[互联网]宽带维护.doc

第1章 Radius相关问题处理 在众多ISN8850故障中，ISN8850和Radius配合出现问题占用相当的比例，这涉及到不同厂家对接的问题，所以处理起来比较棘手，但还是有一些规律和方法可循。 本期对ISN8850 Radius相关问题处理进行介绍。? 1.1? AAA故障处理 ESR AAA故障主要包括本地认证和RADIUS认证故障，本地认证故障比较简单，出现故障也比较少，本节主要介绍ESR和RADIUS对接故障的处理流程。 1、???? 首先确定故障现象和故障范围。 2、???? 如果是单个用户无法拨号 (1)首先，打开debug aaa primitive、debug aaa event、debug radius packet。 (2)用户拨号，检查ESR上报给Radius Server报文中Username是否正确。 (3)检查，共享密钥是否正确。 (4)检查，Radius Server中是否存在该用户 3、???? 多个或所有用户故障 （1）检查ISN8850运行状态 l????????? 上行口是否发生拥塞、丢包； l????????? 单板CPU占用率情况，检查是否存在路由振荡，检查黑洞路由； l????????? 查看RADIUS报文收发情况，若采用实时计费的时候，如果用户数较多（几千），这时实时计费间隔不能设置得太短，以防发送实时计费报文太迟导致用户被服务器踢下线。在实际的测试中发现，在ISN8850上设置实时计费间隔为5分钟，4000用户数在线，采用ISN8850缺省并行发包数20的时候，ISN8850发送给RADIUS的报文有可能延时20多分钟，这样，如果RADIUS上设置计费超时时长小于这个时间，服务器将删除此用户，最终被ISN8850踢下线。建议用户数较大的时候，将ESR上实时计费间隔设置为15分钟以上。 （2）确认RADIUS工作是否正常，常用的方法主要包括： l????????? 查看ISN8850正在使用的RADIUS组状态是否正常。 查看RADIUS组的状态使用命令show aaa group global-group ，如果RADIUS的状态是down的，请检查RADIUS。需要说明一下关于RADIUS组几个状态。 8850的RADIUS服务器状态说明： 在8850上每个RADIUS服务器都有4种存在状态UP，READY，TRY，DOWN。这些状态的设置，只是在逻辑上对8850和RADIUS服务器之间报文响应的异常的一个判断,并不一定表示实际物理连接上的断开。UP，READY状态，表示这个服务器可用，TRY状态只有一个用户可以尝试发送，DOWN状态此服务器完全不可用。 l????????? 确认其他同一网络位置上BRAS的 PPP业务是否正常，如果都不正常，则可能是RADIUS问题，请检查RADIUS设备。 l????????? 查看用户状态，如果大量处于released状态，请在RADIUS组或全局下配置aaa accounting optional 和aaa accounting no-wait-stop。这两个参数的说明请见前面AAA业务配置部分。 如果released还没有减少，可以尝试把向RADIUS发送报文的并发数更改大一点，此参数默认是20，可以改为40尝试。released表示用户处于下线状态，ISN8850已经将该用户放置在处于发起计费结束请求的队列中，但是还未发起计费结束请求报文。这在现网是比较常见的故障。 l????????? 在8850上看是否能PING通RADIUS服务器，注意：有部分RADIUS服务器都是禁ping的。 l????????? 打开debug RADIUS packet，查看是否有RADIUS报文的收发。如果只有发包，而没有收包则可以判断为上端网络问题或RADIUS服务器问题。 在抓包的报文中，主要关注CODE字段，这个字段的具体含义如下： Code：包类型；1字节；指示Radius包的类型。 Code=1 ????Access- request????????????? ?认证请求 Code=2???? Access- accept?????????????? ?认证响应 Code=3???? Access- reject??????????????? 认证拒绝 Code=4???? Accounting-request??????????? 计费请求 Code=5???? Accounting-response?????????? 计费响应 如果ISN8850发送了CODE=1认证的报文，而RADIUS没有回应CODE=2的报文，则检查RADIUS和上层网络。 如果ISN8850只发送了CODE=1的认证报文，也回应了COD=2的认证相应