01-05 RADIUS故障处理

目 录

目 录

5 RADIUS故障处理 ...................................................................................................................... 5-1

5.1 简介.................................................................................................................................................................................. 5-2

5.1.1 RADIUS报文格式 ............................................................................................................................................. 5-2 5.1.2 RADIUS报文交互流程 .................................................................................................................................... 5-6 5.2 故障处理过程 ................................................................................................................................................................ 5-6

5.2.1 典型组网环境...................................................................................................................................................... 5-6 5.2.2 配置注意事项...................................................................................................................................................... 5-7 5.2.3 故障诊断流程...................................................................................................................................................... 5-8 5.2.4 故障处理步骤...................................................................................................................................................... 5-8 5.3 故障处理案例 ................................................................................................................................................................ 5-9

5.3.1 RADIUS服务器无响应 .................................................................................................................................... 5-9 5.3.2 RADIUS下发属性不生效.............................................................................................................................. 5-10 5.4 FAQ ................................................................................................................................................................................ 5-10 5.5 故障诊断工具 .............................................................................................................................................................. 5-12

5.5.1 display命令........................................................................................................................................................ 5-12 5.5.2 debugging命令.................................................................................................................................................. 5-14

文档版本 01 (2007-02-10) 华为技术有限公司 i

Quidway MA5200G 故障处理 BRAS业务篇

插图目录

插图目录

图5-1 RADIUS报文格式.................................................................................................................................................. 5-2 图5-2 RADIUS属性格式.................................................................................................................................................. 5-3 图5-3 RADIUS报文交互流程......................................................................................................................................... 5-6 图5-4 RADIUS组网图 ...................................................................................................................................................... 5-6 图5-5 RADIUS故障诊断流程图 .................................................................................................................................... 5-8

文档版本 01 (2007-02-10) 华为技术有限公司 iii

Quidway MA5200G 故障处理 BRAS业务篇

表格目录

表格目录

表5-1 常用Code值和含义............................................................................................................................................... 5-2 表5-2 常见RADIUS属性表 ............................................................................................................................................ 5-4 表5-3 display radius-attribute命令显示信息说明 ..................................................................................................... 5-12 表5-4 display radius-server configuration group命令显示信息说明..................................................................... 5-13

文档版本 01 (2007-02-10) 华为技术有限公司 v

Quidway MA5200G 故障处理 BRAS业务篇

5 RADIUS故障处理

5 关于本章

本章描述内容如下表所示。 标题 5.1 简介 5.2 故障处理过程 内容 RADIUS故障处理

介绍了进行RADIUS故障处理时用户所需的知识要点。 针对典型的RADIUS组网环境，介绍配置RADIUS时要注意的事项，故障处理的流程和详细的故障处理步骤。 介绍了若干实际的故障处理案例。 列出了用户常问的问题，并给出了相应的解答。 介绍了进行故障处理所需的故障诊断工具，包括使用display命令和debugging命令。 5.3 故障处理案例 5.4 FAQ 5.5 故障诊断工具

文档版本 01 (2007-02-10) 华为技术有限公司 5-1

5 RADIUS故障处理

Quidway MA5200G 故障处理 BRAS业务篇

5.1 简介

RADIUS是MA5200G和RADIUS服务器之间的应用层通信协议，规定了MA5200G与RADIUS服务器之间传递用户信息和计费信息的过程和报文格式。

MA5200G通过RADIUS协议与RADIUS服务器进行交互，完成用户的RADIUS认证、授权和计费过程。

RADIUS协议基于C/S架构，其中MA5200G属于客户端，而RADIUS服务器则属于服务器端。RADIUS协议使用UDP报文承载，并通过报文重传机制和备用服务器机制保证可靠性。

RADIUS协议使用的认证和计费端口一般为1645/1646或1812/1813。 MA5200G支持以下三种RADIUS协议类型：

  

标准RADIUS：通用RADIUS协议。

RADIUS+1.0：IP Hotel型服务器支持RADIUS+1.0协议。 RADIUS+1.1：Portal型服务器支持RADIUS+1.1协议。

具体配置必须和RADIUS服务器保持一致。

5.1.1 RADIUS报文格式

RADIUS报文格式如图5-1所示。 图5-1 RADIUS报文格式

01234567012345670123456701234567123456Attribute......AuthenticatorCodeIdentifierLength

Code字段

Code字段长度为1个字节，用于表示RADIUS报文类型，常见的Code值和含义如表5-1所示。

表5-1 常用Code值和含义 值 1 报文类型 Access-request 含义 认证请求 用处 MA5200G向RADIUS发起认证请求。 5-2 华为技术有限公司 文档版本 01 (2007-02-10)

