• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

某学校 S7506E portal认证报错

2018-09-26 发表
  • 0关注
  • 0收藏,767浏览
关萌 五段
粉丝:1人 关注:0人

组网及说明

用户使用我司S7506E v7版本设备做为认证设备,使用第三方城市热点认证服务器做portal服务器同时为radius服务器。用户刚配置完后测试正常,在后续使用中出现大部分用户无法上线的情况。


问题描述

用户刚配置完后测试正常,在后续使用中出现大部分用户无法上线的情况。  无法上线用户在终端上弹出portal页面后,输入用户名密码,点击登录按钮,会弹出认证失败报错。

用户反馈认证服务器收到设备回复的AC201错误,而后又收到NTF_LOGOUT报文,内容为Idle time out。

认证服务器收到的AC201错误报文如下

认证服务器收到Idle time out报错报文如下。



过程分析

 通过对用户反馈的配置信息进行分析,发现设备配置正常。同时查询相关版本的已知问题,未发现Portal相关问题。通过收集debug信息进行进一步定位,通过收集debug信息发现,大量正常portal认证报文,但经过仔细排查发现有如下错误信息。设备调信息中会有获取服务器信息失败的报错。于是设备对portal服务器回复了AC201信息。

*Sep  1 11:54:32:186 2018 BRAS RADIUS/7/EVENT: -MDC=1;

Processing AAA request data.

*Sep  1 11:54:32:186 2018 BRAS RADIUS/7/EVENT: -MDC=1;

Processing AAA request data.

*Sep  1 11:54:32:186 2018 BRAS RADIUS/7/EVENT: -MDC=1;

Got request data successfully, primitive: authentication.

*Sep  1 11:54:32:186 2018 BRAS RADIUS/7/EVENT: -MDC=1;

Getting RADIUS server info.

*Sep  1 11:54:32:187 2018 BRAS RADIUS/7/ERROR: -MDC=1;

Failed to get server info.

*Sep  1 11:54:32:187 2018 BRAS RADIUS/7/EVENT: -MDC=1;

Sent reply message successfully.

*Sep  1 11:54:32:187 2018 BRAS RADIUS/7/EVENT: -MDC=1;

Processing AAA request data.

 *Sep  1 11:54:32:187 2018 BRAS RADIUS/7/EVENT: -MDC=1;

Processing AAA request data.

*Sep  1 11:54:32:187 2018 BRAS RADIUS/7/EVENT: -MDC=1;

Processing AAA request data.

 *Sep  1 11:54:32:187 2018 BRAS RADIUS/7/EVENT: -MDC=1;

PAM_RADIUS: Processing RADIUS authentication.

*Sep  1 11:54:32:187 2018 BRAS RADIUS/7/EVENT: -MDC=1;

PAM_RADIUS: Fetched authentication reply-data successfully, resultCode: 3

*Sep  1 11:54:32:187 2018 BRAS PORTAL/7/FSM: -MDC=1; Auth-SM: Started to run.

 

*Sep  1 11:54:32:188 2018 BRAS PORTAL/7/PACKET: -MDC=1;

Portal sent 23 bytes of packet: Type=ack_auth(4), ErrCode=1, IP=10.107.64.21

*Sep  1 11:54:32:188 2018 BRAS PORTAL/7/PACKET: -MDC=1;

[  5 TEXTINFO            ] [  7] [AC201]

通过调试信息,怀疑radius服务器状态异常,另用户反馈服务器状态信息,发现服务器状态正常为active状态。

<BRAS>dis radius scheme dr

RADIUS scheme name: dr

  Index: 0

  Primary authentication server:

    IP   : 172.16.*.*                              Port: 1812 

    VPN  : Not configured                         

    State: Active

    Test profile: Not configured

    Weight: 0

  Primary accounting server:

