SR6608 结合IMC做portal认证Inode客户端提示认证被拒绝的经验案例

1、组网拓扑：

终端所在网段：172.16.11.0/24

防火墙NAT后地址：10.200.0.1

2、组网需求：Portal认证起在核心设备上，在防火墙的上行接口配置了NAT地址转换；用户想要内网用户安装Inode客户端进行Portal认证

3、故障现象：内网PC通过WEB界面进行认证能认证成功，但是在使用Inode客户端进行认证时，提示认证请求被拒绝

1、Inode客户端设置：

2、Inode客户端报错信息：

1、检查设备的配置是没问题的：

interface Route-Aggregation1.300

 ip address 10.200.0.254 255.255.255.0

 vlan-type dot1q vid 300

 portal enable method direct

 portal bas-ip 10.200.140.2

 portal fail-permit server zjrtg

 portal apply web-server zjrtg

 portal apply mac-trigger-server mac

 portal fail-permit web-server

2、内网用户通过WEB界面能认证成功，说明在Bras上Portal配置正确；怀疑是Inode客户端问题

3、将安装Inode客户端的PC直接挂在核心下，配置和防火墙上行接口同网段的地址进行测试，Inode客户端能正常认证成功；怀疑问题出在防火墙的NAT地址转换

4、将PC连接在防火墙下，使用Inode客户端进行认证时，在核心上收集Debug信息，发现报文携带的IP地址没有经过NAT地址转换：

*May 24 15:02:10:791 2017 SR6608-D09 PORTAL/7/PACKET: -MDC=1;

Portal received 122 bytes of packet: Type=req_auth(3), ErrCode=0, IP=172.16.11.30

*May 24 15:02:10:791 2017 SR6608-D09 PORTAL/7/PACKET: -MDC=1;

[  1 USERNAME            ] [ 40] [OjALR0IBZiF4HB84e1MpKOAF80M=  hsh529]

[  2 PASSWORD            ] [ 12] [******]

[ 10 BASIP               ] [  6] [10.200.140.2]

[ 33 RELAYMSG            ] [ 32] [bDcISE0CYXcuGxw3dFAufjF/h0M=]

经跟IMC工程师确认，Inode客户端内部已经内置了NAT功能，不支持现场这样的组网

只有配置了NAT的设备位于Bras和IMC服务器中间时，终端支持使用Inode客户端进行认证；配置了NAT功能的设备位于客户端和Bras设备中间时，终端不支持使用Inode客户端进行Portal认证。