Quidway MA5200G 故障处理 BRAS业务篇

5 RADIUS故障处理

值 2 3 4 5

报文类型 Access-accept Access-reject Accounting-request Accounting-response 含义 认证接受 认证拒绝 计费请求 计费响应 用处 RADIUS响应该报文，表示认证通过。 RADIUS响应该报文，表示认证失败。 MA5200G向RADIUS发起计费请求。 RADIUS对某个计费报文的响应。 说明

计费请求报文包括以下三种报文，由报文中携带的40号属性区分。

  

开始计费报文（40号属性的值为1） 停止计费报文（40号属性的值为2） 实时计费报文（40号属性的值为3）

Identifier字段

Identifier字段长度为1字节，其内容用于匹配请求报文和响应报文。一般是顺序递增的数字，请求报文和响应报文中该字段必须相同

Length字段

Length字段长度为2字节，表示报文中所有域的长度。

Authenticator字段

Authenticator字段长度为16字节，用于验证RADIUS服务器响应的请求以及密码隐藏算法。分Request Authenticator和Response Authenticator两种。

Attribute字段

Attribute字段长度不定，可包含多个属性，每个属性的格式如图5-2所示。 图5-2 RADIUS属性格式

01234567012345670123456701234567TypeLengthValue

Type字段

Type字段表示属性类型，常见的属性所对应的类型如表5-2所示。

文档版本 01 (2007-02-10) 华为技术有限公司 5-3

5 RADIUS故障处理

Quidway MA5200G 故障处理 BRAS业务篇

表5-2 常见RADIUS属性表 值 1 2 3 4 5 6 7 8 9 11 18 25 属性名 User-name Password Challenge-Password NAS-IP-Address NAS-Port Service-Type Framed-Protocol Framed-IP-Address Framed-Netmask Filter-ID Reply-Message Class 字段类型 String(1～64) String(16～128) String(17) IP Address Integer Integer Integer Address Address String String(1～128) String 用处 根据命令行的配置,可以带域名(如user0001@isp)，也可以不带域名 加密后的密码，仅对PAP认证有效 MD5加密后的验证字，仅对CHAP认证有效 MA5200G连接RADIUS服务器的接口地址 用户接入的物理端口 固定为2，表示Framed类型 固定为1，表示PPP类型 用户的IP地址 服务器为用户指定的子网掩码 用户所属的UCL组和互访组，格式为UCL-Group@Inter-Group 在认证接受报文中表示成功消息，在认证拒绝报文中表示拒绝消息 RADIUS服务器可在发给MA5200G的认证接受报文中携带Class属性，MA5200G会在后续的所有计费请求报文中将此Class属性原样返回给RADIUS服务器。在标准RADIUS中Class属性还可以用来传送CAR 用户剩余的时间，以秒为单位 用户的闲置切断时间 用户的MAC地址 如果已配置NAS-ID，则填写已配置的NAS-ID。否则填主机名 表示计费请求报文的类型  1 2 3 427 28 31 32 40 Session-TimeOut Idle-TimeOut Calling-Station-Id NAS-Identifier Acct-Status-Type Integer Integer String String Integer 表示开始计费报文 表示停止计费报文 表示实时计费报文 表示重置计费报文 5-4 华为技术有限公司 文档版本 01 (2007-02-10)

Quidway MA5200G 故障处理 BRAS业务篇

5 RADIUS故障处理

值 41 42 43 44 45 属性名 Acct-Delay-Time Acct-Input-Octets Acct-Output-Octets Acct-Session-Id Acct-Authentic 字段类型 Integer Integer Integer String Integer 用处 发送该计费报文花费的时间，以秒为单位（不包括网络传输时间） 用户接收的字节数，单位可以是Byte、Kbyte、Mbyte或Gbyte 用户发送的字节数，单位可以是Byte、Kbyte、Mbyte或Gbyte 计费连接号 用户认证方式：  1 2表示RADIUS认证 表示本地认证 46 47 48 49 52 53 55 Acct-Session-Time Acct-Input-Packets Acct-Output-Packets Terminate-Cause Acct-Input-Gigawords Acct-Output-Gigawords Event-Timestamp Integer Integer Integer Integer Integer Integer Integer 用户的上线时间，以秒为单位 用户接收的报文数 用户发送的报文数 会话中断的原因 表示用户接收字节数相对4G（2）字节的倍数 表示用户发送字节数相对4G（2）字节的倍数 生成计费请求报文的时间（以秒为单位，表示从1970年1月1日零点零分零秒以来的绝对秒数） 质询字，只对CHAP认证时才有效 NAS（Network Access Server）的端口类型，常用值为15（Ethernet类型） 用户接入的逻辑端口号（槽位号+端口号+VLAN号） 323260 61 87 CHAP-Challenge NAS-Port-Type NAS-Port-Id String(16) Integer String

