无
某局点使用75E作为Portal接入设备,近期升级IMC服务器相关组件后,出现部分用户无法正常认证登录的情况
首先,现场测试在终端上可以正常打开Portal认证界面,说明接入设备可以将http报文重定向到Portal服务器,Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
但当输入用户名和密码后,点击认证时,Portal认证界面提示连接服务器超时。
根据Portal认证流程,当前问题出现在Portal服务器与接入设备的2和3流程或接入设备与认证服务器之间交互存在问题。
问题范围已经缩小,其实接下来抓包就可以明确故障位置,进行下一步分析。
但客户反馈了另一个问题,在Portal界面提示认证连接服务器超时,认证未成功的情况下,终端不定时可以访问外网资源。
在终端显示连接服务器超时,可以访问外网资源的情况,查看设备并没有相关在线用户,于是检查配置。
发现在接入设备上有配无感知认证:
portal mac-trigger-server imc
ip 10.1.87.194 key cipher $c$3$MdKH7TLSry0cJtVCSKWn86oW3p5xo6lP9sKo
server-type cmcc
free-traffic threshold 1014
使用户无需手工输入认证信息便可以自动完成Portal认证。基于MAC地址的快速认证又称为MAC Trigger认证或无感知认证,该方式需要在网络中部署MAC绑定服务器。MAC绑定服务器用于记录用户的Portal认证信息(用户名、密码)和用户终端的MAC地址,并将二者进行绑定,以便代替用户完成Portal认证。
(1) 用户在首次接入网络时,接入设备将用户的MAC地址及接入端口信息保存为MAC-Trigger表项。
(2) 接入设备会根据MAC-Trigger表项将用户的MAC地址发送至MAC绑定服务器进行查询。
(3) MAC绑定服务器在本地查询是否存在与用户MAC地址绑定的Portal认证信息:
· 如果存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为“已绑定”状态,并使用用户的认证信息向接入设备发起Portal认证,在用户无感知的情况下完成认证过程。
· 如果不存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为“未绑定”状态。接入设备将对用户发起正常的Portal认证。在用户完成Portal认证过程后,接入设备会将用户的MAC地址和认证信息发送至MAC绑定服务器,完成信息绑定。当同一用户再次访问网络时,MAC绑定服务器便可以利用保存的认证信息代替用户完成认证。
(4) 用户通过Portal认证后,接入设备将删除MAC-Trigger表项。
设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。
用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-Trigger表项老化后,将该用户的流量统计清零。如果在MAC-Trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-Trigger表项,重复以上过程。
通过抓包确认,连接超时的问题原因为Portal服务器与接入设备之间的CHAP交互出现异常导致,终端可以访问外部网络资源是由于配置MAC-Trigger免认证流量的阈值。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作