问题现象:
某局点了实施了Mac or Portal的无感知认证方式,当客户端第一次认证通过之后,偶尔还会有个别终端出现弹出Portal页面的情况。
原因分析:
由于AC上配置的Mac or Portal的认证方式,也就是bypass portal的认证方式,这种方式有别于其他的无感知认证流程,具体流程如下:
(1)仍然借助guest-vlan,但guest-vlan跟业务VLAN是相同的。也就是说相同VLAN中MAC认证和Portal认证二选一即可,不存在VLAN切换的事情了;
(2)用户首次上线,MAC认证失败会弹出portal页面,进行portal认证,portal认证通过后可以直接上网;
(3)用户再次上线,如果对应portal用户存在(此时查portal用户存在的时候查询的是客户端的MAC地址,并不包含客户端的IP地址),不会发起MAC认证,可以直接上网;
(4)用户再次上线,如果对应portal用户不存在,则发起MAC认证。MAC认证成功后不会再弹出Portal页面,可以直接上网;
(5)display connection中只会看到一个连接,Portal的或者MAC认证的;
而现场由于没有配置idle-cut的命令,并且客户端的地址租约较短,当客户端第一天认证成功之后,portal表项会一直存在AC上,当第二天来到公司时,连上无线时,会首先查看portal用户表项存在,由于AC上存在此MAC的portal用户表项,所有不进行MAC认证,当客户端获取到IP地址之后,这是查询的portal用户为客户端的IP和MAC表项,如果IP和MAC表项不一致的话,那么就会弹出portal页面,所有只有没有配置idle-cut的情况下,并且客户端IP地址变了的时候才会出现。
解决办法:
在domain域下面配置idle-cut的命令,并且idle-cut的时间要小于客户端获取到地址的租约时间的一半。
建议:
强烈建议idle-cut的时间配置小于客户端的IP地址租约的一半。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作