數通產品案例集
ME60案例集
Radius故障定位步驟
背景信息
RADIUS和ME60的交互過程包括認證階段、開始計費階段、實時計費階段、停止計費階段。任何一步失敗都可能導致故障。所以對於RADIUS故障,首先通過業務跟蹤功能定位故障,如果業務跟蹤無法定位,再使用調試信息定位故障。定位RADIUS故障首先需要打開trace開關,索取一個故障用戶的MAC地址,然後trace該MAC地址,跟蹤用戶上線過程。基本上從上線過程信息中就可以判斷出問題原因。如果用戶量少的情況下,也可以打開radius debug開關,跟蹤上線流程。但一般現網上用戶量都比較大,所以不建議打開debug開關。
操作步驟
[ME60]trace enable
[ME60]trace access-user object 1 mac-address 00ec-fc01-0000
[ME60]quit
< ME60>terminal monitor
< ME60>terminal debugging
這樣操作後,00ec-fc01-0000用戶的radius信息及其撥號信息都會在登陸終端顯示出來。系統默認15分鐘關閉trace,所以操作完畢在15分鐘內需要讓用戶撥號或者獲取地址。
先確認radius的認證請求報文是否發出,在trace信息中如果有如下信息,說明報文發出,如果沒有,說明認證請求報文沒有發出。
Radius Sent a Packet
Server Template: 2
Server IP : 221.13.223.140
Vpn-Instance: -
Protocol: Standard
Code : Acct req
Len : 400
ID : 229
如果認證報文沒有發出,這種情況一般是由於配置不正確或者ME60和用戶之間沒有正確完成協商造成的,請檢查以下內容:
· 域的認證方式是否是RADIUS認證。
· 是否正確配置了RADIUS服務器組。
· 域是否正確引用了RADIUS服務器組。
· 各類業務在RADIUS認證前的協商階段是否正確完成。
如果認證請求報文已發出,請確認鏈路是否正常,確認到radius服務器的路由是否可達,ping radius服務器是否有丟包,檢查到達radius服務器的出接口是否有錯包統計(CRC,InRangeLength,Symbol)在增長。
如果鏈路正常,並且收不到raidius服務器的回應報文,請檢查radius服務器配置,確認radius服務器配置是否正確。現象一般表現為:用戶認證時,看到ME60發出了一次或多次RADIUS認證請求報文(Code為1),但是收不到任何響應報文。
RADIUS服務器不響應認證請求可能有如下原因:
· RADIUS服務器沒有配置對應ME60的NAS-ID。
· RADIUS服務器和ME60配置的共享密鑰不一致。
· RADIUS服務器和ME60配置的端口號不一致。
· RADIUS服務器和ME60配置的協議類型不一致。
如果收到radius拒絕報文,如下信息:
* [0.7287570-] RDS-8-02033000:
Radius Recieved a Packet
Server Group: 2
Server IP : 10.164.45.213
Server Port : 1645
Protocol: Standard
Code : 3
Len : 36
ID : 0
[Reply-Message(18)] [14] [Access Limit]
RADIUS認證被拒絕是指ME60發送RADIUS認證請求報文後,收到RADIUS的響應報文,且響應報文的Code為3,表示拒絕用戶的認證請求。對於此類問題,一般RADIUS服務器在響應拒絕報文中會通過18號屬性(Reply-Message)指出拒絕的原因,根據原因進行相應的處理即可。比如上述調試信息中的原因為Access Limit,表示同一帳號或同一VLAN下同時接入的用戶數過多。
如果RADIUS服務器在響應報文中沒有說明拒絕原因,或者拒絕原因不可識別,請向RADIUS服務器廠商諮詢。如果認證通過了,但沒有發送開始計費報文。那麼請檢查計費模板,是否配置的是radius計費。如果配置正確,還有一種情況就是RADIUS認證成功的響應報文中帶了ME60不識別的屬性,所以ME60不會發送計費報文,用戶上線失敗。
如果是radius計費失敗,表現的現象為:ME60發出了一次或多次RADIUS計費請求報文(Code為4),但是收不到任何響應報文(Code為5)。這種情況如果鏈路正常的話,多數都是radius計費服務器配置問題,請檢查radius計費服務器配置是否正確。
