iMC EIA由于Portal mac查询报文通信地址配置导致的无感知认证不生效

Portal无感知认证是一种在Portal浏览器认证场景下，无需输入用户名和密码即可上线的认证过程。用户第一次使用终端时，通过浏览器上网产生流量，设备会重定向到Portal认证页面。用户输入用户名、密码、服务等信息后上线，服务器会将认证信息以及终端的MAC地址保存到数据库中。当用户再次使用该终端访问网络产生流量时，服务器自动使用该认证信息进行认证，免去了用户在浏览器中输入认证信息上线的过程。

在这个无感知的过程中，实际终端连入网络产生流量后，网络设备会发送无感知MAC查询报文通知Portal服务器。Portal服务器根据该报文携带的MAC地址进行本地查询，完成无感知认证上线的过程。若无感知MAC查询报文出现问题，则会影响到无感知功能的实现。

本案例指出当无感知查询报文通信地址不正确，影响无感知功能实现的一种情况。问题现象为，终端通过普通推送页面的Portal认证成功，用户正常上线访问网络。iMC服务器上查询账号的无感知绑定状态正常。但是，终端再次上线，无感知功能不生效。

1、iMC服务器基本配置排查。

1）iMC上Portal设备端口组下是否启用了无感知功能。

2）iMC上接入用户使用的服务是否启用了无感知认证功能。

3）iMC上终端管理界面是否无感知认证状态为“启用”。

2、收集Portal和UAM调试级别日志进行分析，收集方法请查阅相关KMS案例。

分析Portal调试日志，发现Portal快速认证报文的通信地址不正确。

2017-06-09 20:42:19.560[Portal服务器][调试(0)][21][ProxyRequestHandler::run]10.28.83.70 ; PORTAL_FAST_AUTH_QUERY(48) ; 45399 ; 10.28.51.254:2000 ; MAC地址绑定查询报文处理成功。(0)

<Content>

    <Head>

        Packet Type:PORTAL_FAST_AUTH_QUERY(48)

        SerialNo:45399

        Address:10.2.46.250

        Port:50908

        RemoteIp:10.28.51.254

        RemotePort:2000

        Version:portal 1.0

        Auth Type:CHAP

        ErrorID:0

        UserIP:10.28.83.70

        UserPort:0

        ReqID:0

        Rsvd:0

        attriNum:3

    </Head>

    <Attributes>

        Session Id:6c 8d c1 65 fe d6

        Device Ip:10.28.51.254

        NAS-ID:HNDS-AC

    </Attributes>

</Content>

<OriginalPacket>

    00000000h: 00 00 00 00 00 00 00 00    00 00 00 00 0A 1C 33 FE ;..............3.

    00000010h: 07 D0 C3 B4 01 30 00 00    B1 57 00 00 0A 1C 53 46 ;.....0...W....SF

    00000020h: 00 00 00 03 0B 08 6C 8D    C1 65 FE D6 0A 06 0A 1C ;......l..e......

    00000030h: 33 FE 30 09 48 4E 44 53    2D 41 43                   ;3.0.HNDS-AC

</OriginalPacket>

2017-06-09 20:42:19.560[Portal服务器][调试(0)][142][RequestProcessor::run]Begin processRequest() method.

2017-06-09 20:42:19.560[Portal服务器][调试(0)][142][RequestProcessor::macBindQueryEvent]MAC is :6C:8D:C1:65:FE:D6.

2017-06-09 20:42:19.561[Portal服务器][调试(0)][142][RequestProcessor::macBindQueryEvent]Mac query response from Radius. errorCode is 65001, serviceSuffix is hnanet

2017-06-09 20:42:19.561[Portal服务器][调试(0)][142][RequestProcessor::macBindQueryEvent]MAC[6C:8D:C1:65:FE:D6] is bind.

2017-06-09 20:42:19.561[Portal服务器][错误(160017)][142][RequestProcessor::macBindQueryEvent]获取设备信息失败

2017-06-09 20:42:19.561[Portal服务器][调试(0)][142][RequestProcessor::run]End processRequest() method.

分析报文中设备侧通信地址是“10.28.51.254”，这与下图中服务器添加的设备IP“10.28.80.1”不相符合。结果是iMC Portal服务器根据“10.28.51.254”查找不到相关设备的配置信息而出现错误。也导致无感知认证无法进行下去。

3、检查设备配置，找到“10.28.51.254”和“10.28.80.1”相关配置。

查看设备配置，其中Portal nas-ip为“10.28.80.1”，Radius nas-ip为“10.28.51.254”。

因为设备侧通信地址与服务器上地址“10.28.80.1”一致，所以普通的Portal认证没有问题的。因为服务器上无感知绑定功能设置正确，因此查看服务器上上线用户的无感知绑定状态也是正常的。

设备侧选择的MAC查询报文通信地址为“10.28.51.254”与Radius nac-ip一致。此地址与服务器上配置的Portal设备地址“10.28.80.1”不一致。这就导致服务器对于源IP为“10.28.51.254”的MAC查询报文处理异常。

5、综上所述，问题原因为Portal无感知认证中MAC查询报文的通信地址与服务器上配置的地址不一致。

1、调整设备配置，将Portal认证的地址修改成和Radius nas-ip一致。

2、确认在iMC服务器上，“用户>接入用户管理>Portal服务管理>设备配置”中，已添加IP地址与第一步中设备配置Portal认证地址一致的设备。