Portal无感知认证是一种在Portal浏览器认证场景下,无需输入用户名和密码即可上线的认证过程。用户第一次使用终端时,通过浏览器上网产生流量,设备会重定向到Portal认证页面。用户输入用户名、密码、服务等信息后上线,服务器会将认证信息以及终端的MAC地址保存到数据库中。当用户再次使用该终端访问网络产生流量时,服务器自动使用该认证信息进行认证,免去了用户在浏览器中输入认证信息上线的过程。
在这个无感知的过程中,实际终端连入网络产生流量后,网络设备会发送无感知MAC查询报文通知Portal服务器。Portal服务器根据该报文携带的MAC地址进行本地查询,完成无感知认证上线的过程。若无感知MAC查询报文出现问题,则会影响到无感知功能的实现。
本案例指出当无感知查询报文通信地址不正确,影响无感知功能实现的一种情况。问题现象为,终端通过普通推送页面的Portal认证成功,用户正常上线访问网络。iMC服务器上查询账号的无感知绑定状态正常。但是,终端再次上线,无感知功能不生效。
1、iMC服务器基本配置排查。
1)iMC上Portal设备端口组下是否启用了无感知功能。
2)iMC上接入用户使用的服务是否启用了无感知认证功能。
3)iMC上终端管理界面是否无感知认证状态为“启用”。
2、收集Portal和UAM调试级别日志进行分析,收集方法请查阅相关KMS案例。
分析Portal调试日志,发现Portal快速认证报文的通信地址不正确。
2017-06-09 20:42:19.560[Portal服务器][调试(0)][21][ProxyRequestHandler::run]10.28.83.70 ; PORTAL_FAST_AUTH_QUERY(48) ; 45399 ; 10.28.51.254:2000 ; MAC地址绑定查询报文处理成功。(0)
<Content>
<Head>
Packet Type:PORTAL_FAST_AUTH_QUERY(48)
SerialNo:45399
Address:10.2.46.250
Port:50908
RemoteIp:10.28.51.254
RemotePort:2000
Version:portal 1.0
Auth Type:CHAP
ErrorID:0
UserIP:10.28.83.70
UserPort:0
ReqID:0
Rsvd:0
attriNum:3
</Head>
<Attributes>
Session Id:6c 8d c1 65 fe d6
Device Ip:10.28.51.254
NAS-ID:HNDS-AC
</Attributes>
</Content>
<OriginalPacket>
00000000h: 00 00 00 00 00 00 00 00 00 00 00 00 0A 1C 33 FE ;..............3.
00000010h: 07 D0 C3 B4 01 30 00 00 B1 57 00 00 0A 1C 53 46 ;.....0...W....SF
00000020h: 00 00 00 03 0B 08 6C 8D C1 65 FE D6 0A 06 0A 1C ;......l..e......
00000030h: 33 FE 30 09 48 4E 44 53 2D 41 43 ;3.0.HNDS-AC
</OriginalPacket>
2017-06-09 20:42:19.560[Portal服务器][调试(0)][142][RequestProcessor::run]Begin processRequest() method.
2017-06-09 20:42:19.560[Portal服务器][调试(0)][142][RequestProcessor::macBindQueryEvent]MAC is :6C:8D:C1:65:FE:D6.
2017-06-09 20:42:19.561[Portal服务器][调试(0)][142][RequestProcessor::macBindQueryEvent]Mac query response from Radius. errorCode is 65001, serviceSuffix is hnanet
2017-06-09 20:42:19.561[Portal服务器][调试(0)][142][RequestProcessor::macBindQueryEvent]MAC[6C:8D:C1:65:FE:D6] is bind.
2017-06-09 20:42:19.561[Portal服务器][错误(160017)][142][RequestProcessor::macBindQueryEvent]获取设备信息失败
2017-06-09 20:42:19.561[Portal服务器][调试(0)][142][RequestProcessor::run]End processRequest() method.
分析报文中设备侧通信地址是“10.28.51.254”,这与下图中服务器添加的设备IP“10.28.80.1”不相符合。结果是iMC Portal服务器根据“10.28.51.254”查找不到相关设备的配置信息而出现错误。也导致无感知认证无法进行下去。
3、检查设备配置,找到“10.28.51.254”和“10.28.80.1”相关配置。
查看设备配置,其中Portal nas-ip为“10.28.80.1”,Radius nas-ip为“10.28.51.254”。
因为设备侧通信地址与服务器上地址“10.28.80.1”一致,所以普通的Portal认证没有问题的。因为服务器上无感知绑定功能设置正确,因此查看服务器上上线用户的无感知绑定状态也是正常的。
设备侧选择的MAC查询报文通信地址为“10.28.51.254”与Radius nac-ip一致。此地址与服务器上配置的Portal设备地址“10.28.80.1”不一致。这就导致服务器对于源IP为“10.28.51.254”的MAC查询报文处理异常。
5、综上所述,问题原因为Portal无感知认证中MAC查询报文的通信地址与服务器上配置的地址不一致。
1、调整设备配置,将Portal认证的地址修改成和Radius nas-ip一致。
2、确认在iMC服务器上,“用户>接入用户管理>Portal服务管理>设备配置”中,已添加IP地址与第一步中设备配置Portal认证地址一致的设备。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作