很多人都會誤認為radius認證沒有問題,那麼計費是同一臺服務器,所以肯定配置沒有問題,這種想法是不對的,計費服務器也需要配置,而且根radius認證配置不完全相同。
如果以上均不能解決問題,那麼請尋求技術支持。
PPPOE故障處理步驟
操作步驟
1. 使用命令查看用戶上線失敗原因。
<huawei> display aaa online-fail-record username test@hauwei/<huawei>
-------------------------------------------------------------------
User name : test@radius
User MAC : 0001-0101-0101
User access type : PPPoE
User interface : Atm4/0/2
User Pe Vlan : 99
User Ce Vlan : 99
User IP address : -
User ID : 233
User authen state : Authened
User acct state : AcctIdle
User author state : AuthorIdle
User login time : 2009-09-04 15:14:14
Online fail reason : PPP with authentication fail
-------------------------------------------------------------------
User online fail reason顯示的是用戶上線失敗的原因,根據原因我們可以大概判斷故障,為後面的具體定位提供指引,常見的PPPoX用戶上線失敗的原因如所示。
2. 檢查配置是否正確。
從步驟1 看到的用戶認證失敗原因中,有些是可以明確配置原因的,如Local authentication no user、Domain or user access limit對這類問題可以直接通過檢查配置解決問題。有些上線失敗的原因裡無法看到記錄,因為用戶並沒有上線,在下線記錄中也沒有用戶的記錄,這說明用戶PPPoX的鏈路沒有建立,對於這種情況,可以通過業務跟蹤來處理。
3. 查看業務跟蹤的消息。
使用命令(詳細命令見radius故障定位)打開用戶的業務跟蹤功能,進行用戶上線測試,在用戶上線過程結束後,查看業務跟蹤的消息。如果ME60沒有收到PADI或PADR報文,請檢查二層網絡是否可達;端口狀態是否正常;接入類型是否是二層用戶;認證方式是否包括PPP;接口下是否綁定了虛模板等。
如果無法看到業務跟蹤的消息,說明用戶沒有任何報文送到ME60,可能造成這種情況的可能原因有:
· 用戶接入類型錯誤。
· 用戶認證方法錯誤。
· 物理端口沒有綁定虛模板(VT)。
· 設備物理聯接錯誤。
· 二層設備的配置錯誤。
4. 數據配置檢查。
對於出現看不到用戶任何業務跟蹤消息情況時,請檢查以下配置:
· 確認設備物理聯接均正常。
· 確認ME60上相應的配置均正確無誤。
· 確認二層網絡配置正確。
· 確認報文正確可以到達ME60。
只要保證這些的配置均是正確的,則正確的業務跟蹤一定可以看到消息。
如果確認用戶上線失敗原因是數據配置問題,請根據跟蹤消息檢查相應的本地配置。
使用 mac-address [ mac ]來查看同一個MAC是否已經有用戶在線,保證MAC沒有衝突即可解決。
請檢查認證方法的配置,RADIUS認證的用戶是否正確配置是RADIUS服務器,是否在域下引用戶以及RADIUS狀態是否正常;檢查本地帳號的配置是否正確且沒有接入數限制等。
5. 判斷LCP過程是否完成,可從客戶端抓包進行判斷。
這樣可以很快地定位出LCP失敗是BRAS的原因還是客戶端的原因,或是設備間的配合問題。比較常見的故障現象:
某些PPPoE客戶端實現的不標準,發送了config-request報文,ME60響應了config-nak/config-reject報文,此時客戶端應當修改/增減相應config-request中的屬性值或屬性,但客戶端可能一直不改變這些協商屬性導致協商失敗。
ME60配置了CHAP驗證,但客戶端支持PAP驗證,所以LCP協商一直不通過導致失敗等。
判斷認證是否成功。
如果是本地認證,可能是本地帳號不存在、域未激活、帳號未激活、帳號類型不一致、接入限制。
