SR6604-X 版本R3303P04
某局点SR6604-X L2TP拨号异常。上午用户L2TP拨入没问题,都能拨入。下午拨入用户大概800人左右,有比较多的用户拨不上。
基本环境
测试时PC使用账号xxxx拨不上,使用另一个账号就可以拨上了,账号是允许10个人同时登陆的,地址为AAA服务器分配。怀疑AAA服务器分配地址异常导致。
SR66地址:61.183.0.1(该地址为防火墙的地址,映射到SR66地址为172.16.254.241)
测试PC地址:192.168.1.114
测试账号:xxxx 密码:xxxxxx
过程分析
L2TP协商已经到了分配地址和确认地址的阶段,正常情况PC发送Configuration Request确认地址,如果该地址可以使用,则SR66回复Configuration Ack。
故障时,SR66收到PC发出的Configuration Request确认地址,确认的地址为172.16.158.21。SR66查询该地址是否合法,发现已经有其他用户正在使用该地址,SR66上提示地址冲突然后主动发送Termination Request让该客户下线。
===============display ip routing-table===============
============================================================
Routing Tables: Public
Destinations : 830 Routes : 833
Destination/Mask Proto Pre Cost NextHop Interface
172.16.158.21/32 Direct 0 0 172.16.158.21 VT1
故障时的诊断中可以看到该地址已经有客户端正在使用。
%Jan 6 14:06:28:116 2016 CRM2.5-VPN2 RDS/6/RDS_SUCC: -Slot=2; -IfName=Virtual-Template1:315-VlanId=0-MACAddr=00:00:00:00:00:00-IPAddr=N/A-IPv6Addr=N/A-UserName=xxxx@xxx; User got online successfully.
Jan 6 14:06:39:022 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;
PPP Packet:
Virtual-Template1:315 Input IPCP(8021) Pkt, Len 20
State ackrcvd, code ConfReq(01), id 11, len 16
IP Address(3), len 6, val ac109e15
Primary DNS Server Address(81), len 6, val ca672c96
*Jan 6 14:06:39:022 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;
PPP Event:
Virtual-Template1:315 IPCP RCR+(Receive Config Good Request) Event
state ackrcvd
*Jan 6 14:06:39:023 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;
PPP Error:
Virtual-Template1:315 IPCP : Ipcp_upcheck: Peer IP address conflicts!
*Jan 6 14:06:39:023 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;
PPP Event:
Virtual-Template1:315 LCP Close Event
state opened
*Jan 6 14:06:39:023 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;
PPP State Change:
Virtual-Template1:315 LCP : opened --> closing
*Jan 6 14:06:39:023 2016 CRM2.5-VPN2 PPP/7/debug2: -Slot=2;
PPP Packet:
Virtual-Template1:315 Output LCP(c021) Pkt, Len 8
State closing, code TermReq(05), id 3, len 4
从debug中分析,SR66收到ConfReq确认地址后,SR66检测到地址冲突提示Ipcp_upcheck: Peer IP address conflicts!,SR66主动发出TermReq让客户下线。
从debug中分析,有较多的用户下线,原因都是分配的地址冲突导致。
在AAA服务器上查看日志,在拨入的时间点,获取的地址在AAA服务器上已经有用户正在使用了。
方法一:排查AAA服务器分配地址冲突的原因。
方法二:可以修改为SR66设备为L2TP用户分配地址。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作