Length字段

Length字段长度为1字节，表示每个属性字段的长度。

Value字段

Value字段长度不定，表示属性的值。

文档版本 01 (2007-02-10) 华为技术有限公司 5-5

5 RADIUS故障处理

Quidway MA5200G 故障处理 BRAS业务篇

5.1.2 RADIUS报文交互流程

RADIUS报文交互流程如图5-3所示。 图5-3 RADIUS报文交互流程

MA5200G认证阶段开始计费阶段Access-request(code=1)Access-Accept(code=2)Accounting-request-start(code=4)Accounting-reponse(code=5)Accounting-request-Interium(code=4)Accounting-reponse(code=5)Accounting-request-stop(code=4)Accounting-reponse(code=5)RADIUSServer实时计费阶段停止计费阶段

5.2 故障处理过程

本节介绍如下的内容：

   

典型组网环境 配置注意事项 故障诊断流程 故障处理步骤

5.2.1 典型组网环境

图5-4 RADIUS组网图

RADIUS ServerMA5200G

5-6 华为技术有限公司 文档版本 01 (2007-02-10)

Quidway MA5200G 故障处理 BRAS业务篇

5 RADIUS故障处理

如图5-4所示，用户拨号以后，MA5200G将用户名和密码发送到RADIUS服务器，由RADIUS服务器完成认证，认证通过以后，再由RADIUS服务器为用户分配IP地址。

5.2.2 配置注意事项

配置项 RADIUS 子项 RADIUS服务器组 RADIUS认证/计费服务器 注意事项 MA5200G中一共可配置1024个RADIUS服务器组 必须指定以下参数：  认证/计费服务器的IP地址 VPN实例，缺省为公网1812和 认证/计费服务器所属的VPN实例public  认证/计费服务器的端口号，缺省值为1813  认证/计费服务器的权重，只对负荷分担方式有效，缺省为0  服务器的共享密钥，必须和服务器配置一致，默认为huawei AAA 域 认证模式 RADIUS服务器组 地址池

MA5200G的认证模式需配置为RADIUS认证 域下需绑定RADIUS服务器组 域下需正确配置地址池 文档版本 01 (2007-02-10) 华为技术有限公司 5-7

5 RADIUS故障处理

Quidway MA5200G 故障处理 BRAS业务篇

5.2.3 故障诊断流程

图5-5 RADIUS故障诊断流程图

RADIUS故障RUDIUS服务器和MA5200G是否能正常通信？否是解决物理网络问题RADIUS服务器配置是否正确?否是解决RADIUS服务器问题MA5200G配置是否正确？否是正确配置MA5200G打开业务跟踪问题是否解决？否寻求技术支持是结束

5.2.4 故障处理步骤

步骤 1 使用ping命令检查MA5200G和RADIUS服务器是否能够正常通信。如果不能正常通

信，则需要解决物理网络问题。 步骤 2 使用display interface命令检查上行接口是否UP，IP地址是否正确。

步骤 3 检查RADIUS服务器配置，详细的配置方法请参见《Quidway MA5200G 宽带接入服务

器 BRAS配置指南》。

5-8 华为技术有限公司 文档版本 01 (2007-02-10)

Quidway MA5200G 故障处理 BRAS业务篇

5 RADIUS故障处理

步骤 4 检查MA5200G配置，详细配置过程请参见《Quidway MA5200G 宽带接入服务器 BRAS

配置指南》。 步骤 5 如果通过以上方法仍不能解决故障，打开业务跟踪功能，根据跟踪信息定位故障。

如果检查结束，故障仍然无法排除，请联系华为的技术支持工程师。 ----结束

5.3 故障处理案例

本节介绍如下常见的故障处理案例。

 

RADIUS服务器无响应 RADIUS下发属性不生效

5.3.1 RADIUS服务器无响应

网络环境

如图5-4所示，用户通过DSLAM接入MA5200G，通过拨号向MA5200G发出接入请求，设备就会把用户输入信息，发送到RADIUS服务器对用户接入进行验证。如果认证通过，则设备（MA5200G）会向RADIUS服务器发送计费开始请求报文。

