某局点配置了AC的portal双机热备,目前通过imc下发用户的账户权限进行上网控制。现场反馈用户portal认证成功之后过几秒钟又下线,不断的重复这个过程。接下来针对这个问题进行分析。
通过上面的问题现象描述,我们先从设备配置、搜集设备的debugging portal all、debugging radius packet信息进行分析。
1. 搜集设备的配置信息
我们通过搜集无线控制器的主要配置信息如下:
radius nas-ip 172.20.1.36 //配置nas-ip
nas device-id 1
下面是备份ac的配置:
#
wlan backup-ac ip 172.20.1.35
wlan backup-ac switch-delay 100
下面是双机热备的配置:
#
hot-backup enable domain 1
hot-backup vlan 2205
#
dhbk enable backup-type symmetric-path
dhbk vlan 2205
下面是user-profile下发acl的配置:
#
acl number 3001
rule 100 permit ip
#
user-profile nfsq1
#
下面是接口启用portal的配置:
#
interface Vlan-interface2032
ip address 10.194.35.253 255.255.252.0
portal server nfsq method direct
portal domain nfsq
portal backup-group 1
portal nas-ip 172.20.1.36
portal mac-trigger enable
portal mac-trigger server ip 10.210.2.2
从上面的配置来看,双机热备并没有什么大的问题,因此让业软工程师排查imc服务器之后发现imc配置也没有问题,但是imc服务器侧有nas-error的报错。但是imc配置和ac侧配置的nas-ip以及nas-id是没有问题的。
2. 开启设备的debugging portal all、debugging radius packet信息进行分析。
我们通过查看用户提供的用户名以及ip地址之后分析了上线过程如下:
下面只是截取了上线成功的debug信息:
*Jan 10 15:44:06:658 2017 LWCO-N1-U19-WLC-5510-1 RDS/7/DEBUG: Send: IP=[10.210.2.2], UserIndex=[2442], ID=[60], RetryTimes=[0], Code=[4], Length=[266] //ac发送计费请求报文到radius服务器。
*Jan 10 15:44:06:658 2017 LWCO-N1-U19-WLC-5510-1 RDS/7/DEBUG: Send Raw Packet is:
*Jan 10 15:44:06:677 2017 LWCO-N1-U19-WLC-5510-1 RDS/7/DEBUG: Pick-up 1 Notify from Receive Raw Packet and Send SC!
*Jan 10 15:44:06:678 2017 LWCO-N1-U19-WLC-5510-1 RDS/7/DEBUG: Receive:IP=[10.210.2.2],Code=[5],Length=[68] //ac收到radius回复的计费响应报文。
*Jan 10 15:44:06:678 2017 LWCO-N1-U19-WLC-5510-1 RDS/7/DEBUG:
%Jan 10 15:44:06:679 2017 LWCO-N1-U19-WLC-5510-1 PORTAL/5/PORTAL_USER_LOGON_SUCCESS: -UserName=renjinxing-Host=-IPAddr=10.194.32.17-IfName=Vlan-interface2032-VlanID=2032-MACAddr=B8:86:87:47:0A:89-APMAC=60:0B:03:57:12:40-SSID=YST-NasId=-NasPortId=; User got online successfully. //portal用户上线成功。
*Jan 10 15:44:06:679 2017 LWCO-N1-U19-WLC-5510-1 PORTAL/7/PORTAL_DEBUG:
*Jan 10 15:44:06:679 2017 LWCO-N1-U19-WLC-5510-1 PORTAL/7/PORTAL_DEBUG: Send NTF-USER-LOGON.
紧接着AC发送了type 8的portal报文到portal服务器,强制将用户下线。日志里面提示为nas-error。
%Jan 10 15:44:07:471 2017 LWCO-N1-U19-WLC-5510-1 PORTAL/5/PORTAL_USER_LOGOFF: -UserName=renjinxing-IPAddr=10.194.32.17-IfName=Vlan-interface2032-VlanID=2032-MACAddr=B8:86:87:47:0A:89-APMAC=600B-0357-1240-SSID=YST-NasId=-NasPortId=-Reason=NAS Error-InputOctets=0-OutputOctets=0-InputGigawords=0-OutputGigawords=0-SessiOnTime=1; User logged off.
*Jan 10 15:44:07:471 2017 LWCO-N1-U19-WLC-5510-1 PORTAL/7/PORTAL_DEBUG:
Portal send to 10.210.2.2 packet length:82
Portal packet head:
Type:8 SN:653 ReqId:0 AttrNum:4 ErrCode:0 UserIP:10.194.32.17
Portal packet attribute list:
[ 10 BAS-IP ] [ 6] [172.20.1.36]
[ 11 Session-ID ] [ 8] [b88687470a89]
[ 5 TextInfo ] [ 30] [Send NTF_LOGOUT when online!]
[ 38 DeviceStartTime ] [ 6] [1483972423]
*Jan 10 15:44:07:475 2017 LWCO-N1-U19-WLC-5510-1 RDS/7/DEBUG: Send: IP=[10.210.2.2], UserIndex=[2442], ID=[62], RetryTimes=[0], Code=[4], Length=[356] //ac发送了radius报文到radius服务器请求计费更新。
*Jan 10 15:44:07:475 2017 LWCO-N1-U19-WLC-5510-1 RDS/7/DEBUG: Send Raw Packet is:
*Jan 10 15:44:07:529 2017 LWCO-N1-U19-WLC-5510-1 RDS/7/DEBUG: Receive:IP=[10.210.2.2],Code=[5],Length=[32] //radius服务器回复计费停止报文。
*Jan 10 15:44:07:529 2017 LWCO-N1-U19-WLC-5510-1 RDS/7/DEBUG:
[H3C-26 Connect_ID ] [6 ] [2442]
*Jan 10 15:44:07:529 2017 LWCO-N1-U19-WLC-5510-1 PORTAL/7/PORTAL_DEBUG: Send NTF-USER-LOGOFF. //ac发送用户下线portal报文。
从上面的debug看出,portal用户下线是我们设备主动发起的。此局点配置了双机热备,那么我们主设备的portal用户上线之后会和备ac进行配置的同步,客户配置了user-profile给用户下发权限,那么要求两台设备的acl配置是需要一样的,经过后来的检查,发现用户没有在备ac上面配置acl 3001,将两台设备的acl同步之后问题解决,portal用户在线稳定了。
经过上述的分析,此问题的解决办法就是两台设备上面需要保证同样的配置,两台设备的acl需要一致之后问题解决。
1、配置双机热备的时候,需要仔细检查配置,两台设备的配置需保证一致。否则会出现设备之间同步配置失败造成各种比较奇怪的问题和报错。
2、此问题主要原因就是备ac上面没有配置相关的acl规则导致的,因此设备之间同步配置失败,设备主动发起type 8号报文将用户强制下线。因此会造成故障现象就是用户上线之后立马下线。
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作