某局点Portal认证异常问题经验案例

无

某局点使用75E作为Portal接入设备，近期升级IMC服务器相关组件后，出现部分用户无法正常认证登录的情况   

首先，现场测试在终端上可以正常打开Portal认证界面，说明接入设备可以将http报文重定向到Portal服务器，Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

但当输入用户名和密码后，点击认证时，Portal认证界面提示连接服务器超时。

根据Portal认证流程，当前问题出现在Portal服务器与接入设备的2和3流程或接入设备与认证服务器之间交互存在问题。

问题范围已经缩小，其实接下来抓包就可以明确故障位置，进行下一步分析。

但客户反馈了另一个问题，在Portal界面提示认证连接服务器超时，认证未成功的情况下，终端不定时可以访问外网资源。

在终端显示连接服务器超时，可以访问外网资源的情况，查看设备并没有相关在线用户，于是检查配置。

发现在接入设备上有配无感知认证：

portal mac-trigger-server imc

 ip 10.1.87.194 key cipher $c$3$MdKH7TLSry0cJtVCSKWn86oW3p5xo6lP9sKo

 server-type cmcc

 free-traffic threshold 1014

使用户无需手工输入认证信息便可以自动完成Portal认证。基于MAC地址的快速认证又称为MAC Trigger认证或无感知认证，该方式需要在网络中部署MAC绑定服务器。MAC绑定服务器用于记录用户的Portal认证信息（用户名、密码）和用户终端的MAC地址，并将二者进行绑定，以便代替用户完成Portal认证。

(1)       用户在首次接入网络时，接入设备将用户的MAC地址及接入端口信息保存为MAC-Trigger表项。

(2)       接入设备会根据MAC-Trigger表项将用户的MAC地址发送至MAC绑定服务器进行查询。

(3)       MAC绑定服务器在本地查询是否存在与用户MAC地址绑定的Portal认证信息：

·            如果存在Portal认证信息，则MAC绑定服务器将通知接入设备该用户为“已绑定”状态，并使用用户的认证信息向接入设备发起Portal认证，在用户无感知的情况下完成认证过程。

·            如果不存在Portal认证信息，则MAC绑定服务器将通知接入设备该用户为“未绑定”状态。接入设备将对用户发起正常的Portal认证。在用户完成Portal认证过程后，接入设备会将用户的MAC地址和认证信息发送至MAC绑定服务器，完成信息绑定。当同一用户再次访问网络时，MAC绑定服务器便可以利用保存的认证信息代替用户完成认证。

(4)       用户通过Portal认证后，接入设备将删除MAC-Trigger表项。

设备开启了基于MAC地址的快速认证功能时，用户在上线后都拥有一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时，允许用户访问外部网络资源；当用户收发的流量达到设定的阈值时，则触发基于MAC地址的快速认证。

用户通过Portal认证后，设备将该用户的流量统计清零；若用户未通过Portal认证，则设备在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证，当MAC-Trigger表项老化后，将该用户的流量统计清零。如果在MAC-Trigger表项老化后，设备再次检测到来自同一用户的流量，则设备将重新建立MAC-Trigger表项，重复以上过程。

通过抓包确认，连接超时的问题原因为Portal服务器与接入设备之间的CHAP交互出现异常导致，终端可以访问外部网络资源是由于配置MAC-Trigger免认证流量的阈值。