如果是RADIUS認證的,可能是認證報文沒有響應。如果不能判斷,請參見"RADIUS故障處理"。
判斷NCP是否成功。
NCP在PPPoE中一般只有地址的協商,所以NCP的失敗也就是地址協商失敗。
檢查地址分配。
對於本地分配地址的情況
請檢查域下是否引用了相關的地址池,地址池中是否有空閒的IP地址。如果是RAIDUS指定地址池和section,則需要下發的屬性(88,Framed-Pool)正確,要求格式為"pool-name#section1,section2",如果只下發section則必須以"#"開始。需要保證指定的地址池在ME60上。
對於RADIUS分配地址的情況
請查看RADIUS認證響應報文中8號Framed-IP-Address屬性是否還有正確的值
如果是255.255.255.255或255.255.255.254則仍然是由本地分配地址,此時域下必須配置相應的地址池。如果RADIUS沒有下發這個屬性值,也將由域下的本地地址池分配地址。如果這個值不正確,分配IP地址失敗。
對於由ME60代理作為DHCP客戶端向DHCP服務器申請地址的情況
如果IP地址分配失敗,則需要檢查以下方面:
· ME60上DHCP服務器組配置是否正確,且在對應的地址池下引用。
· 到DHCP服務器組路由是否可達。
· 服務器工作是否正常。
· DHCP分配的地址是否合法。
· 是否在ME60相應地址池的範圍內。
· 掩碼和ME60地址池配置是否一致。
· 地址是否和當前在線用戶有衝突。
計費處理。
如果這時用戶還無法上線,則說明是計費故障,最常見的是開始計費失敗。對ME60來說,不存在本地計費的情況。只有RADIUS、HWTACAS和不計費三種,不計費的情況不會產生計費失敗。如果RADIUS和HWTACAS這兩種計費失敗後,ME60將計費先轉入本地保存後續計費話單,計費服務器恢復後,ME60將話單上傳給服務器。如果在本地保存的計費信息已滿,而計費服務器還未恢復時,後續的計費信息將丟棄。
後續處理
如果檢查結束,故障仍然無法排除,請聯繫華為的技術支持工程師。
DHCP用戶無法獲取IP地址處理步驟
可能存在以下原因:
· 如果是本地分配IP地址,可能是本地地址池的相關配置有問題。
· 如果用戶IP地址由遠端DHCP服務器分配,可能是地址池配置或與服務器通信故障。
· 相應域下的認證方式配置不正確。
操作步驟
1. 檢查是本地分配IP地址,還是通過遠端DHCP服務器分配IP地址。
2. 檢查本地分配IP地址配置,請檢查如下信息。
· 如果用戶IP地址由本地分配,請使用命令檢查域下引用的地址池。
· 對Web認證用戶,檢查認證前域配置是否正確。
· 對於綁定認證用戶,檢查認證域配置是否正確。
· 使用命令檢查對應的地址池下是否還有空閒的IP地址。
3. 檢查DHCP服務器。
如果用戶IP地址由遠端DHCP服務器分配,請檢查以下方面:
· 使用命令檢查DHCP服務器組和ME60之間通信是否正常。
· 使用命令查看域下引用的地址池是否正確。
· 使用命令查看對應的地址池是否為remote類型,並且引用了相應的DHCP服務器組。
4. 檢查認證。
在ME60中用戶如果要獲取IP地址,必須首先通過相應域的認證。
· Web認證的用戶,用戶是在認證前域認證,採用綁定格式的用戶名進行。
· 綁定認證的用戶,用戶是在認證域認證,採用綁定格式的用戶名進行。
· 本地認證或RADIUS認證的,AAA服務器上一定要配置用戶名和密碼。
5. 打開業務跟蹤(trace access-user,見radius故障定位部分)。
下面是一個DHCP正常獲取地址的業務跟蹤消息的過程中幾個比較重要的階段消息:
DHCP DISCOVER報文
Dec 4 2009 16:39:38.940.2 HUAWEI DHCPACC/7/DHCPACC_DBG:
PKT INFO: Hardware Type = 1, Hardware Address Length = 6
Hops = 0, Transaction ID = 0
Seconds = 0, Broadcast Flag = 1
Client IP Address = 0.0.0.0, Your IP Address = 0.0.0.0
Server IP Address = 0.0.0.0, Gateway IP Address = 0.0.0.0
Client Hardware Address = 0001-9901-0101
