数通产品S7706(V2R6)dot1X向H公司 radius认证成功后,又下线故障

发布时间:  2015-12-10 浏览次数:  210 下载次数:  0
问题描述

1、版本:S7706 V200R006C00SPC500

2、组网概述:

         2台S7706 VRRP 组网,S7706下挂C公司话机,话机再下挂终端PC用户,S7706和AR3260,以及远端的C公司的ASR1000设备通过OSPF AREA 1互通,在C厂商ASR1000  的后台有H公司radius-server。

     

3、组网拓扑:

    

4、现场抓取的配置以及debug 等信息:

     详细见附件信息


告警信息

1、终端PC拨号现象抓图:

   


   

处理过程

1、在终端认证的同时,S7706-2上debug 显示如下所示:

  

2、客户端抓包显示用户认证成功,设备向客户发eap-success报文。之后iNode客户端与iMC服务器通过UDP 9019端口进行策略交互,策略交互失败,客户端主动发eap-logoff报文下线。

   

3、服务器上抓包显示用户向主radius服务器进行认证,但向备服务器进行计费。

    

     

4、设备日志中有记录计费服务器down,所以会向备计费服务器发计费报文。

     

5、设备上统计信息显示计费报文有重传,总重传次数为37544 – 37505 = 39

 

根因

1、radius服务器出现故障或者无响应,导致设备向主radius服务器发的认证报文服务器无响应,在重传两次后服务器仍无回应,设备认为主认证服务器down,将服务器状态置 为down,之后向备认证服务器发送认证请求报文。同样,设备向主计费服务器的报文响应,将主计费服务器状态转down,之后向备计费服务器发送计费请求报文。

2、另外默认会每隔一分钟向down的认证服务器发认证请求报文进行探测。当主radius服务器恢复时,将会回应设备的探测报文,设备将主认证服务器状态置为up,接下来的认证请 求报文将发向主认证服务器。由于并不会向计费进行探测,所以主计费服务器的状态将一直为down,主radius务器恢复后也无法获取主计费服务器已OK。最终出现认证向主 服务器认证,计费向备服务器计费现象,这时radius-server的认证和计费是同一台设备的不同插卡,而被H公司的radius-sever判为非法,而最总认证不通过而下线。

解决方案

1、目前只能与H公司配置单radius-server的方法来解决;

END