    IP   : 172.16.*.*                              Port: 1813 

    VPN  : Not configured                          

    State: Active

    Weight: 0

  Accounting-On function                     : Enabled

    extended function                        : Disabled

    retransmission times                     : 50

    retransmission interval(seconds)         : 3

  Timeout Interval(seconds)                  : 3

  Retransmission Times                       : 3

  Retransmission Times for Accounting Update : 5

  Server Quiet Period(minutes)               : 5

  Realtime Accounting Interval(seconds)      : 720

  Stop-accounting packets buffering          : Enabled

    Retransmission times                     : 500

  NAS IP Address                             : 172.16.*.*

  Source IP Address                          : Not configured

  VPN                                        : Not configured

  Username format                            : keep-original

  Data flow unit                             : Byte

  Packet unit                                : One

  Attribute 15 check-mode                    : Strict

  Attribute 25                               : Standard

  Remanent-Volume threshold                  : 0

  Attribute Remanent-Volume unit             : Kilo

  Server-load-sharing                        : Disabled

  Server-load-sharing mode                   : Session-based

  Attribute 31 MAC format                    : HH-HH-HH-HH-HH-HH

  Stop-accounting packets send-force         : Disabled

  RADIUS server version (vendor ID 2011)     : 1.0

  Authentication response pending limit      : Not configured

  Accounting response pending limit          : Not configured

  Username authorization                     : Not applied


通过以上信息看,可以确认当前服务器状态正常,怀疑服务器有可能有不稳定或性能不足情况,另用户反馈radius服务器统计信息和多次收集服务器状态,看是否有出现不正常情况,信息收集结果如下,服务器有很多重传、超时以及没有回复的报文统计,同时多次收集radius服务器状态也可以发现有服务器被阻塞的情况。

<BRAS>dis radius statistics

 

                                 Auth.         Acct.       SessCtrl.       DAE.

          Request Packet:      15032         15287             0            36

            Retry Packet:       2616            46             -             0

          Timeout Packet:       3923            68             -             -

        Access Challenge:          0             -             -             -

           Account Start:          -           714             -             -

          Account Update:          -         13989             -             -

            Account Stop:          -           584             -             -

       Terminate Request:          -             -             0            36

              Set Policy:          -             -             0             0

    Packet With Response:      13725         15265             0            36

 Packet Without Response:       1307            22             -             -

          Access Rejects:      13008             -             -             -

          Dropped Packet:          0             0             0             0

          Check Failures:          0             0             0             0

<BRAS>dis radius scheme dr

RADIUS scheme name: dr

  Index: 0

  Primary authentication server:

    IP   : 172.16.*.*                              Port: 1812 

    VPN  : Not configured                         

    State: Block

    Test profile: Not configured

    Weight: 0

  Primary accounting server:

    IP   : 172.16.*.*                              Port: 1813 

    VPN  : Not configured                          

    State: Active

    Weight: 0

  Accounting-On function                     : Enabled

    extended function                        : Disabled

    retransmission times                     : 50

    retransmission interval(seconds)         : 3

  Timeout Interval(seconds)                  : 3

  Retransmission Times                       : 3

  Retransmission Times for Accounting Update : 5

  Server Quiet Period(minutes)               : 5

  Realtime Accounting Interval(seconds)      : 720

  Stop-accounting packets buffering          : Enabled

    Retransmission times                     : 500

  NAS IP Address                             : 172.16.*.*

  Source IP Address                          : Not configured

  VPN                                        : Not configured

  Username format                            : keep-original

  Data flow unit                             : Byte

  Packet unit                                : One

  Attribute 15 check-mode                    : Strict

  Attribute 25                               : Standard

  Remanent-Volume threshold                  : 0

  Attribute Remanent-Volume unit             : Kilo

  Server-load-sharing                        : Disabled

  Server-load-sharing mode                   : Session-based

  Attribute 31 MAC format                    : HH-HH-HH-HH-HH-HH

  Stop-accounting packets send-force         : Disabled

  RADIUS server version (vendor ID 2011)     : 1.0

  Authentication response pending limit      : Not configured

  Accounting response pending limit          : Not configured

  Username authorization                     : Not applied

当主服务器状态为active时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为block,并启动该服务器的quiet定时器,然后按照从服务器的配置先后顺序依次查找状态为active的从服务器进行认证或者计费。如果状态为active的从服务器也不可达,则将该从服务器的状态置为block,同时启动该服务器的quiet定时器,并继续查找状态为active的从服务器。当服务器的quiet定时器超时,或者手动将服务器状态置为active时,该服务器将恢复为active状态。在一次认证或计费过程中,如果设备在尝试与从服务器通信时,之前已经查找过的服务器状态由block恢复为active,则设备并不会立即恢复与该服务器的通信,而是继续查找从服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。

通过以上信息可以看出,为服务器软件、或服务器网上性能有限。大量用户同时上线,radius报文同时发向服务器过多,导致服务器无法及时处理,终端用户无法上线。

解决方法

调整优化服务器性能,使用户认证报文得到及时处理,同时按下表适当调大了服务器定时器时间。


表1 设置RADIUS服务器的定时器

操作

命令

说明

进入系统视图

system-view

-

进入RADIUS方案视图

radius scheme radius-scheme-name

-

设置RADIUS服务器响应超时时间

timer response-timeout seconds

缺省情况下,RADIUS服务器响应超时定时器为3秒

设置服务器恢复激活状态的时间

timer quiet minutes

缺省情况下,服务器恢复激活状态前需要等待5分钟


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作