某局点AAA服务器分配地址冲突导致L2TP拨入SR66异常经验案例

SR6604-X 版本R3303P04

某局点SR6604-X L2TP拨号异常。上午用户L2TP拨入没问题，都能拨入。下午拨入用户大概800人左右，有比较多的用户拨不上。

基本环境

测试时PC使用账号xxxx拨不上，使用另一个账号就可以拨上了，账号是允许10个人同时登陆的，地址为AAA服务器分配。怀疑AAA服务器分配地址异常导致。

SR66地址:61.183.0.1（该地址为防火墙的地址，映射到SR66地址为172.16.254.241）

测试PC地址:192.168.1.114

测试账号：xxxx 密码：xxxxxx

过程分析

L2TP协商已经到了分配地址和确认地址的阶段，正常情况PC发送Configuration Request确认地址，如果该地址可以使用，则SR66回复Configuration Ack。

故障时，SR66收到PC发出的Configuration Request确认地址，确认的地址为172.16.158.21。SR66查询该地址是否合法，发现已经有其他用户正在使用该地址，SR66上提示地址冲突然后主动发送Termination Request让该客户下线。

  ===============display ip routing-table===============

============================================================

Routing Tables: Public

    Destinations : 830   Routes : 833

Destination/Mask    Proto  Pre  Cost         NextHop         Interface

172.16.158.21/32    Direct 0    0            172.16.158.21   VT1

故障时的诊断中可以看到该地址已经有客户端正在使用。

%Jan  6 14:06:28:116 2016 CRM2.5-VPN2 RDS/6/RDS_SUCC: -Slot=2; -IfName=Virtual-Template1:315-VlanId=0-MACAddr=00:00:00:00:00:00-IPAddr=N/A-IPv6Addr=N/A-UserName=xxxx@xxx; User got online successfully.

Jan  6 14:06:39:022 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;

  PPP Packet:

      Virtual-Template1:315 Input  IPCP(8021) Pkt, Len 20

      State ackrcvd, code ConfReq(01), id 11, len 16

      IP Address(3), len 6, val ac109e15 

      Primary DNS Server Address(81), len 6, val ca672c96 

*Jan  6 14:06:39:022 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;

  PPP Event:

      Virtual-Template1:315 IPCP RCR+(Receive Config Good Request)  Event

      state ackrcvd

*Jan  6 14:06:39:023 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;

  PPP Error:

      Virtual-Template1:315 IPCP : Ipcp_upcheck: Peer IP address conflicts!

*Jan  6 14:06:39:023 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;

  PPP Event:

      Virtual-Template1:315 LCP Close  Event

      state opened

*Jan  6 14:06:39:023 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;

  PPP State Change:

      Virtual-Template1:315 LCP : opened --> closing

*Jan  6 14:06:39:023 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;

  PPP Packet:

      Virtual-Template1:315 Output LCP(c021) Pkt, Len 8

      State closing, code TermReq(05), id 3, len 4

从debug中分析，SR66收到ConfReq确认地址后，SR66检测到地址冲突提示Ipcp_upcheck: Peer IP address conflicts!，SR66主动发出TermReq让客户下线。

从debug中分析，有较多的用户下线，原因都是分配的地址冲突导致。

在AAA服务器上查看日志，在拨入的时间点，获取的地址在AAA服务器上已经有用户正在使用了。

方法一：排查AAA服务器分配地址冲突的原因。

方法二：可以修改为SR66设备为L2TP用户分配地址。