故障分析

当MA5200G向RADIUS服务器发出认证/计费请求报文后，如果在规定时间内（默认为5秒）收不到RADIUS服务器的响应报文，MA5200G将重发认证/计费请求报文。如果重发了规定次数（默认为3次），依然收不到RADIUS服务器的响应报文，则MA5200G认为该RADIUS服务器异常，标记其为DOWN状态，并打印告警信息。

处理步骤

步骤 1 使用Ping命令检查MA5200G和RAIDUS服务器是否能够正常通信。 步骤 2 检查MA5200G和RADIUS服务器两端配置是否一致：包括协议类型、密钥。 步骤 3 检查RADIUS是否为MA5200G添加了对应的NAS-IP-Address。

步骤 4 检查MA5200G上送报文的IP地址和RADIUS添加的NAS-IP-Address是否一致。 步骤 5 检查RADIUS服务器负荷是否过重，造成处理报文时间比较长。对于这种情况，需要对

RADIUS服务器进行扩容升级或者增添新的RADIUS服务器分担一部分负荷。 步骤 6 检查MA5200G到RADIUS链路质量是否较差，造成报文时延较大。对于这种情况，需

要优化网络质量。在紧急情况下，可以在MA5200G上延长等待RADIUS服务器响应的时间。

----结束

文档版本 01 (2007-02-10) 华为技术有限公司 5-9

5 RADIUS故障处理

Quidway MA5200G 故障处理 BRAS业务篇

案例总结

此类问题一般都是物理设备或链路问题，请检查物理网络。

5.3.2 RADIUS下发属性不生效

网络环境

如图5-4所示。

故障分析

用户在认证通过后，RADIUS服务器将向MA5200G下发该用户的业务属性，对该用户进行业务控制。常见的业务属性包括以下几种。

   

CAR：接入速率限制，包括上下行的平均和峰值速率。 Session-TimeOut：用户的会话超时时间。 Idle-cut：用户的闲置切断数据。 Filter-ID：user-group名。

当RADIUS下发了这些属性，但是MA5200G没有采用这些属性对用户进行控制。

处理步骤

步骤 1 使用display radius-server configuration group命令检查RADIUS配置是否正确。 步骤 2 如果是RADIUS服务器下发CAR属性不生效，首先请检查RADIUS协议类型。并根据

协议类型分析RADIUS报文，是否符合MA5200G获取CAR属性原则，即在实现Class属性（RADIUS 25号属性）时将Class中的值解释为CAR。 步骤 3 使用debugging radius packet 命令查看调试信息。

1. 2. 3.

如果是RADIUS服务器下发Session-TimeOut属性不生效，请检查RADIUS响应报文是否携带该属性、属性是否正确。

如果是RADIUS服务器下发Idle-cut属性不生效，请检查RADIUS响应报文是否携带该属性、属性是否正确。

如果是RADIUS服务器下发Filter-ID属性不生效，请检查RADIUS响应报文是否携带该属性、属性是否正确。

----结束

5.4 FAQ



问：MA5200G由RADIUS下发session-timeout来控制用户的在线时间，在到达设定时间后用户为什么没有下线？

答：如果RADIUS协议版本不一致，则限制用户在线时间设置不生效。如果MA5200G侧配置为portal类型（即RADIUS+1.1），而iTellin配置为标准RADIUS协议，在session-timeout时间到之后，则用户不会被切断。

5-10 华为技术有限公司 文档版本 01 (2007-02-10)

Quidway MA5200G 故障处理 BRAS业务篇



5 RADIUS故障处理

问：MA5200G下配置PPPoE用户，用户拔号失败，打开debugging radius调试信息，发现已经收到认证成功的报文，但是没有认证计费报文？

答：可能的原因有：

− −

由于RADIUS检测用户的某些属性不正确，导致验证不通过。

由于RADIUS下发的属性中MA5200G不能识别导致认证不通过。比如RADIUS下发的CODE=2的报文里下发的Filter-ID在MA5200G不存在。



问：为什么会出现报警为fail to alloc ip address？

答：用户获得的IP地址和当前用户正在使用的地址产生冲突，导致用户无法上线。同时MA5200G会发出地址分配失败的告警。



问：MA5200G如何进行RADIUS属性转换？

答：实现过程如下：

# 首先进入RADIUS组的配置模式。

[Quidway] radius-server group tt

如果要禁止某个属性，则在RADIUS组下面进行如下配置。 # 禁止NAS-Identifier属性的发送功能。

[Quidway-radius-tt] radius-attribute disable NAS-Identifier send [Quidway-radius-tt] radius-server attribute translate

