ME60的PPPOE拨号业务出现空用户名密码认证成功问题

发布时间:  2017-04-19 浏览次数:  365 下载次数:  0
问题描述

组网拓扑:


故障现象:正常上网过程应该是用户输入用户名和密码进行PPPOE拨号,BRAS设备即ME60将用户名和密码推送到radius进行认证和计费。并通过radius下发的业务模板进行上网。但客户反馈园区网内出现用户使用空用户名和密码进行拨号,可以拨号成功并进行上网。并且此现象逐渐频繁,导致园区网内对用户上网的认证、授权、计费失去意义。

告警信息

处理过程

1、检查ME60认证方案,ME60认证方案如下:

 authentication-scheme huawei
  authentication-mode radius none
  authening authen-redirect online authen-domain 691err
ME60配置的认证方案为先radius认证,后不认证方案。排除配置问题。

2、由ME60配置的认证方案可以看出,可能是radius down导致用户PPPOE拨号时没有对空用户名密码进行认证直接上网

检查radius状态正常,使用空用户名密码进行拨号测试。可以拨号成功并上网,排除因radius down导致的故障

3、检查radius配置,检查radius认证服务器对空用户名密码的处理情况。检查发现radius收到空用户名的请求认证数据包的动作行为是“直接丢弃不做回应”

4、通过以上检查发现是设备对接问题,对接过程中没有考虑到空用户名密码的处理问题。ME60认证方案配置为先radius认证,后不认证,没有错误。配置的认证方案是基于容灾考虑,考虑到radius down以后导致用户无法拨号上网给用户造成损失。所以配置了后不认证。但radius在收到空用户名密码后,没有对BRAS做错回应,ME60错误的认为radius dead,因此选择了不认证,直接放行了用户流量让用户上网。

根因

设备对接问题:

BRAS和radius对接是没有考虑到对空用户密码的处理问题,导致出现认证漏洞。BRAS连续向radius发送空用户名和密码认证请求,而radius不做回应。让BRAS错误认为radius dead,然后对用户进行了不认证方案。让用户成功使用空用户名密码拨号上网。

解决方案

1、在ME60上面重新配置认证方案为radius,代替之前的先radius认证,后不认证方案。

2、或者在radius上配置对空用户名密码的认证请求处理,配置空用户名认证时返回认证失败的或输入用户名错误的消息。

建议与总结

建议最好选用第2种解决方案。第2种解决方案不仅完美解决空用户名密码认证成功问题,同样不存在隐患。第一种虽然也解决了问题,但存在隐患。当radius dead后就会出现所有用户都不能上网的问题。

END