Server Host Name = [N/A], Boot File Name = [N/A]
Dhcp message type = DHCP_DISCOVER
這是DHCP的第一個消息。如果看不到此消息請檢查二層網絡是否正常。檢查ME60的BAS端口下接入類型是否配置為layer2-subscriber。檢查BAS端口下認證方式是否包括web/fast。檢查端口狀態是否正常等。如果此用戶不是第一次上線則不會有此報文,而是直接發送DHCP Request報文。
認證消息
[UCM DBG]MSG Recv From:DHCP Code:DHCPACC_UCM_CONN_REQ(200) Event:CONN_REQ Src:635 Dst:4294967295
[UCM DBG]MSG Send To:AAA Code:UCM_AAA_AUTH_REQ(83) Src:628 Dst:628
Dec 4 2009 16:39:38.940.30 HUAWEI UCM/7/DebugInfo:
[UCM DBG]UserName:HUAWEI@kouki
Dec 4 2009 16:39:38.940.31 HUAWEI UCM/7/DebugInfo:
[UCM DBG]UCM -> AAA : Send Msg Success
請注意消息中的Result,如果返回Fail的消息就需要檢查認證的相關配置。
認證響應消息
Dec 4 2009 16:39:38.940.46 HUAWEI AAA/7/AAADBG:
[AAA debug] Code: AAA->UCM authen ack UserID: 628
Dec 4 2009 16:39:38.940.47 HUAWEI AAA/7/AAADBG:
AAA EVENT:CID = 628,UserName = HUAWEI@kouki Authen State is OK
Dec 4 2009 16:39:38.940.48 HUAWEI UCM/7/DebugInfo:
[UCM DBG]Translate Msg(84) to Event(3)
Dec 4 2009 16:39:38.940.49 HUAWEI UCM/7/DebugInfo:
[UCM DBG]MSG Recv From:AAA Code:AAA_UCM_AUTH_ACK(84) Event:AUTH_PASS Src:628 Dst:628
連接回應消息
Dec 4 2009 16:39:38.940.56 HUAWEI UCM/7/DebugInfo:
[UCM DBG]Send Connect Ack to DHCPACC. Lease Time = 0 NeedReAuthen = 0
Dec 4 2009 16:39:38.940.57 HUAWEI UCM/7/DebugInfo:
[UCM DBG]MSG Send To:DHCP Code:UCM_DHCPACC_CONN_ACK(201) Src:628 Dst:635
Dec 4 2009 16:39:38.940.58 HUAWEI UCM/7/DebugInfo:
[UCM DBG]Result:0 Server:0 Gate:ffffffff
Dec 4 2009 16:39:38.940.59 HUAWEI UCM/7/DebugInfo:
[UCM DBG]UCM -> DACC : Send Msg Success
認證成功後,CM會向DHCPACC發連接響應消息。
IP地址分配請求消息
Dec 4 2009 16:39:38.940.71 HUAWEI DHCPS/7/DHCPS_DBG: Event:
Enter AM_DHCPS_ReqIp to apply ip [ffffffff]
Dec 4 2009 16:39:38.940.72 HUAWEI DHCPS/7/DHCPS_DBG: Event:
The applied free ip is a000061
Dec 4 2009 16:39:38.940.73 HUAWEI DHCPS/7/DHCPS_DBG:AM_DHCPS_ReqIp return VOS_OK
Dec 4 2009 16:39:38.940.74 HUAWEI DHCPS/7/DHCPS_DBG: Event:
DHCPS:AM_DHCPS_ReqIp return VOS_OK.Apply OK and send Offer.
