AR2200用户登录设备十几秒内被强制下线问题处理

发布时间:  2015-07-05 浏览次数:  235 下载次数:  1
问题描述

组网简图如下:


某安全网络中,用户通过网络接入服务器radius控制用户访问网络设备,在 radius服务器上对用户登录设备时进行认证、授权和计费。由于 RADIUS 服务器故障,管理员采用本地认证。配置完成后,发现用户登录十几秒内被强制下线。

1, 由于每次登录时间短,只来得及采集配置数据和一些log信息,通过这些数据分析显示发现,用户是被aaa认证给提掉线的,在log信息中存

    在AAA cut user信息。

2, 查看AAA里面的配置和radius-server配置,配置如下:

radius-server template telnet

 radius-server shared-key simple 123456

 radius-server authentication 172.17.2.252 1812

 radius-server accounting 172.17.2.252 1813

 undo radius-server user-name domain-included

#

aaa

 local-user zzxxaq password OUM!K%F<+$[Q=^Q`MA@#$!

 authentication-scheme default

 #

authentication-scheme telnet

 authentication-mode radius local

 #

 authorization-scheme default

 accounting-scheme default

accounting-scheme telnet

 accounting-mode radius

 accounting realtime 10

 #

 domain default

 #

 domain huawei

 authentication-scheme telnet

 accounting-scheme telnet

 radius-server telnet

 #

user-interface vty 0 4

 authentication-mode aaa

 user privilege level 15

 set authentication password cipher #@!$@45BFLJ\$/[lnd8G!:#Q,B90{Cv8T8VJr!@#$@!%$!

 history-command max-size 256

 screen-length 15

 

告警信息

AAA cut user

处理过程

1,  由于能登陆的时间比较短,先写好配置脚本。

脚本如下:

sys

aaa

domain Huawei

undo accounting-scheme telnet

2,  登陆设备,快速粘贴脚本,执行命令。

执行成功之后,再次登陆设备,过一段时间发现不再被踢下线。

根因

本次故障中由于 RADIUS 服务器不可用, 会导致实时计费失败。 在实际配置中我们要考虑计费失败的情况,在实时计费失败时, 用户可以通过执行命令 accounting interim-fail 配置实时计费失败的策略,继续让用户在线或者强制用户下线。 由于没有配置该命令, 设备采用缺省情况, 即实时计费失败时强制用户下线。因此, 是由于采用 RADIUS 计费失败导致用户下线。 用户被强制下线的时间由超时重传时间和超时重传次数决定,这两个参数由命令radius-server{ retransmit retrytimes | timeout time-value } 配置。重传时间缺省是 5 秒,重传次数缺省是 3 次,因此用户登录 15 秒后就会被强制下线。

建议与总结

在接入网络中,虽然通过远端认证可以增强设备的安全性,但是在实际应用中我们要考虑远端认证失败的情况,因此我们要配置计费失败策略,accounting interim-fail,通过 AAA 验证用户登录设备时,如果远端服务器不可用需要暂时使用本地认证时,计费方案必须是不计费,否则将导致用户下线。

END