LNS的主要配置如下:

 l2tp enable
#
interface Virtual-Template1
ppp authentication-mode chap domain hbpostmbp.vpdn.hb  
ip address unnumbered interface GigabitEthernet0/0/1 
#
radius-server template hbtest
radius-server shared-key cipher %@%@a&*3R}%)tY1u!Z1=E1*5<F)c%@%@
radius-server authentication 3.1.1.2 1812 weight 80
radius-server accounting 3.1.1.2 1813 weight 80
undo radius-server user-name domain-included
#
aaa
authentication-scheme hbpost1207
accounting-scheme hbpost1207
domain hbpostmbp.vpdn.hb
  authentication-scheme hbpost1207
  accounting-scheme hbpost1207
  radius-server hbtest 
#
l2tp-group 1
allow l2tp virtual-template 1
tunnel password simple HBYZtest 

处理过程

1.   LNS上查看L2TP隧道状态,看到L2TP的隧道和会话都已建立。说明L2TP配置基本无问题。
 

2.   检查RADIUS认证配置,也没有问题。
 

3.   在LNS上执行命令debugging radius all并打开终端显示信息功能(terminal monitor)和打开终端显示调试信息功能(terminal debugging)。
 

   [LNS]
Dec  9 2014 18:24:21.32.3+00:00 LNS RDS/7/DEBUG:
[RDS(Evt):] Recv a msg(Auth req)
[RDS(Evt):] Send a packet(IP:3.1.1.2,Port:1812,Code:authentication request,ID:145 )
[LNS]
Dec  9 2014 18:24:21.42.4+00:00 LNS RDS/7/DEBUG:
  RADIUS Sent a Packet.
[RDS(Evt):] Receive a packet(IP:3.1.1.2,Port:1812,Code:authentication accept,ID:145 )
[LNS]
Dec  9 2014 18:24:21.42.9+00:00 LNS RDS/7/DEBUG:
  RADIUS Received a Packet.

 
根据Debugging信息来看LNS收到终端的请求报文以后,转发给RADIUS服务器,服务器返回以后认证成功的消息,并下发IP地址。但是PC一直显示未获取IP地址。

通过debugging ppp alldebugging l2tp all定位发现,设备下发地址给PC时,先校验全局地址池(IP Pool),因为没有配置,校验不通过不会下发,所以终端获取不到IP地址。

 

4.   LNS上增加全局IP地址池配置,与RADIUS申请到的IP地址为同网段。

 

ip pool l2tp                                                                    
 gateway-list 10.2.2.1                                                         
 network 10.2.2.0 mask 255.255.255.0  

修改后,用户可以获得IP地址,L2TP业务正常。

说明:

V200R005C10之前的版本不支持L2TP拨号采用Radius服务器下发IP地址,但V200R005C30之前的版本必须要配置IP Pool,否则设备无法获得指定的IP地址。V200R005C30之后的版本可以不配置IP Pool,不配置时,当多个用户到RADIUS申请到同一个IP地址时,先上线的用户会断线,后上线的用户可以建立连接;配置时,后上线的用户无法获得IP地址建立连接。

根因

V200R005C10 V200R005C30之间的版本做了对全局IP地址池的校验,没有配置时会导致设备无法获取IP地址;V200R005C30之后的版本可以不配置。

解决方案
在ar2200路由器上面全局创建一个地址池,和radius服务器下发的ip地址池相同。配置以后问题解决,终端可以正常获取ip地址。
建议与总结

L2TP拨号采用RADIUS服务器下发指定的IP地址时,建议设备需全局创建一个地址池,和RADIUS服务器下发的IP地址池同网段。这样,设备采用地址池方式对分配地址做统一管理,避免造成多个用户到RADIUS申请到同一个IP地址,而导致前一个用户有异常。
 

这场景可以实现L2TP拨号用户始终使用指定的IP地址,在RADIUS服务器配置用户名和IP地址绑定, 这样上线的用户会始终使用绑定的地址。

END