ME60-X8下用户通过radius踢用户下线失败

发布时间:  2015-12-19 浏览次数:  780 下载次数:  0
问题描述

ME60-X8下挂PPPOE业务,需要通过授权服务器踢用户下线,服务器已发出用户下线请求,但无法收到ME60的回应,用户一直无法下线。

处理过程

1、通过radius授权服务器踢用户下线,首先需要在ME60上配置授权服务器,检查配置设备是否配置了授权服务器,密钥是否正确

   radius-server authorization 10.0.2.52 vpn-instance BOSS shared-key sitech

通过检查配置确实配置了授权服务器,密钥也核实是正确的。

2、查看radius授权服务器上的抓包报文发现确认已经发出了disconnect-request报文,但没有收到ack报文。


3、进一步trace跟踪用户信息发现ME60也正常收到了授权服务器发出的下线请求报文,设备也回应了ack报文。

Dec  4 2015 18:36:14.30.1 SX-XZS-A-ME60-R-1 RDS/7/DEBUG:
[RDS(Evt):] Receive a server packet(IP:10.0.2.52,Port:45275,Code:disconnect request,ID:117 )
[SX-XZS-A-ME60-R-1-diagnose]
Dec  4 2015 18:36:14.30.2 SX-XZS-A-ME60-R-1 RDS/7/DEBUG:
  Radius Received a Packet
  Server Template: 0
  Server IP   : 10.0.2.52
  Vpn-Instance: BOSS
  Server Port : 45275
  NAS Port    : 3799
  Protocol: Standard
  Code    : disconnect request
  Len     : 75
  ID      : 117
  [Acct-Session-Id(44)                ] [35] [SX-XZS-020051000000008b0abd000143]
  [User-Name(1)                       ] [14] [yinpeng11234]
  [Framed-IP-Address(8)               ] [6 ] [114.114.155.13]
[SX-XZS-A-ME60-R-1-diagnose]
Dec  4 2015 18:36:14.30.3 SX-XZS-A-ME60-R-1 RDS/7/DEBUG:
[RDS(Evt):] Recv a msg(Control result msg)
[SX-XZS-A-ME60-R-1-diagnose]
Dec  4 2015 18:36:14.30.4 SX-XZS-A-ME60-R-1 RDS/7/DEBUG:
[RDS(message):]message type    :Disconnect ack
[RDS(message):]UserID      :143
[RDS(message):]ServiceID   :-1
[RDS(message):]Service type:0
[RDS(message):]Template no:cs
[RDS(message):]Authmethod :255()
[RDS(message):]ulSrcMsg   :Disconnect request
[RDS(message):]szBitmap   :00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
[RDS(message):]Result  :0
[SX-XZS-A-ME60-R-1-diagnose]
Dec  4 2015 18:36:14.30.5 SX-XZS-A-ME60-R-1 RDS/7/DEBUG:

4、既然设备已经回应了ack报文,为何授权服务器没有收到?是中间网络丢了还是其他原因?进一步检查trace跟踪报文发现设备回应ack后还打印如下信息:

Dec  4 2015 18:36:14.30.5 SX-XZS-A-ME60-R-1 RDS/7/DEBUG:
[RDS(Evt):] There is no Message-Authenticator in DM-Req.
[SX-XZS-A-ME60-R-1-diagnose]
Dec  4 2015 18:36:14.30.6 SX-XZS-A-ME60-R-1 RDS/7/DEBUG:
[RDS(Err):] fill source ip address error

从打印信息上看是DM中没有相应的认证消息,地址错误,难道是认证、计费服务器跟授权服务器不是同一个地址?进一步检查配置发现确实radius认证、计费服务器地址跟授权服务器地址不是同一个地址导致从授权服务器收到的用户下线请求报文无法跟之前用户上线的认证信息关联起来。
radius-server group cs
radius-server authentication 10.0.2.57 vpn-instance BOSS 1812 weight 0
radius-server accounting 10.0.2.57 vpn-instance BOSS 1813 weight 0
radius-server shared-key sitech
radius-server class-as-car
radius-server source interface LoopBack1
undo radius-server user-name domain-included
#
radius-server authorization 10.0.2.52 vpn-instance BOSS shared-key sitech

根因

授权服务器和认证服务器不是同一台服务器,在配置授权服务器时没有关联相应的radius组

解决方案

当授权服务器和认证服务器不是同一台服务器时,需要在配置授权服务器时关联相应的radius组,配置后能正常踢用户下线

radius-server authorization 10.0.2.52 vpn-instance BOSS shared-key sitech server-group cs

 

END