配置双机热备

知AC备份Portal李聪2017-03-20发表WX5510E双机热备组网portal用户在线不稳定经验案例某局点配置了AC的portal双机热备,目前通过imc下发用户的账户权限进行上网控制.
现场反馈用户portal认证成功之后过几秒钟又下线,不断的重复这个过程.
接下来针对这个问题进行分析.
通过上面的问题现象描述,我们先从设备配置、搜集设备的debuggingportalall、debuggingradiuspacket信息进行分析.
1.
搜集设备的配置信息我们通过搜集无线控制器的主要配置信息如下:radiusnas-ip172.
20.
1.
36//配置nas-ipnasdevice-id1下面是备份ac的配置:#wlanbackup-acip172.
20.
1.
35wlanbackup-acswitch-delay100下面是双机热备的配置:#hot-backupenabledomain1hot-backupvlan2205#dhbkenablebackup-typesymmetric-pathdhbkvlan2205下面是user-profile下发acl的配置:#aclnumber3001rule100permitip#user-profilenfsq1#下面是接口启用portal的配置:#interfaceVlan-interface2032ipaddress10.
194.
35.
253255.
255.
252.
0portalservernfsqmethoddirectportaldomainnfsqportalbackup-group1portalnas-ip172.
20.
1.
36portalmac-triggerenableportalmac-triggerserverip10.
210.
2.
2从上面的配置来看,双机热备并没有什么大的问题,因此让业软工程师排查imc服务器之后发现imc配置也没有问题,但是imc服务器侧有nas-error的报错.
但是imc配置和ac侧配置的nas-ip以及nas-id是没有问题的.
2.
开启设备的debuggingportalall、debuggingradiuspacket信息进行分析.
我们通过查看用户提供的用户名以及ip地址之后分析了上线过程如下:下面只是截取了上线成功的debug信息:*Jan1015:44:06:6582017LWCO-N1-U19-WLC-5510-1RDS/7/DEBUG:Send:IP=[10.
210.
2.
2],UserIndex=[2442],ID=[60],RetryTimes=[0],Code=[4],Length=[266]//ac发送计费请求报文到radius服务器.
*Jan1015:44:06:6582017LWCO-N1-U19-WLC-5510-1RDS/7/DEBUG:SendRawPacketis:*Jan1015:44:06:6772017LWCO-N1-U19-WLC-5510-1RDS/7/DEBUG:Pick-up1NotifyfromReceiveRawPacketandSendSC!
*Jan1015:44:06:6782017LWCO-N1-U19-WLC-5510-1RDS/7/DEBUG:Receive:IP=[10.
210.
2.
2],Code=[5],Length=[68]//ac收到radius回复的计费响应报文.
*Jan1015:44:06:6782017LWCO-N1-U19-WLC-5510-1RDS/7/DEBUG:%Jan1015:44:06:6792017LWCO-N1-U19-WLC-5510-1PORTAL/5/PORTAL_USER_LOGON_SUCCESS:-UserName=renjinxing-Host=-IPAddr=10.
194.
32.
17-IfName=Vlan-interface2032-VlanID=2032-MACAddr=B8:86:87:47:0A:89-APMAC=60:0B:03:57:12:40-SSID=YST-NasId=-NasPortId=;Usergotonlinesuccessfully.
//portal用户上线成功.
*Jan1015:44:06:6792017LWCO-N1-U19-WLC-5510-1PORTAL/7/PORTAL_DEBUG:*Jan1015:44:06:6792017LWCO-N1-U19-WLC-5510-1PORTAL/7/PORTAL_DEBUG:SendNTF-USER-LOGON.
紧接着AC发送了type8的portal报文到portal服务器,强制将用户下线.
日志里面提示为nas-error.
%Jan1015:44:07:4712017LWCO-N1-U19-WLC-5510-1PORTAL/5/PORTAL_USER_LOGOFF:-UserName=renjinxing-IPAddr=10.
194.
32.
17-IfName=Vlan-interface2032-VlanID=2032-MACAddr=B8:86:87:47:0A:89-APMAC=600B-0357-1240-SSID=YST-NasId=-NasPortId=-Reason=NASError-InputOctets=0-OutputOctets=0-InputGigawords=0-OutputGigawords=0-SessiOnTime=1;Userloggedoff.
*Jan1015:44:07:4712017LWCO-N1-U19-WLC-5510-1PORTAL/7/PORTAL_DEBUG:Portalsendto10.
210.
2.
2packetlength:82Portalpackethead:Type:8SN:653ReqId:0AttrNum:4ErrCode:0UserIP:10.
194.
32.
17Portalpacketattributelist:[10BAS-IP][6][172.
20.
1.
36][11Session-ID][8][b88687470a89][5TextInfo][30][SendNTF_LOGOUTwhenonline!
][38DeviceStartTime][6][1483972423]*Jan1015:44:07:4752017LWCO-N1-U19-WLC-5510-1RDS/7/DEBUG:Send:IP=[10.
210.
2.
2],UserIndex=[2442],ID=[62],RetryTimes=[0],Code=[4],Length=[356]//ac发送了radius报文到radius服务器请求计费更新.
*Jan1015:44:07:4752017LWCO-N1-U19-WLC-5510-1RDS/7/DEBUG:SendRawPacketis:*Jan1015:44:07:5292017LWCO-N1-U19-WLC-5510-1RDS/7/DEBUG:Receive:IP=[10.
210.
2.
2],Code=[5],Length=[32]//radius服务器回复计费停止报文.
*Jan1015:44:07:5292017LWCO-N1-U19-WLC-5510-1RDS/7/DEBUG:[H3C-26Connect_ID][6][2442]*Jan1015:44:07:5292017LWCO-N1-U19-WLC-5510-1PORTAL/7/PORTAL_DEBUG:SendNTF-USER-LOGOFF.
//ac发送用户下线portal报文.
从上面的debug看出,portal用户下线是我们设备主动发起的.
此局点配置了双机热备,那么我们主设备的portal用户上线之后会和备ac进行配置的同步,客户配置了user-profile给用户下发权限,那么要求两台设备的acl配置是需要一样的,经过后来的检查,发现用户没有在备ac上面配置acl3001,将两台设备的acl同步之后问题解决,portal用户在线稳定了.
经过上述的分析,此问题的解决办法就是两台设备上面需要保证同样的配置,两台设备的acl需要一致之后问题解决.
1、配置双机热备的时候,需要仔细检查配置,两台设备的配置需保证一致.
否则会出现设备之间同步配置失败造成各种比较奇怪的问题和报错.
2、此问题主要原因就是备ac上面没有配置相关的acl规则导致的,因此设备之间同步配置失败,设备主动发起type8号报文将用户强制下线.
因此会造成故障现象就是用户上线之后立马下线.