知

SR88下连哑终端无法进行mac认证上线

ipoe
其他

2021-03-19 发表

0关注
1收藏 1489浏览

杨凌轩

杨凌轩六段

粉丝：1人关注：0人

组网及说明

不涉及

问题描述

现场SR88作为IPOE认证设备结合三方AAA服务器，采用WEB MAC-AUTH方式进行web认证无感知。在进行哑终端认证时发现哑终端无法正常认证上线。

过程分析

首先查看哑终端状态，通过dis ip subscriber session ip 172.21.14.226查看，发现有哑终端的ipoe会话

Type: D-DHCP S-Static U-Unclassified-IP N-NDRS

Interface IP address MAC address Type State

RAGG1.805 172.21.14.226 2032-3343-297e D/- Online

说明连通性没有问题，进一步查看会话verbose情况

dis ip subscriber session ip 172.21.14.226 verbose发现哑终端进行了web mac-auth认证并处于认证前域中

Basic:

Description : -

Username : 20323343297e

Authorization domain : pre-bw-wireless

Authentication domain : pre-bw-wireless

VPN instance : N/A

IP address : 172.21.14.226

User address type : N/A

MAC address : 2032-3343-297e

IPv4 DUID : 2032-3343-297e

Service-VLAN/Customer-VLAN : 805/-

Access interface : RAGG1.805

User ID : 0x382e9ff3

VPI/VCI(for ATM) : -/-

VSI Index : -

VSI link ID : -

VXLAN ID : -

DNS servers : 192.168.99.16

IPv6 DNS servers : N/A

DHCP lease : 14400 sec

DHCP remain lease : N/A

Access time : Feb 23 14:22:01 2021

Online time(hh:mm:ss) : 00:00:02

Service node : Slot 1 CPU 0

Authentication type : Web pre-auth

IPv4 access type : DHCP

IPv4 detect state : Detecting

State : Online

现场客户需求哑终端需要到AAA服务器进行mac认证后归入认证后域，结合debug radius和AAA抓包发现并无radius认证报文，说明哑终端直接进行了ipoe上线。

于是建议采用静态的认证方式，指定哑终端到认证后域中进行radius认证。

如ip subscriber session static ip 10.20.0.1 10.20.3.254 domain auth-free description vpn

但实际客户环境中哑终端和智能终端共用地址池，无法分割，若采用静态会话网段会导致智能终端无法正常进行ipoe认证。

结合现网进一步查看发现在配置中，只配置了http重定向，经确认，哑终端无法发送http报文，导致无法进行CPU重定向，认证异常。

解决方法

无感知场景加一个策略，将哑终端的报文重定向到CPU才可以触发无感知，然后会发无感知认证请求报文给aaa，aaa根据哑终端的mac去认证通过。

其他终端应该是通过http去做的无感知，哑终端只能用ip报文，所以要添加。

添加标红的配置：

traffic classifier web_deny operator or

if-match acl name ip

if-match acl ipv6 name ip

acl advanced name ip

rule 0 permit ip user-group web

acl ipv6 advanced name ip

rule 0 permit ipv6 user-group web

traffic behavior CPU

redirect cpu

qos policy web

classifier mrzwd behavior mrzwd

classifier web_permit behavior web_permit

classifier neiwang behavior neiwang

classifier web_http behavior web_http

classifier web_https behavior web_https

classifier web_deny behavior CPU

classifier web_deny behavior web_deny

添加完后测试哑终端已可以正常触发无感知认证上线，问题解决

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

SR88下连哑终端无法进行mac认证上线

组网及说明

问题描述

过程分析

解决方法

编辑评论

提出建议