DHCPACC收到連接響應消息後,向DHCPS轉發DHCP Discovery報文,DHCPS收到該報文後向AM(Address Manager)申請IP地址。
Sep 5 2009 11:31:54.230.5 HUAWEI DHCPACC/7/DHCPACC_DBG: Event: DHCPACC_UcmAcp
tForDiscover: Send discovery packet to server successfully and useris state is c
hanged to DHCPACC_DIS_WAIT_SERVER_OFFER
如果這裡消息不是successfully,請檢查相應的本地地址池的相關配置。
DHCP協議報文
Dec 4 2009 16:39:38.940.77 HUAWEI DHCPS/7/DHCPS_DBG:
[ DHCPS send ] : =====
[ Xid ]:0
[ cmd ]:2
[ Htype ]:1
[ Hlen ]:6
[ Hops ]:0
[ Secs ]:0
[ Flag ]:32768
[ Ciadd ]:0.0.0.0
[ Yiadd ]:10.0.0.97
[ Siadd ]:0.0.0.0
[ Giadd ]:10.0.0.1
[ Sname ]:
[ File ]:
[ Option]:-----
Message type:OFFER
Server id:10.0.0.1
leasetime:259200s
Renewtime:129600s
Rebindtime:226800s
Option82 :RID:HUAWEI-0100-0000-GE,CID:0100-0000-GE
對應DHCP協議中的DHCP Offer、DHCP Request、DHCP Ack報文,如果某一步失敗請根據返回的消息具體確認故障原因。
對於遠端分配IP地址的過程,只是在消息中多了與遠端DHCP服務器通信的過程,但基本的過程是一致的。
6. 查看調試信息。
調試信息比業務跟蹤消息更多一些,更有助於定位故障。
案例總結
通過DHCP服務器分配IP地址的時候,首先要保證DHCP和ME60能夠正常通信。
強制Web認證失敗故障處理步驟
故障分析:
主要有以下原因:
· 用戶未分配到IP地址。
· Web服務器路由不正確。
· 應用ACL。
· 服務器的工作不正常。
· 用戶組配置不正確。
· DNS服務器配置不正確。
操作步驟
1. 是否獲取IP地址。
獲取IP地址是用戶業務正常進行的基礎,如果無法獲取地址請參見"10.3"。
2. 直接IP地址訪問Web服務器。
如果用戶可以獲取地址,可以在瀏覽器中直接輸入Web服務器的IP地址看是否可以打開Web頁面,如果可以打開說明traffic-policy、路由、服務器工作正常。如果無法打開請檢查以下內容:
· 到Web服務器路由是否正常,請使用和命令檢查。
· traffic-pollicy配置是否正確,是否配置了相應的ACL、classfilter、behaivor、traffic-pollicy並把相應的traffic-policy在相應的端口下引用,特別注意traffic-policy應用的方式。
· 檢查服務器的工作是否正常等。
3. 使用任意IP地址訪問。
如果直接輸入Web服務器的IP地址可以訪問,則可以在瀏覽器中輸入一個任意的IP地址(不在允許訪問的範圍內)看是否可以強制,如果不能強制,則肯定是配置問題,需要檢查以下內容:
· 用戶組號是否正確配置,且用戶屬於這個組,請使用命令查看。
· traffic-policy的配置是否正確,是否除Web服務器、DNS等免費服務器外,其它地址應當都不允許訪問。不要把允許訪問的地址禁止。
· traffic-policy的應用是否合理,比如對某些用戶的控制應當是引用在對應的子接口下,而不能是主接口下。
4. 輸入域名強制。
如果使用任意IP地址可以強制到Web服務器,但是輸入域名不能強制到Web服務器,則是DNS的問題,則需要檢查以下方面:
· DNS是否在ACL允許訪問。
· 到DNS的路由是否可達。
· DNS的工作是否正常等。
也可以使用其它的DNS服務器代替以判斷是否是DNS服務器的問題。
5. 客戶端抓包。
如果通過以上的方法還不能解決問題,可以在客戶端抓包來分析。
案例總結
如果直接輸入Web服務器的IP地址可以訪問Web服務器,而不能實現強制,則要看配置上用戶組號和traffic policy是否有問題。如果使用任意IP地址可以強制到Web服務器,但是輸入域名不能強制,則是DNS的問題。
正確的用戶名和密碼不能通過HWTACACS認證
【故障現象】
在所示的網絡,在網絡的核心節點部署了路由協議、AAA、QoS、SNMP等業務,其中四臺設備屬於同一個AS域,路由協議採用IBGP、ISIS。現按照客戶規劃新的私有AS號重新配置路由器,將IBGP改為EBGP,將IGP的ISIS改為OSPF協議。其中ISIS協議中只包括互連接口和Loopback接口的IP地址。
圖1 核心網TACACS認證組網圖
配置完成後,原來正確的HWTACACS用戶名和密碼不能通過HWTACACS認證。
【故障分析】
1. 檢查TACACS Server記錄的用戶名和密碼與用戶使用的是否一致,發現用戶名和密碼正確。
2. 在ME60A上執行命令,檢查路由器和TACACS Server是否互通,發現能夠ping通。
3. 在ME60A上執行命令,檢查HWTACACS的配置是否正確。發現在HWTACACS服務器模板中配置瞭如下命令:
<code>hwtacacs-server source-ip 192.168.1.227/<code>
其中,192.168.1.227是ME60A的Loopback接口地址。
由於刪除的ISIS協議中包括Loopback接口的IP地址,並且HWTACACS使用ME60A的Loopback接口地址作為源IP,因此考慮可能是路由器無法收到TACACS SERVER返回的以192.168.1.227為目的地址的認證響應報文,導致HWTACACS認證失敗。
4. 在ME60A上執行 -a 192.168.1.227 100.1.1.245命令(100.1.1.245是TACACS Server的IP地址),檢查該Loopback地址和TACACS Server是否互通,發現不能ping通。
5. 在ME60A上執行命令,檢查路由協議是否發佈了該Loopback接口的IP地址,發現Loopback0接口的IP地址沒有發佈。
因此,確認是網絡調整中刪除ISIS協議,發佈Loopback接口的配置也被刪除,且OSPF協議中沒有發佈該Loopback接口的地址,路由器無法接收TACACS Server返回的認證響應報文,導致認證失敗。
【故障排除】
1. 執行命令,進入系統視圖。
2. 執行命令 process-id,進入OSPF視圖。
3. 執行命令 area-id,進入OSPF區域視圖。
4. 執行命令 address wildcard-mask,發佈該Loopback接口的IP地址。
5. 完成上述操作後,使用該用戶名和密碼,可以正常登錄,故障排除。
用戶上線失敗原因介紹(1)
問:Web user request 是什麼原因
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: Web user request /<code>
