AR3260没有指定发送RADIUS报文时使用的源IP地址导致RADIUS认证失败

发布时间:  2015-06-18 浏览次数:  157 下载次数:  0
问题描述

AR3260作为mpls vpn的PE端,配置ssh服务,且用radius认证。

关键配置:
SSH配置:
ssh client first-time enable
stelnet server enable

VTY配置:
user-interface vty 0 4
 authentication-mode aaa
 protocol inbound ssh

Radius配置:
radius-server template acs
 radius-server shared-key cipher %@%@.]8~5(`W!MgH&l/spFWHKH\f%@%@
 radius-server authentication 10.96.2.11 1812 weight 80
 undo radius-server user-name domain-included
 radius-attribute nas-ip 172.16.32.168      //这儿更改nas-ip的属性为loopback口地址

AAA配置:
aaa
authentication-scheme default
authentication-scheme acs
  authentication-mode radius local
authorization-scheme default
authorization-scheme acs                
accounting-scheme default
domain default 
domain default_admin 
  authentication-scheme acs
authorization-scheme acs
  radius-server acs

现在问题:通过SSH登陆路由器,radius认证失败

告警信息
处理过程
1.检查连通性:
ping 10.96.2.11,不通;
ping -a 172.16.32.168 10.96.2.11 ,可以ping通;  //172.16.32.168是loopback口地址。

2.指定Loopback接口的IP地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IP地址:
radius-server template acs
 radius-server authentication 10.96.2.11 1812 source loopback 0 weight 80  //修改后认证成功
根因

AR3260处于MPLS VPN网络中,当前环境下,AR3260出接口IP和认证服务器IP路由不可达。

解决方案

由于loopback口地址能够ping通radius服务器,指定loopback口地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IP地址。

建议与总结

END