ME60设备Radius server组下shared-key配置错误导致用户上线失败

发布时间:  2013-08-14 浏览次数:  121 下载次数:  0
问题描述
版本:
ME60 V600R006C00SCP300

组网:
HG  ------  ME60 ------ Radius Server

问题描述:
某新开局点PPP用户拨号上线,上报718错误,不能上线。

处理过程
1 首先查看用户上线失败原因:用户请求。
<WZ-WZ-HD-BAS-3.MAN.ME60>display aaa online-fail-record
-------------------------------------------------------------------
  User name          : wz6m
  Domain name        : zjtelecom
  User MAC           : 3c97-0e15-ef3c
  User access type   : PPPoE
  User interface     : GigabitEthernet1/1/0.1
  User access PeVlan/CeVlan    : 300/-
  User IP address    : -
  User ID            : 143
  User authen state  : AuthenWait
  User acct state    : AcctIdle
  User author state  : AuthorIdle
  User login time    : 2013-07-10 16:06:44
  Online fail reason : PPP user request
  -------------------------------------------------------------------
2 然后打开trace,跟踪用户上线过程:
[WZ-WZ-HD-BAS-3.MAN.ME60]trace access-user object  1 mac-address 3c97-0e15-ef3c
<WZ-WZ-HD-BAS-3.MAN.ME60>terminal debugging
Info: Current terminal debugging is on.
<WZ-WZ-HD-BAS-3.MAN.ME60>t m
Info: Current terminal monitor is on.
<WZ-WZ-HD-BAS-3.MAN.ME60>
Jul 10 2013 03:57:02.500.1 WZ-WZ-HD-BAS-3.MAN.ME60 BTRC/7/BTRC_TraceInfo:[objectID=1][slotID=0][RADIUS][user info:
  MAC Address    : 3C97-0E15-EF3C
  IP Address     : 255.255.255.255
  Interface      : GigabitEthernet1/1/0.1
  PE VLAN ID     : 300
  USERNAME       : wz6m@zjtelecom]
[trace info:
 [RDS(Err):] Receive a illegal packet(Authenticator error)
     (ip:220.191.201.18 port:1645 cid:71 STIdx:0 PktType:1
      Protocol:1 SrcMsg:0 SerId:4294967295 SerType:0 SndTimes:1 IfRui:0
      Authenticator:077A29847BCD195618871AC841213D0A)]


通过trace发现设备收到了Radius服务器的非法报文。服务器发的报文中的Authenticator和收到报文通过本地MD5加密计算后的Authenticator验证码不一致导致设备认为收到的是非法报文。
 
3 查看设备radius服务器组配置:
radius-server group zjtelecom
 radius-server authentication 220.191.201.18 1645 weight 50
 radius-server authentication 202.101.172.243 1645 weight 50
 radius-server accounting 220.191.201.18 1646 weight 50
 radius-server accounting 202.101.172.243 1646 weight 50
 radius-server shared-key lsxx717   --- shared-key配置
 radius-server timeout 10
 radius-server format-attribute nas-port z8o12i12
 radius-server attribute translate
 radius-server user-name original
 radius-server algorithm loading-share
 radius-attribute disable NAS-Port-Id send
 
shared-key配置为lsxx717,经和Radius服务器确认此设备的shared-key应该为lsxx317,ME60设备配置错误,修改配置后,问题解决用户能正常上线。

根因

原因可能为:
1. ME60设备配置问题;
2. Radius服务器配置问题;
3.设备链路问题。

本案例问题属于原因1


解决方案

设备和radius服务器的share key配置一致。

建议与总结
ME60设备radius-server group 下配置的shared-key必须和Radius服务器上配置的相同,否则会导致用户不能正常上线。

END