Radius Authentication Fails Because MA5200F Is Configured with Loopback Address

Publication Date:  2012-07-27 Views:  75 Downloads:  0
Issue Description
One MA5200F is connected with PPPOE users who use radius authentication. The NAS IP registered at radius is the address of upstream interface of MA5200F, and the device has been running well. 
At a day, the network consisting of MA5200F is optimized, and it is configured with loopback address. However, radius users cannot pass authentication once the loopback address is configured. 
Alarm Information
1. MA5200F has no alarm information, and execute debug radius command at the device; we can find a great deal of denial packet of code=3 because of NAS IP ERROR.
2. At radius, there are a lot of alarms for illegal NAS IP.
Handling Process
1. The radius bears the broadband dialing services of a whole province. The other sites work well, and the local site with MA5200F fails after reconstruction, so we can make sure radius is normal. 
2. At MA5200F, execute debug  radius pac command, and we find a lot of denial packets of code=3 because of NAS IP ERROR.
(1) Check the radius packet sent by MA5200F, and it is found that the source address of radius packets has been changed to the loopback address, not the upstream interface address. 
(2) At radius server, the address registered is the one of upstream interface. 
Therefore, the dialing of users cannot pass authentication because the nas ip is illegal. 
3.Change the nas ip of MA5200F to the loopback address, and the problem is solved. 
Root Cause
1. Radius system fails. 
2. The source address of radius packet sent by MA5200F is changed (NAS IP is changed).
Suggestions
1. If MA5200F is not configured with loopback address, the source address of radius packets sent out is the address of upstream interface. 
2. After MA5200F is configured with loopback address, the source address of radius packets is changed to the loopback address. 
The two features mentioned above exist in multiple versions of MA5200F, such as 7123, and 7147.
It should be noted particularly when MA5200F adjusts and optimizes its loopback address. 

END