问

无线网终端采用imc短信认证，但是每小时会掉线一次

1天前提问

0关注
0收藏，66浏览

zhiliao_jkrpe

zhiliao_jkrpe 一段

粉丝：0人关注：3人

问题描述：

华三无线网，ac和ap以及认证服务器imc v7均是华三产品.

网络中有2台ac，一台ac v5版本，集中转发模式，另外一个ac是v9版本，本地数据转发。

客户端采用基于imc的短信认证，设置为每7天重新认证一次的模式。

后来，在ac和客户端网络之间，增加了1台防火墙。

防火墙部署以后，基于v9 ac的客户端（本地转发）正常，采用v5 ac的客户端(集中转发），出现每小时被踢下线，需要重新认证的现象。

防火墙中放通了ac的ip地址，

如何检查问题的原因，解决被踢下线的问题？

4 个回答

按时间按赞数

有飞不起的鸟

有飞不起的鸟九段

粉丝：18人关注：0人

这是一个非常典型的网络架构变更导致的故障，问题核心很可能出在防火墙与会话状态上。根据您的描述，我们可以按以下步骤进行排查和解决：
核心问题分析
故障现象明确指向了采用集中转发模式的V5版本AC在防火墙介入后出现周期性掉线。这强烈暗示防火墙中断了某种维持在线状态的关键会话。
详细排查与解决步骤
第一步：检查防火墙会话状态与策略
这是最可能的原因。集中转发模式下，所有用户数据流量都需经过AC，防火墙会看到并管理这些连接。
检查会话超时时间：登录防火墙，检查其 TCP/UDP会话老化时间。重点关注 udp和 other协议的超时设置。如果防火墙的会话表在1小时左右清除了不活跃的连接，而AC或认证系统恰好有每小时一次的心跳或状态更新，就会导致连接被重置。
临时验证：在防火墙上找到一条受影响用户的会话，观察其创建时间，看是否在接近1小时时被清除。
解决方案：适当延长防火墙的会话超时时间（例如，将UDP会话超时改为2-4小时），或启用长连接相关配置。
检查安全策略：确认放行的策略是否足够精确。除了AC的IP，还需要确保：
AP与AC之间的通信：CAPWAP隧道（通常使用UDP 5246、5247端口）流量必须双向通行无阻。这是集中转发的基础。
AC与IMC服务器之间的通信：确保RADIUS认证/计费端口（UDP 1812, 1813）的流量双向通行。特别要注意计费更新报文。
客户端与IMC之间：如果短信认证流程中有客户端直接与IMC服务器交互的步骤，也需放行相应流量。
第二步：在AC（V5）上检查关键日志与配置
查看用户掉线日志：在V5 AC上，当用户掉线时，查看系统日志或用户在线信息日志。关键信息是用户的下线原因。常见原因有：
RADIUS Accounting Update Failure(RADIUS计费更新失败)
User Idle Timeout(用户空闲超时)
Connection Lost(连接丢失)
Administratively Reset(管理性重置)
明确下线原因能极大缩小排查范围。
检查RADIUS计费间隔：登录V5 AC，检查配置的RADIUS计费服务器（IMC）的计费更新间隔。华三设备上通常有 accounting interim-interval配置项。这个值默认可能是3600秒（1小时）。如果AC每小时向IMC发送计费更新报文，但此报文被防火墙丢弃或IMC未正确响应，AC就会认为用户异常，将其踢下线。
解决方案：可以尝试在AC上调整此间隔（如改为1800秒），或确认IMC服务器端配置的静默超时时间与之匹配。
第三步：在IMC服务器上检查认证日志
登录IMC管理平台，找到认证日志或计费日志，筛选出故障用户。查看在用户掉线的时间点，IMC是否收到了AC发来的计费更新请求？是否发出了响应？响应是否正常？这里可以验证第二步的猜想。
第四步：对比V9 AC的配置与流量路径
既然V9 AC（本地转发）下的用户正常，这是一个很好的参照。
流量路径不同：本地转发模式下，用户的数据流量不经过AC，直接由AP通过防火墙转发。因此，防火墙看不到用户的数据会话，只管理AP到AC的控制流量和认证流量。这解释了为什么防火墙策略对V9 AC的用户影响小。
配置差异：对比两台AC上关于RADIUS服务器、计费、在线检测等方面的配置，看是否存在版本差异导致的默认配置不同。
总结与建议操作流程
立即检查：首先在防火墙上查看会话超时时间和拦截日志，同时在V5 AC上查看用户下线的具体原因日志。
重点配置：如果下线原因为计费更新失败，则同步检查AC的计费间隔、防火墙对此端口流量的放行情况、以及IMC服务器的响应。
策略调整：确保防火墙允许以下关键流量：AP <-> AC (CAPWAP)， AC <-> IMC (RADIUS)，并且会话超时时间合理。
临时规避：如果急于恢复，可以尝试在防火墙上为来自V5 AC IP的流量设置更宽松的策略或更长的会话保持时间，作为临时措施。
根据经验，防火墙的UDP会话超时时间与AC的RADIUS计费更新间隔不匹配是导致此类周期性掉线的最常见原因。请优先从这两个方向入手排查。

