小编 ME60设备radius下发DM消息无法踢用户下线
ME60设备radius下发DM消息无法踢用户下线
问题描述
某局点一台ME60(V600R008C00SPC300)radius下发DM消息无法踢用户下线
处理过程
1、开radius debug,分析debug信息发现正常的radius服务器发出的DM信息本端设备能打印出接收到了DM消息,并打印了报文内容以及回应ack报文的交互过程,但有问题的radius服务器发出的DM消息,在debug中并未打印。DM报文在BAS侧的端口固定为3799。
Feb 19 2020 16:09:12.700.2 xxx-ME60X8 RDS/7/DEBUG: Radius Received a Packet Server Template: 0 Server IP : x.x.x.x NAS IP : x.x.x.x Vpn-Instance: - Server Port : 21051 NAS Port : 3799 Protocol: Standard Code : disconnect request Len : 107 ID : 140 [Acct-Session-Id(44) ] [35] [xxxxx] [Framed-IP-Address(8) ] [6 ] [x.x.x.x] [User-Name(1) ] [20] [xxxxxx] [NAS-IP-Address(4) ] [6 ] [xxxxx] [NAS-Identifier(32) ] [20] [xxxxxxx] Feb 19 2020 16:09:12.700.6 xxx -ME60X8 RDS/7/DEBUG: Radius Sent a Packet Server IP : x.x.x.x NAS IP : x.x.x.x Vpn-Instance: - Server Port : 21051 NAS Port : 3799 Protocol: Standard Code : disconnect ack Len : 107 ID : 140 [User-Name(1) ] [20] [xxxx] [NAS-IP-Address(4) ] [6 ] [x.x.x.x] [Framed-IP-Address(8) ] [6 ] [x.x.x.x] [Acct-Session-Id(44) ] [35] [xxxx] [NAS-Identifier(32) ] [20] [xxxx]
|
2、在debug记录中搜error,发现打印了找不到授权服务器的错误信息。
Feb 19 2020 16:09:02.430.1 xxxx-ME60X8 RDS/7/DEBUG: [RDS(Err):] author server does not exist |
3、检查设备配置,发现radius-server group中,该服务器用作计费服务器,且配置中绑定了VPN,但在该IP对应的授权服务器配置中未配置VPN。
此处绑定了VPN radius-server group xxxx radius-server shared-key xxxx authentication x.x.x.x 1812 weight 0 radius-server shared-key xxxx accounting *.*.*.* vpn-instance BRAS_MSE 1813 weight 0 radius-server shared-key xxxx accounting *.*.*.* vpn-instance BRAS_MSE 1813 weight 0 配置授权时未绑定VPN radius-server authorization *.*.*.* shared-key xxxx server-group xxxx radius-server authorization *.*.*.* shared-key xxxx server-group xxxx |
4、 当计费服务器给BAS发送DM消息时,由于服务器在VPN内,BAS会在VPN内查找是否配置了对应的授权服务器,而该服务器IP对应的授权服务器配置并未绑定VPN,因此在VPN内找不到该授权服务器,报文被BAS设备丢弃,debug打印找不到授权服务器错误,所以radius无法通过DM消息踢用户下线。
根因
发送DM消息的radius服务器在VPN内,但该服务器对应的授权服务器未绑定VPN,则BAS收到DM消息时会因查找不到授权服务器而丢弃该DM消息,导致radius无法踢用户下线。
解决方案
在授权服务器配置中添加radius-server group中绑定的VPN
radius-server authorization *.*.*.* shared-key xxxx server-group xxxx radius-server authorization *.*.*.* shared-key xxxx server-group xxxx radius-server authorization *.*.*.* vpn-instance xxxx shared-key xxxx server-group xxxx radius-server authorization *.*.*.* vpn-instance xxxx shared-key xxxx server-group xxxx |
建议与总结
COA和DM消息叫作radius授权拓展报文,因此BAS接收COA和DM消息时会检查对应的授权服务器配置,只有授权服务器IP与接收到的报文源IP一致时,BAS才会处理对应的消息。计费和认证报文不需要检查授权服务器,因此该案例中用户主动上下线不受影响。
通常需要COA和DM消息下发以后不生效的问题,都需要先检查授权服务器的配置,要保证授权服务器的配置与radius-server group中对应radius服务器的配置一致(VPN,sever-group等)。
要注意一点,radius下发COA和DM消息时,是radius与BAS之间进行报文交互,BAS下挂的用户终端是不会收到radius的报文的,例如通过DM消息踢用户下线时,BAS回应了DM ACK以后,由BAS给radius发送停止计费报文走用户下线流程踢用户下线,而不是将DM消息发给用户终端通知用户下线。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » ME60设备radius下发DM消息无法踢用户下线
作者: 小编
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm