组网及说明
L2TP组网中,SR8805-F设备做LAC。
问题描述
现网需要在LAC上配置l2tp-userradius-force,并在radius服务器上为用户授权64号属性(Tunnel-Type),用于控制LAC仅对合法用户进行后续L2TP处理。实际配置后,用户上线异常。
过程分析
首先确认网管是否正确下发了64号属性。需要通过debug radius packet查看authentication accept报文中携带的属性,发现属性中并没有64号Tunnel-Type。
*Dec 12 09:36:11:971 2015 SR88 RADIUS/7/PACKET:-MDC=1-Slot=2;
Received a RADIUS packet
ServerIP: 172.31.1.192
NAS-IP: 172.31.1.65
VPN instance:--(public)
Serverport: 1812
Type: Authentication accept
Length: 38
PacketID: 68
*Dec 12 09:36:11:971 2015 SR88 RADIUS/7/PACKET:-MDC=1-Slot=2;
Framed-Protocol=PPP
Framed-Compression=Van-Jacobson-TCP-IP
请radius服务器调整配置,再次debug radius packet,看到已正确下发64号属性=3,即tunnel type = l2tp。但此时用户上线失败。
*Dec 12 09:36:13:944 2015 SR88 RADIUS/7/PACKET: -MDC=1-Slot=2;
Received a RADIUS packet
Server IP : 172.31.1.192
NAS-IP : 172.31.1.65
VPN instance : --(public)
Server port : 1812
Type : Authentication accept
Length : 38
Packet ID : 68
*Dec 12 09:36:13:944 2015 SR8804X-1 RADIUS/7/PACKET: -MDC=1-Slot=2;
Tunnel-Type:0=L2TP
Framed-Protocol=PPP
Framed-Compression=Van-Jacobson-TCP-IP
经确认,该场景需求下,radius除64号属性外,还需同时下发65号属性tunnel medium type、67号属性tunnel server enpoint。正确下发过程对应的debug如下,该配置下l2tp用户能够正常上线。
*Dec 13 00:46:37:572 2015 SR8804X-1 RADIUS/7/PACKET: -MDC=1-Slot=2;
Received a RADIUS packet
Server IP : 172.31.1.192
NAS-IP : 172.31.1.65
VPN instance : --(public)
Server port : 1812
Type : Authentication accept
Length : 55
Packet ID : 169
*Dec 13 00:46:37:572 2015 SR8804X-1 RADIUS/7/PACKET: -MDC=1-Slot=2;
Tunnel-Type:0=L2TP
Tunnel-Medium-Type:0=IPv4
Tunnel-Server-Endpoint:0="200.1.1.2"
Framed-Protocol=PPP
Framed-Compression=Van-Jacobson-TCP-IP
解决方法
BRAS LAC配置l2tp-user radius-force场景下,radius服务器需要同时下发64、65、67号属性,以确保用户正常上线。
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作