<code>--------------------------------------------------------------- /<code>
答:web用戶主動請求下線。
問:DHCP decline是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: DHCP decline /<code>
<code>---------------------------------------------------------------- /<code>
答:分配的IP地址已經被使用。
問:IP address alloc fail是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: IP address alloc fail /<code>
<code>---------------------------------------------------------------- /<code>
答:IP地址分配失敗導致上線失敗,一般是IP地址用完了,請檢查IP地址使用情況。
問:IP address conflict是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: IP address conflict /<code>
<code>---------------------------------------------------------------- /<code>
答:ip地址衝突導致上線失敗,檢查一下,IP地址池配置是否有衝突。
問:MAC address conflict是什麼原因
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: MAC address conflict /<code>
<code>-------------------------------------------------------------- /<code>
答:MAC地址衝突,上線的用戶中已經有這個MAC地址了。
用戶上線失敗原因介紹(2)
問:Start accounting fail是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: Start accounting fail /<code>
<code>---------------------------------------------------------------- /<code>
答:開始計費報文發送失敗,計費服務器配置是否正確,檢查ME60的配置是否正確,檢查鏈路是否正常。
問:Domain or user access limit是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: Domain or user access limit /<code>
<code>---------------------------------------------------------------- /<code>
答:域下接入限制,這種情況一般是域下配置了用戶接入數量限制導致,請檢查配置。
問:Port access limit是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: Port access limit /<code>
<code>--------------------------------------------------------------- /<code>
答:端口接入數量限制,一般是接口下配置了用戶接入數量限制導致,請檢查配置。
問:Send authentication request fail是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: Send authentication request fail /<code>
---------------------------------------------------------------
答:發送認證請求失敗,請檢查radius服務器的配置是否正確,me60的配置是否正確,鏈路是否正常。
問:RADIUS authentication reject是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33/<code>
<code> User online fail reason: RADIUS authentication reject /<code>
<code>---------------------------------------------------------------- /<code>
答:radius認證拒絕,一般是用戶名或密碼錯誤,或者屬性不匹配導致。
問:RADIUS authentication send fail是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: RADIUS authentication send fail /<code>
<code>---------------------------------------------------------------- /<code>
答:發送認證Radius請求失敗,請檢查radius服務器配置是否正確,ME60配置是否正確,鏈路是否正常。
問:Local authentication reject是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: Local authentication reject /<code>
<code>--------------------------------------------------------------- /<code>
答:本地認證拒絕,一般是用戶名或密碼不正確,注意:用戶名必須帶域名。
問:Local authentication no user是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: Local authentication no user /<code>
<code>---------------------------------------------------------------- /<code>
答:找不到本地用戶,一般是ME60本地認證下沒有配置該用戶名。
問:Local Authentication user type not match是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: Local Authentication user type not match /<code>
<code>---------------------------------------------------------------- /<code>
答:本地帳號類型不匹配。
問:Local Authentication user block是什麼原因?
