某局点无线控制器客户端远程Portal认证故障问题处理方法

某局点无线控制器客户端远程Portal认证故障问题处理方法

一、问题描述：

某局点反馈使用我司无线控制器对接第三方Radius设备做远程Portal认证时个别客户端可以正常推送Portal页面，但提示用户认证失败且AC与Radius无报文交互信息。

二、过程分析：

1、 在AC上收集下面诊断信息分析：

debug portal packet；debug radius packet

*May 21 21:38:12:092 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Received connection from WS.

*May 21 21:38:12:093 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Processing connection.

*May 21 21:38:12:093 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn 107479041, Create age time to 5000.

*May 21 21:38:12:093 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Add connection ID:107479041, IP:0x72e3fa41

-----portal重定向时URL里携带的IP地址：114.227.250.65

*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Event: HTTP parse continued.

*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Data from connection is not complete.

*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Received read msg.

*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Get ip from Cookie: 0x72e3ffd7.

-----AC从客户端cookie中取到的IP地址：114.227.255.215

*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Update connection IP ID:107479041, IP:0x72e3ffd7

*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Get MAC information from IPCIM(IP: 114.227.255.215).

*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Get SSID: , IP:0x72e3ffd7.

*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Action: POST, Type:LOGON, UserName:188XXXX8778, Passwd:***.

*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn 107479041, Reset age time to 120000.

*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG:

 Failed to create local-portal user 72e3ffd7 for logon.

-----以IP地址为114.227.255.215的客户端进行portal认证提示认证失败信息

*May 21 21:38:12:096 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Error: Failed to send request info.

*May 21 21:38:12:096 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Zipfile defaultfile.zip does not exist.

*May 21 21:38:12:096 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Replied a file logonFail.htm for client.

*May 21 21:38:12:096 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Send data successfully.

2、该客户端在AC上dhcp-snooping表项如下：

dis dhcp-snooping | include 3c43-8ee4-0287

 

 D    114.227.250.65  3c43-8ee4-0287 257568       4000 N/A   WLAN-DBSS101:5393

3、综合上面1、2两点分析，客户端认证时使用的IP地址是114.227.250.65。在portal页面重定向阶段使用的地址是114.227.250.65，但是在portal server与BAS(AC)交互阶段使用的IP地址是从客户端cookie中取到的缓存IP：114.227.255.215，从而导致portal server与BAS(AC)认证交互失败。

portal认证阶段前后认证地址不一致导致认证失败与AC上配置portal host-check dhcp-snooping命令有关。添加该配置后，portal认证时会检查认证地址在dhcp-snooping表项中是否存在。如果存在，则可以继续认证，如果不存在，则认证过程终止。

但问题最终故障原因是：客户端在认证时使用的IP地址114.227.255.215应该是之前使用过的缓存地址，但在认证时没有及时更新，从而导致认证失败。即使portal认证时不检查dhcp-snooping表项，由于portal认证使用地址为缓存地址而非此次认证获取到的IP地址，客户端后续进行portal认证仍然会被拒绝。

四、解决方法：

针对上面的问题解决方法如下：清除客户端浏览器的cookie等缓存信息后重新进行认证。