• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点Portal认证异常问题经验案例

2020-02-26 发表
  • 0关注 ,697浏览
粉丝:44人 关注:6人

组网及说明

问题描述

某局点使用75E作为Portal接入设备,近期升级IMC服务器相关组件后,出现部分用户无法正常认证登录的情况   

过程分析

首先,现场测试在终端上可以正常打开Portal认证界面,说明接入设备可以将http报文重定向到Portal服务器,Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

但当输入用户名和密码后,点击认证时,Portal认证界面提示连接服务器超时。


根据Portal认证流程,当前问题出现在Portal服务器与接入设备的23流程或接入设备与认证服务器之间交互存在问题。

问题范围已经缩小,其实接下来抓包就可以明确故障位置,进行下一步分析。

但客户反馈了另一个问题,在Portal界面提示认证连接服务器超时,认证未成功的情况下,终端不定时可以访问外网资源。

 

在终端显示连接服务器超时,可以访问外网资源的情况,查看设备并没有相关在线用户,于是检查配置。

发现在接入设备上有配无感知认证:

portal mac-trigger-server imc

 ip 10.1.87.194 key cipher $c$3$MdKH7TLSry0cJtVCSKWn86oW3p5xo6lP9sKo

 server-type cmcc

 free-traffic threshold 1014

使用户无需手工输入认证信息便可以自动完成Portal认证。基于MAC地址的快速认证又称为MAC Trigger认证或无感知认证,该方式需要在网络中部署MAC绑定服务器。MAC绑定服务器用于记录用户的Portal认证信息(用户名、密码)和用户终端的MAC地址,并将二者进行绑定,以便代替用户完成Portal认证。

(1)       用户在首次接入网络时,接入设备将用户的MAC地址及接入端口信息保存为MAC-Trigger表项。

(2)       接入设备会根据MAC-Trigger表项将用户的MAC地址发送至MAC绑定服务器进行查询。

(3)       MAC绑定服务器在本地查询是否存在与用户MAC地址绑定的Portal认证信息:

·            如果存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为已绑定状态,并使用用户的认证信息向接入设备发起Portal认证,在用户无感知的情况下完成认证过程。

·            如果不存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为未绑定状态。接入设备将对用户发起正常的Portal认证。在用户完成Portal认证过程后,接入设备会将用户的MAC地址和认证信息发送至MAC绑定服务器,完成信息绑定。当同一用户再次访问网络时,MAC绑定服务器便可以利用保存的认证信息代替用户完成认证。

(4)       用户通过Portal认证后,接入设备将删除MAC-Trigger表项。

 

设备开启了基于MAC地址的快速认证功能时,用户在上线后都拥有一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。

 

用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-Trigger表项老化后,将该用户的流量统计清零。如果在MAC-Trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-Trigger表项,重复以上过程。

解决方法

通过抓包确认,连接超时的问题原因为Portal服务器与接入设备之间的CHAP交互出现异常导致,终端可以访问外部网络资源是由于配置MAC-Trigger免认证流量的阈值。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作