暂无评论

国服第181小鱼人

国服第181小鱼人四段

粉丝：2人关注：0人

Portal认证的“7天重认证”机制依赖于客户端、AC、IMC三者之间的在线心跳维持。当防火墙介入后，很可能会拦截或阻断这些心跳报文，导致AC误认为客户端已离线，从而强制踢下线。
为什么V5集中转发受影响，而V9本地转发正常？
对比维度 V5 AC（集中转发） V9 AC（本地转发）
转发模式客户端所有流量（包括认证报文）都通过CAPWAP隧道送到AC处理认证报文上送AC，数据报文在AP本地转发
报文路径 Portal心跳报文：客户端 → AP（隧道封装）→ AC → 防火墙 → IMC Portal心跳报文：客户端 → AP（直接转发）→ 接入交换机 → 防火墙 → IMC
关键差异 AC作为流量的集中处理点，所有报文都经过AC AP直接与认证服务器交互，路径更短
由于V5 AC承担了所有报文的集中处理，防火墙介入后，更容易影响从AC到IMC的回程路径或AC与AP之间的隧道稳定性。

对比维度	V5 AC（集中转发）	V9 AC（本地转发）
转发模式	客户端所有流量（包括认证报文）都通过CAPWAP隧道送到AC处理	认证报文上送AC，数据报文在AP本地转发
报文路径	Portal心跳报文：客户端 → AP（隧道封装）→ AC → 防火墙 → IMC	Portal心跳报文：客户端 → AP（直接转发）→ 接入交换机 → 防火墙 → IMC
关键差异	AC作为流量的集中处理点，所有报文都经过AC	AP直接与认证服务器交互，路径更短

1. 检查防火墙会话超时设置

这是最常见的原因。Portal认证的心跳报文通常是UDP报文，而防火墙默认的UDP会话超时时间可能小于1小时（通常是300秒或1800秒）。

检查方法：

登录防火墙，查看会话表老化时间配置
重点关注 UDP会话超时时间、ASPF策略中针对Portal端口（UDP 50100/50200等）的配置

2. 检查AC上的Portal心跳配置

V5老版本AC的Portal心跳机制可能不如V9完善，需要手动开启或调整。

# 登录V5 AC，检查Portal配置 system-view wlan service-template 你的模板名 display this # 确保开启了Portal客户端在线探测功能 portal client-probe interval 300 # 建议设置5分钟（300秒） portal client-probe enable # 检查Portal服务器配置 portal server imc ip 1.2.3.4 # IMC服务器IP port 50100 # Portal端口 detect interval 300 # 心跳探测间隔 detect times 3 # 失败3次判定下线

关键命令：