# 禁止NAS-Identifier属性的接收功能。

[Quidway-radius-tt] radius-attribute disable NAS-Identifier receive [Quidway-radius-tt] radius-server attribute translate

# 禁止NAS-Identifier属性的接收和发送功能。

[Quidway-radius-tt] radius-attribute disable NAS-Identifier receive send [Quidway-radius-tt] radius-server attribute translate

如果要对某个属性进行转换，则在RADIUS组下进行如下配置。 # 在发送方向将NAS-Port转换为Nas-port-new：

[Quidway-radius-tt] radius-attribute translate NAS-Port Nas-port-new send [Quidway-radius-tt] radius-server attribute translate

# 在接收方向将NAS-Port转换为Nas-port-new：

[Quidway-radius-tt] radius-attribute translate NAS-Port Nas-port-new receive [Quidway-radius-tt] radius-server attribute translate

# 在发送和接收方向将NAS-Port转换为Nas-port-new：

[Quidway-radius-tt] radius-attribute translate NAS-Port Nas-port-new send receive [Quidway-radius-tt] radius-server attribute translate

文档版本 01 (2007-02-10) 华为技术有限公司 5-11

5 RADIUS故障处理

Quidway MA5200G 故障处理 BRAS业务篇

5.5 故障诊断工具

5.5.1 display命令

命令 display radius-attribute [ attribute-name ] display radius-server configuration [ group group-name ]

说明 显示RADIUS属性 显示RADIUS服务器组配置信息 display radius-attribute

# 显示所有RADIUS的user-name属性信息。

display radius-attribute user-name Radius Attribute Type: 1

Radius Attribute Name: user-name

Radius Attribute Description : This Attribute indicates the name of the user to be authenticated.

表5-3 display radius-attribute命令显示信息说明 项目 Radius Attribute Type Radius Attribute Name Radius Attribute Description

描述 RADIUS属性类型，详细的属性分类请参看Quidway MA5200G 宽带接入服务器 BRAS业务配置指南》 RADIUS属性名称 RADIUS属性名称，这个属性用来对用户名进行鉴权 display radius-server configuration group

# 查看RADIUS服务器的配置信息。

display radius-server configuration group huawei --------------------------------------------------------- Server-group-name : huawei

Authentication-server: IP:192.168.1.1 Port:1812 Weight[0] [UP] Vpn: - Authentication-server: - Authentication-server: - Authentication-server: - Authentication-server: - Authentication-server: - Authentication-server: - Authentication-server: -

Accounting-server : IP:192.168.1.2 Port:1813 Weight[0] [UP] Vpn: -

5-12 华为技术有限公司 文档版本 01 (2007-02-10)

Quidway MA5200G 故障处理 BRAS业务篇

Accounting-server : - Accounting-server : - Accounting-server : - Accounting-server : - Accounting-server : - Accounting-server : - Accounting-server : -

Protocol-version : radius Shared-secret-key : huawei Retransmission : 3 Timeout-interval(s) : 5

Acct-Stop-Packet Resend : NO

Acct-Stop-Packet Resend-Times : 0 Traffic-unit : B ClassAsCar : YES

User-name-format : Domain-included Attribute-translation: NO

Packet send algorithm: Master-Backup

5 RADIUS故障处理

表5-4 display radius-server configuration group命令显示信息说明 项目 Server-group-name Authentication-server Accounting-server Protocol-version Shared-secret-key Retransmission Timeout-interval(s) Acct-Stop-Packet Resend Acct-Stop-Packet Resend-Times Traffic-unit ClassAsCar User-name-format Attribute-translation Packet send algorithm

描述 RADIUS服务器的组名称 认证服务器IP地址及端口号，可以配置1个主服务器和7个备用服务器 计费服务器IP地址及端口号，可以配置1个主服务器和7个备用服务器 RADIUS协议的版本 RADIUS服务器的共享密钥 RADIUS服务器的重传次数 RADIUS服务器应答超时时间 使用启用计费停止报文重传功能，缺省情况下为启用 计费停止报文重传次数，缺省情况下为0 RADIUS服务器使用的流量单位 Class属性是否携带CAR RADIUS服务器中的用户名是否带域名 是否打开协议转换功能 服务器算法，缺省情况下，为主备方式 文档版本 01 (2007-02-10) 华为技术有限公司 5-13

5 RADIUS故障处理

Quidway MA5200G 故障处理 BRAS业务篇

5.5.2 debugging命令

命令 debugging radius packet

说明 打开RADIUS调试开关 5-14 华为技术有限公司 文档版本 01 (2007-02-10)