某局点无线用户很难上线

发布时间:  2015-03-18 浏览次数:  190 下载次数:  0
问题描述
组网图:




涉及的产品和版本:AC6605/AC6005 V200R003C00SPC500及之前版本

隧道转发,DOT1X认证,TSM作为Radius Server。无线用户很难上线,只有偶尔能够上线,上线概率很低。

处理过程
通过查看AC转发统计,用户网络中有大量UDP杂包,通过命令display cpu-defend configuration wired查看cpu-defend信息,来自TSM的CHAP报文同杂包一起被归入“unknown-packet”一类,被转发CP丢弃掉,导致用户无法完成认证。

根因
来自TSM到AC的认证交互CHAP报文,在转发面进行CAR时,被归入“unknown-packet”类别,被CP CAR掉,导致用户认证失败,无法正常上线。

解决方案
将cpu-defend中的unknown-packet的Rate-limit(PPS)默认值由64改为256后用户能够正常上线。问题根因要客户排查发往AC的UDP杂包的来源。

建议与总结
该类用户无法上线的问题,从终端开始排查,基本思路如下:

1、通过查看用户无线网卡抓包来确定用户无法上线问题出在哪个环节。该问题发现用户未收到来自AC的认证报文。

2、查看TSM服务器是否往AC发出认证报文。该问题通过TSM上抓包确定TSM发出认证授权报文给AC。

3、在AC的控制面查看认证授权日志有无授权信息。该问题在AC控制面没有收到来自TSM服务器下发的认证信息。

4、TSM给AC发送了认证授权报文,AC控制面没有收到,排查是否转发丢包。该问题通过转发统计计数看出有大量发往AC控制面的UDP杂包,TSM的认证授权报文同杂包一起被归入“unknown-packet”被转发CP丢弃掉。

5、修改CAR值,确认问题。排查用户网络中的UDP杂包来源。

END