多机备份用户无法上线的原因定位
简介
本文用于指导无法上线的多机备份用户定位常见故障,说明故障定位思路及故障处理步骤。
了解多机备份
多机备份是指在部署了主备协议的场景下,将主用设备上的用户业务控制数据实时备份到备用设备,实现当主用设备或者链路出现故障时,能够快速将用户业务切换至备用设备;当主用设备或者链路的故障恢复时,用户业务能够顺利由备用设备回切至主用设备,从而保证用户业务的不中断。
故障现象
已完成多机备份平台的搭建、NAS参数的配置、多机备份平台绑定地址池等操作,然而用户无法上网。
故障定位思路
请按以下故障定位思路定位问题。
- 在系统视图下执行命令display aaa online-fail-record,获取用户上线失败记录来定位原因。
- 若“Online fail reason”字段显示为“-”,故障无法定位,在系统视图下执行命令display backup-user,根据所显示的备份用户信息的正确性来检查相应配置步骤。
故障处理步骤
请按以下故障处理步骤解决问题。
- 查看用户上线失败记录,并基于上线失败原因的提示定位问题。
在系统视图下执行命令display aaa online-fail-record,查看用户上线失败记录,可按照域名、接入接口、MAC地址、槽位号、用户类型、用户名、时间段等条件进行查询。根据“Online fail reason”字段显示的用户上线失败原因定位问题。若“Online fail reason”字段显示为“-”,用户上线失败的原因无法定位,则执行步骤2。
# 显示从接口GigabitEthernet 0/1/1.1上线的用户的上线失败记录。
<HUAWEI> display aaa online-fail-record interface gigabitethernet 0/1/1.1 ------------------------------------------------------------------- User name : HUAWEI-100-07002000000100@isp1 Domain name : isp1 User MAC : 00e0-fc12-3451 Stack type flag : IPv4 User access type : telnet User access interface : GigabitEthernet0/1/1.1 Qinq Vlan/User Vlan : 0/100 User IP address : 255.255.255.255 User ID : 14 User authen state : Authened User acct state : AcctIdle User author state : AuthorIdle User login time : 2009-12-04 16:49:07 Online fail reason : Local authentication no user ------------------------------------------------------------------- Are you sure to display some information?[Y/N]:
常见的多机备份用户上线失败的原因分析:
- 回显信息:
AAA access limit
常见原因:
一个帐号允许接入的用户数超过了限制或使用同一个用户名上线的本地用户数量超过了最大限制。
处理方法:
执行命令display domain domain-name,查看显示信息中的“User-access-limit”字段。执行命令display local-user domain domain-name,查看同一个账号接入的用户数。如果一个帐号允许接入的用户数超过了限制,请在AAA域视图下执行命令access-limit max-number修改。
执行命令display local-user domain domain-name,查看显示信息中的“Access-limit”字段。执行命令display local-user domain domain-name,查看同一个用户名上线的本地用户数。如果使用同一个用户名上线的本地用户数量超过了最大限制,请在AAA域视图下执行命令local-user user-name access-limit max-number修改。
- 回显信息:
Authenticate fail
常见原因:
认证失败,可能是用户输入的用户名密码不正确。
处理方法:
输入正确的用户名和密码重新认证。
- 回显信息:
Idle timeout
常见原因:
用户配置了闲置切断功能,且用户流量闲置时间超过了配置的值,触发用户下线。
处理方法:
执行命令display domain domain-name,查看配置的用户闲置切断时间“Idle-data-attribute (time,flow)”字段是否满足要求。
如果配置的用户闲置切断时间需要修改,在AAA域视图下执行命令idle-cut idle-time { idle-data | zero-rate } [ inbound | outbound ],重新配置用户的闲置切断时间参数。
- 回显信息:
Interface delete
常见原因:
接口被删除导致用户下线,可能是用户接入接口被命令行删除。
处理方法:
重新配置用户接入接口。
- 回显信息:
Interface down
常见原因:
接口down用户下线,可能是用户接入端口所被命令行Shutdonwn,或与其相连接的物理链路发生故障。
处理方法:
查看用户接入端口是否被命令行Shutdonwn,并检查与其相连接的物理链路。
- 回显信息:
IP address conflict
常见原因:
RADIUS服务器给用户指定的IP地址已被使用。
处理方法:
RADIUS服务器给当前用户指定的IP地址已经被使用,重新规划RADIUS服务器给该用户的地址。
- 回显信息:
local no this user
常见原因:
设备上未配置该本地用户。
处理方法:
执行display local-user命令检查设备上所有的本地用户信息。
确认设备上无此本地用户,请执行local-user user-name password { cipher cipher-password | irreversible-cipher irreversible-password }命令创建本地用户。
说明:
- 密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
- 为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。
- 回显信息:
Prefix conflict with same option
