ME60 web server响应超时导致用户异常下线

发布时间:  2015-08-09 浏览次数:  155 下载次数:  0
问题描述
终端使用WEB认证,输入用户名和密码后,提示通讯失败。过了10多秒就提示超时,用户下线。
处理过程

1.首先通过display aaa offline-record查看用户异常下线原因,执行命令dis aaa offline-record mac-address  f0de-f14a-92b2显示如下:

<ME60> dis aaa offline-record mac-address  f0de-f14a-92b2 //f0de-f14a-92b2为测试终端mac
  --------------------------------------------
  User name          : clcs8
  Domain name        : pppoe
  User MAC           : f0de-f14a-92b2
  User access type   : IPoE
  User access interface: GigabitEthernet4/1/0.2001
  User access PeVlan/CeVlan    : 2002/-
  User IP address    : 102.14.31.202
  User ID            : 1038
  User authen state  : Authened
  User acct state    : Accting
  User author state  : AuthorIdle
  User login time    : 2015-08-05 16:54:14
  User offline time  : 2015-08-05 16:54:44
  User offline reason: Wait WEB user ack time out
  --------------------------------------------

通过以为可以看出异常下线原因为Wait WEB user ack time out ,怀疑是WEB server超时,进一步trace分析

2.[ME60] Trace access-user object 1 mac-address f0de-f14a-92b2

 重点查看ME60与radius和web server的报文交互:

ME60发了4次authentication request报文,但只收到一次radius回复的authentication accept,而根据web认证的报文交互过程示意图如下:

当radius server回复authentication accept报文后,ME60会发生ack auth给web server,如果web server没有及时收到ack auth会认为终端下线,并将用户踢下线。


 

 

 

 

 

 

 

 

 

根因
radius server返回的authentication accept超时导致web server将用户踢下线。
解决方案
查看radius server的配置以及检查网络质量,使ME60能及时收到authentication accept报文并转发给web server。

END