知

解决iMC EIA用户上线几分钟之后自动下线的经验案例

2018-01-09 发表

0关注
1收藏 3154浏览

李树兵

李树兵四段

粉丝：2人关注：0人

某局点用户进行Portal认证，发现认证上来的用户接入时长几乎全部都是2分钟。如下图所示：

用户上线2分钟之后自动下线，重新认证。

复现问题，收集认证过程中的UAM以及portal调试级别的日志，通过日志可以发现日志中记录如下信息：

%% 2018-01-09 11:55:34.203 ; [LDBG] ; [19624] ; radDispatcher ; prsRawPkt: chk-sum 1735778518. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [19624] ; LAN ; prsMixedUsr: in [60:91:F3:0D:D9:E2], out [60:91:F3:0D:D9:E2]. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [19624] ; radEnt ; setPxyType: No domain name. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctMsgProc.exec: begin. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; USR ; chkIfTransparentAuthUsr: [60:91:f3:0d:d9:e2] is allowed to do transparent auth as user [1876160xxxx]. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctUpd.exec: Begin. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; lanAcctUpd ; getUpdInfoByOnline: usrSrvc[1876160xxxx], nasIp[168427542,], acctSess[000000072018010911443400137c6308100971], usrId[20417], srvcId[20420]. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; c.getUsrSrvcInfoById: begin. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; accSvc ; queryServiceStrategyByID: matching rule(1) with priority 0 under srvc-templ 1. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; c.getUsrSrvcInfoById: end OK. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctUpd.acctSrvcChk: doing chkBlacklist OK. %% 2018-01-09 11:55:34.203 ; [WARN] ; [22192] ; LAN ; UsrSvc.calcUsrSessQuan: user[id:20417] is out of online time limit. //日志记录id为20417的用户超过了在线时间限制 %% 2018-01-09 11:55:34.203 ; [WARN] ; [22192] ; LAN ; lanAcctUpd.acctSrvcChk: fail to call usrSvc.calcUsrSessQuantity. errCode: 63639. %% 2018-01-09 11:55:34.203 ; [ERR] ; [22192] ; LAN ; lanAcctUpd.execCharging: Fail to call acctSrvcCheck. errCode: 63639 %% 2018-01-09 11:55:34.203 ; [ERR] ; [22192] ; LAN ; lanAcctUpd.exec: failed to exec charging, errCode: 63639. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctUpd.exec: End OK. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; accSvc ; matchSvcStragy: matching default rule(1) under srvc-templ 1. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; Begin replyPrivateAttr, auth step is 3, AttrPolicyId is -1, DeviceTypeId is 1100 %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; 1876160xxxx ; 5 ; 7800f40123cb41e5a66de566d4bb1ecf ; OEaJOEOw ; Send message attribute list: Code = 5 ID = 177 ATTRIBUTES: Session-Timeout(27) = 0 %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctMsgProc.exec: End. %% 2018-01-09 11:55:34.462 ; [LDBG] ; [19624] ; LAN ; 44:6E:E5:9B:6C:CE ; 4 ; 3d2dcc50e614464da8a8c4102be110b7 ; Received message from 10.10.0.22: CODE = 4. ID = 178. ATTRIBUTES: User-Name(1) = "44:6E:E5:9B:6C:CE". NAS-Identifier(32) = "JS-NJ-PKQZF.WX5560H". NAS-Port(5) = 16777251. NAS-Port-Type(61) = 19. NAS-Port-Id(87) = "0100000000000035". NAS-IP-Address(4) = 168427542. Framed-Protocol(7) = 255. Calling-Station-Id(31) = "44-6E-E5-9B-6C-CE". Called-Station-Id(30) = "70-3D-15-9A-22-E0:PUKOU-WIFI". Framed-IP-Address(8) = 168455263. Acct-Session-Id(44) = "000000072018010911443400137c6108100971". Acct-Session-Time(46) = 121. Acct-Input-Octets(42) = 1064820. Acct-Output-Octets(43) = 48004107. Acct-Input-Packets(47) = 8405. Acct-Output-Packets(48) = 36455. Acct-Input-Gigawords(52) = 0. Acct-Output-Gigawords(53) = 0. Acct-Terminate-Cause(49) = 5. Class(25) = "BA2jNxnI". hw_IP_Host_Addr(60) = "10.10.108.95 44:6e:e5:9b:6c:ce". Acct-Authentic(45) = 1. H3C_DHCP_Option55(208) = "012103060f1a1c333a3b". Acct-Status-Type(40) = 2. //之后设备发送给iMC服务器的CODE 4报文中就要求结束计费，用户下线。 Acct-Delay-Time(41) = 0. Event-Timestamp(55) = 1515498395. hw_Product_ID(255) = "H3C WX5560H". hw_Nas_Startup_Timetamp(59) = 1514070786.

通过日志可以看出为某个地方配置用户在线时间限制导致用户达到时间之后下线。

检查接入策略配置中单次最大在线时长的配置，看到现场接入策略配置的单次最大在线时长为2分钟，此为导致用户上线2分钟之后自动下线的原因，将此数值去掉，采用空配置，用户重新登录问题解决。

导致用户上线一段时间之后自动下线的原因可能有如下几方面：

第一方面：iMC侧端口组信息管理里面的心跳间隔和心跳超时设置了时间，因为移动端（手机终端）的浏览器无法记录后台信息，也就是终端无法和iMC的portalserver服务器交互心跳报文，这样就会导致在心跳超时时间之后用户下线。所以在有移动终端的组网环境下，建议端口组信息配置中心跳间隔和心跳超时设置为0，及不进行心跳检测。

第二方面：设备侧domain域下配置了idle-cut的配置。在设备侧对用户在线情况进行检测，如下面的配置：

domain portal
authorization-attribute idle-cut 29 1024 //检测用户在29分钟之内流量如果小于1024KB的话，设备侧将用户踢下线，同时通知iMC服务器将用户下线。
authentication portal radius-scheme portal
authorization portal radius-scheme portal
accounting portal radius-scheme portal

第三方面：正如此案例中由于误操作在接入策略中配置了单次最大在线时长，此配置常用于微信认证放通临时用户，所以一般不建议配置此选项。

注意：排除以上三个原因如还不能定位问题需要收集信息进行分析。信息包括：认证用户名，下线原因和下线时间以及此过程中的UAM和Portal的调试级别日志，收集完信息之后请联系华三工程师进行分析。

收集日志的方法如下：

较新版本登录到系统管理--系统配置--日志配置，设置uam和portlserver进程为debug级别，之后复现问题，复现之后点击旁边的下载进行日志收集。