仅适用于V800R010C10及之后版本。
常见原因:
多机备份场景中,首个用户信息表项备份到备机,发现已经有在线用户,并且其正在使用的前缀信息和备份用户的信息不一致,备机通知主机用户下线。
处理方法:
查看是否有RBP切换,并且在切换瞬间新的主机用户优先于备份用户上线,导致正在使用的前缀信息和备份用户的信息不一致。
如果是,无需处理。
如果否,请联系华为技术支持工程师。
- 回显信息:
Session timeout
常见原因:
RADIUS下发给用户的时长配额耗尽,触发用户下线。
处理方法:
用户配额耗尽后,如果用户需要再次上线,要重新续费或申请配额。
- 回显信息:
The RADIUS server does not reply with Authentication ACK messages
常见原因:
路由器到RADIUS服务器的IP不可达,有可能是RADIUS服务器故障或中间设备故障导致。
处理方法:
执行ping命令检查设备到RADIUS服务器是否IP可达。
- 如果IP不可达,那么排查中间设备的故障,修复网络。
- 如果IP可达,检查RADIUS服务器的工作状态并修复RADIUS服务器的故障。
- 回显信息:
User's password expired
常见原因:
用户密码过期,触发用户下线。
处理方法:
执行命令display local-userusername user-name,查看用户密码是否已期过期。
如果“Password expired”字段显示为“no”,表示密码未过期,请联系华为技术支持工程师。
如果“Password expired”字段显示为“yes”,表示密码已过期,请执行步骤b。
在AAA视图下执行命令local-user user-name password { cipher cipher-password | irreversible-cipher irreversible-password }修改用户密码。
说明:
- 密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
- 为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。
(可选)在AAA视图下执行命令user-password expire expire-time prompt prompt days,配置密码过期前提醒用户修改密码的时间。
- 回显信息:
- 查看备份用户的信息的配置是否正确。
在系统视图下执行命令display backup-user查看备份用户的信息。检查“RBP”和“RBS”字段的信息和用户配置的信息不一致或显示为“-”,则信息错误,参照如下配置过程重新配置即可。若信息正确,则执行步骤3。
# 查看设备上配置的user-id为60备份用户信息。
<HUAWEI> display backup-user user-id 60 ----------------------------------------------------------- RUI Backup User information ----------------------------------------------------------- UserIndex : 60 Cid : 60 SessionID : 0 MAC : 00e0-fc12-3456 PeVlan : 700 CeVlan : 0 Vrid : 0 IP : 10.1.255.94 TriggerSendFlag : 1 Vpn : -- BackUpID : 1 RBP : zhhg ProcessID : 3 RBS : tnl7-8 Interface : GigabitEthernet0/1/1.7 UserName : 0700@ll Backup from : Remote Server User mode : virtual -----------------------------------------------------------说明:
主机和备机均可执行此命令并按照如下配置过程重新配置。
- 检查“RBP”字段的信息是否正确。若和用户配置的信息不一致或显示为“-”,则信息错误,参照如下配置过程重新配置即可。
执行命令system-view,进入系统视图。
- 执行命令remote-backup-profile profile-name,创建远端备份模板并进入远端备份模板视图。
- 执行命令peer-backup { hot | virtual },使能设备间热备份或虚拟备份。
- 执行命令vrrp-id vrid interface interface-type interface-number [ odd-mac | even-mac ],配置远端备份模板和VRRP备份组的绑定关系。
执行命令backup-id backup-id remote-backup-service service-name,将远端备份模板和远端备份服务关联起来,并配置该远端备份模板下的用户备份ID。
执行命令service-type { arp | ipsec | l2tp | lacp | bras | multicast | igmp | igmp-snooping | no-host-multicast | dhcp-server | nd },开启用户业务的远端备份功能。
执行命令commit,提交配置。
- 检查“RBS”字段的信息是否正确。若和用户配置的信息不一致或显示为“-”,则信息错误,参照如下配置过程重新配置即可。
执行命令system-view,进入系统视图。
执行命令remote-backup-service service-name,创建远端备份服务并进入远端备份服务视图。
执行命令peer peer-ip-address source source-ip-address port port-id,为远端备份服务配置TCP连接的参数。
执行命令commit,提交配置。
- 检查“RBP”字段的信息是否正确。若和用户配置的信息不一致或显示为“-”,则信息错误,参照如下配置过程重新配置即可。
- 请收集上述步骤的执行结果和设备的配置文件,并联系技术支持工程师。
故障总结
- 用户上线失败,设备会自动记录登录失败原因,可通过display aaa online-fail-record命令回显中的“Online fail reason”字段信息定位用户上线失败的原因。
- 配置多机备份时,可通过display backup-user命令查看“RBP”和“RBS”字段与用户配置的信息是否一致,如果不一致重新配置即可。
相关信息
如果您需要了解多机备份业务的更多信息及配置方法,可参考产品文档《NE40E V800R011C00SPC200 产品文档 01》。
