问题描述:
1.以上4个进程意外终止时,终端用户交换机自动切换到备10.200.200.112服务器进行认证,当用户从备IMC200.112认证通过后,进行安全检查,终端提示未收到服务器响应被强制下线。
2.当出现这种情况时,登录备IMC服务器查看在线认证用户有1400多个,而且只是一部分用户出现被强制踢下线这种情况。同时各用户认证网段与备IMC通信为正常。
3.请问这些被踢下线的用户,是否会出现从备IMC认证通过,但是进行安全检查时却与主IMC10.80.255.112的策略进程进行通信,从而导致安全检查异常,用户被踢下线。
(0)
参考案例:
某局点采用wx5540E结合imc 做portal 双机热备,imc 侧也做了冷备,当imc 主机正常的时候,portal 认证都能正常认证成功,但是当imc 主机down 之后,切换到备机之后,设备侧修改配置把portal 指向imc 备机之后,发现portal 认证失败,imc 主动发下线报文,导致用户认证失败。
debug 信息:
Aug 15 19:39:05:730 2016 WX5540E-1 RDS/7/DEBUG: Send: IP=[10.1.11.5], UserIndex=[6211], ID=[40], RetryTimes=[0], Code=[1], Length=[267]
*Aug 15 19:39:08:724 2016 WX5540E-1 RDS/7/DEBUG: Recv MSG,[MsgType=PKT auth timeout Index = 6211, ulParam3=0]
*Aug 15 19:39:08:724 2016 WX5540E-1 RDS/7/DEBUG:
Event: Modify NAS-IP to 10.1.11.253.
*Aug 15 19:39:08:724 2016 WX5540E-1 RDS/7/DEBUG: Send: IP=[10.1.11.5], UserIndex=[6211], ID=[40], RetryTimes=[1], //重传第一次
*Aug 15 19:39:09:726 2016 WX5540E-1 PORTAL/7/PORTAL_DEBUG:
Portal receive from 10.1.11.6 packet length:38
Portal check packet OK
Portal packet head:
Type:5 SN:543 ReqId:6417 AttrNum:1 ErrCode:1 UserIP:10.3.0.13 //portal服务器发送给设备的下线请求报文
Portal packet attribute list:
[ 10 BAS-IP ] [ 6] [10.1.11.253]
Portal raw packet:
02 05 00 00 02 1f 19 11 0a 03 00 0d 00 00 01 01
ab 8d cc dd 84 38 74 1e 07 15 aa 94 ca 64 63 a2
0a 06 0a 01 0b fd
由于在设备侧配置radius 服务器的时候,配置了主从服务器,当主服务器down 之后,设备侧认证超时需要重传两次才会切换到备用服务器上,正常情况下设备每隔3s 会重发一次radius 报文,但是imc 上portal 超时时间默认为4s,通过分析设备侧的debug 信息的时候,发现设备重传了一次之后,imc 那边portal 已经达到超时时间了,导致imc 给设备发送下线报文,导致认证失败。
1.修改设备侧发送radius 报文的重传时间(timer response-timeout ),改为1s
2.修改imc 上portal 超时时间,改为10s
无
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论