<code>[ME60] display aaa online-fail-record <username> --------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei /<code>
<code> User MAC : 0010-6059-6828 /<code>
<code> User access type : IPoE /<code>
<code> User login time : 2006/02/18 15:26:33 /<code>
<code> User online fail reason: Local Authentication user block /<code>
<code>---------------------------------------------------------------- /<code>
答:本地帳號未激活。
用戶下線失敗原因介紹(1)
問:web user request是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Web user request/<code>
答:web用戶請求下線。
問:Arp detect fail是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Arp detect fail/<code>
答:arp探測失敗下線,可能是用戶PC斷電,或拔網線導致,也可能是鏈路不好導致。
問:WEBS heartbeat fail是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: WEBS heartbeat fail/<code>
答:web用戶心跳超時下線,可能是鏈路不好有丟包導致,也可能是web服務器性能不行。
問:Dhcp release是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Dhcp release/<code>
答:DHCP 釋放IP地址,一般是用戶主動請求下線。
問:AAA cut command是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: AAA cut command/<code>
答:管理員使用命令強行將用戶cut下線。
問:Block domain force user to offline是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Block domain force user to offline/<code>
答:域被置為block強制用戶下線。
用戶下線失敗原因介紹(2)
問:Session time out是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Session time out/<code>
答:RADIUS下發了27號Session-time-out屬性,用戶在線時間超過這個時間而下線。
問:Idle cut是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Idle cut/<code>
答:閒置切斷,用戶長期不妨問網絡,沒有流量,系統cut用戶。
問:Realtime accouting fail是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Realtime accouting fail/<code>
答:實時計費失敗下線,一般是鏈路不好導致,請檢查鏈路。
問:Flow limit是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Flow limit/<code>
答:流量限制,一般是訪問流量達到規定限制值導致,因為RADIUS下發了80號Remanent_Volume屬性。
問:Radius server cut command是什麼原因?
<code>< ME60> display aaa offline-record <username> ------------------------------ /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Radius server cut command/<code>
答:Radius下發DM命令切斷。
問:Slot down是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Slot down/<code>
答:用戶上線的槽位單板down。
問:Interface net down是什麼原因?
<code>< ME60> display aaa offline-record <username> ----------------------------------------------------------------- /<username>/<code>
<code> User name : test@huawei/<code>
<code> User MAC : 0002-5573-d971 /<code>
<code> User access type : IPoE /<code>
<code> User access interface : GigabitEthernet2/0/1.19 /<code>
<code> User access Vlan : 900 /<code>
<code> User IP address : 10.103.0.253 /<code>
<code> User ID : 38188 /<code>
<code> User authen state : Authened /<code>
<code> User acct state : AcctIdle /<code>
<code> User author state : AuthorIdle /<code>
<code> User acct sessionID: ZSD_MA5020010000009007446c038188 /<code>
<code> User login time : 2006/02/17 11:09:22 /<code>
<code> User offline time : 2006/02/17 11:28:33 /<code>
<code> User offline reason: Interface net down/<code>
答:用戶上線的接口down。
關於設備license
ME60如何實現用戶策略路由?
Q:
ME60如何實現用戶策略路由?
A:
對於LPUA板,可以通過在域下配置policy-route或通過複雜流策略實現路由策略。對於LPUK和LPUN單板,域下配置policy-route不生效,只能通過複雜流策略
閱讀更多 菜鳥學網絡 的文章
