1、组网拓扑:
终端所在网段:172.16.11.0/24
防火墙NAT后地址:10.200.0.1
2、组网需求:Portal认证起在核心设备上,在防火墙的上行接口配置了NAT地址转换;用户想要内网用户安装Inode客户端进行Portal认证
3、故障现象:内网PC通过WEB界面进行认证能认证成功,但是在使用Inode客户端进行认证时,提示认证请求被拒绝
1、Inode客户端设置:
2、Inode客户端报错信息:
1、检查设备的配置是没问题的:
interface Route-Aggregation1.300
ip address 10.200.0.254 255.255.255.0
vlan-type dot1q vid 300
portal enable method direct
portal bas-ip 10.200.140.2
portal fail-permit server zjrtg
portal apply web-server zjrtg
portal apply mac-trigger-server mac
portal fail-permit web-server
2、内网用户通过WEB界面能认证成功,说明在Bras上Portal配置正确;怀疑是Inode客户端问题
3、将安装Inode客户端的PC直接挂在核心下,配置和防火墙上行接口同网段的地址进行测试,Inode客户端能正常认证成功;怀疑问题出在防火墙的NAT地址转换
4、将PC连接在防火墙下,使用Inode客户端进行认证时,在核心上收集Debug信息,发现报文携带的IP地址没有经过NAT地址转换:
*May 24 15:02:10:791 2017 SR6608-D09 PORTAL/7/PACKET: -MDC=1;
Portal received 122 bytes of packet: Type=req_auth(3), ErrCode=0, IP=172.16.11.30
*May 24 15:02:10:791 2017 SR6608-D09 PORTAL/7/PACKET: -MDC=1;
[ 1 USERNAME ] [ 40] [OjALR0IBZiF4HB84e1MpKOAF80M= hsh529]
[ 2 PASSWORD ] [ 12] [******]
[ 10 BASIP ] [ 6] [10.200.140.2]
[ 33 RELAYMSG ] [ 32] [bDcISE0CYXcuGxw3dFAufjF/h0M=]
经跟IMC工程师确认,Inode客户端内部已经内置了NAT功能,不支持现场这样的组网
只有配置了NAT的设备位于Bras和IMC服务器中间时,终端支持使用Inode客户端进行认证;配置了NAT功能的设备位于客户端和Bras设备中间时,终端不支持使用Inode客户端进行Portal认证。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作