SR6600路由器主备Radius服务器不能正常切换问题经验案例

一． 组网及问题描述

SR66路由器设备版本：R2420P12

客户使用了一台SR66路由器作为LNS设备，做L2TP拨号使用，采用Radius远程认证的方式对用户的身份进行验证。但是在某次测试过程中，客户发现当主服务器不可用时，SR66上的Radius报文依旧向主服务器Server 1发送，而不会切换到从服务器Server 2。例如：

*Jun 19 23:17:53:981 2014 JL1_EP_AR_03 RDS/7/DEBUG: -Slot=3; Send: IP=[10.124.18.27], UserIndex=[735], ID=[152], RetryTimes=[0], Code=[1], Length=[123]

二．问题分析

通常情况下，设备上主从服务器的切换遵从以下原则：

l              当主/从服务器状态均为active时，设备首先与主服务器通信，若主服务器不可达，则主服务器状态变为block，设备转而与状态为active的从服务器交互。在timer quiet（默认5分钟）设定的时间达到后主服务器状态自动恢复为active，从服务器状态不变，设备与主服务器进行通信。后续报文交互时设备仍然遵从以上规则进行主从服务器的切换。而计费开始后，客户端与从计费服务器之间的通信不会因为主计费服务器的恢复而切换。

l              当主/从服务器的状态均为block时，设备仅与主服务器通信，若主服务器可达，则主服务器状态变为active，否则保持不变。

l              在主/从服务器状态不一致的条件下，设备仅与状态为active的服务器通信，即使该服务器不可达，设备也不会尝试与另外一个服务器通信，除非另外一个服务器状态发生变更。

缺省情况下，设备将配置了IP地址的各RADIUS服务器的状态均置为active，用户可以通过以下配置手工改变RADIUS服务器的当前状态。

如上，当主从服务器都为block时，设备将只会给主服务器发送Radius报文，

在设备上查看Radius服务器状态：

[H3C] dis radius scheme radius slot 3  //分布式设备需要加Slot查看服务器状态 SchemeName  : radius                             Index : 0                           Type : standard   Primary Auth Server:     IP: 1.1.1.1                            Port: 1812   State: active      Encryption Key : N/A     VPN instance   : N/A   Primary Acct Server:     IP: 1.1.1.1                             Port: 1813   State: active      Encryption Key : N/A     VPN instance   : N/A   Second Auth Server:     IP: 1.1.1.2                            Port: 1812   State: block      Encryption Key : N/A     VPN instance   : N/A   Second Acct Server:     IP: 1.1.1.2                            Port: 1813   State: active      Encryption Key : N/A     VPN instance   : N/A   Auth Server Encryption Key : h3c   Acct Server Encryption Key : h3c   VPN instance               : N/A   Interval for timeout(second)                            : 1   Retransmission times for timeout                        : 1   Interval for realtime accounting(minute)                : 0   Retransmission times of realtime-accounting packet      : 1   Retransmission times of stop-accounting packet          : 500   Quiet-interval(min)                                     : 5   Username format                                         : without-domain   Data flow unit                                          : Byte   Packet unit                                             : one   NAS-IP address                                          : 1.1.1.254

因为timer quiet 命令只对主服务器有效，而从服务器只要有一次不可达变为block状态，就会一直处于block状态，并不会恢复为active状态。

所以，当主服务器不可达变为block状态时，因为此时从服务器也是block状态，SR66路由器便会一直向主服务器发送Radius报文。

三．  解决方法

1.        现版本可通过在radius配置下，通过state secondary authentication active 命令手动将从服务器激活；

2.        可升级R25以上版本，在R25以上版本中，从服务器也会有timer quiet计时器，可以动态的刷新从服务器的转台，当从服务器处于block状态时，会启动timer quiet定时器（默认5分钟），5分钟后会自动将服务器置为active状态；这样不会出现服务器切换不成功，只向主服务器发送Radius报文的问题。