某局点无线控制器客户端远程Portal认证故障问题处理方法
一、问题描述:
某局点反馈使用我司无线控制器对接第三方Radius设备做远程Portal认证时个别客户端可以正常推送Portal页面,但提示用户认证失败且AC与Radius无报文交互信息。
二、过程分析:
1、 在AC上收集下面诊断信息分析:
debug portal packet;debug radius packet
*May 21 21:38:12:092 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Received connection from WS.
*May 21 21:38:12:093 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Processing connection.
*May 21 21:38:12:093 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn 107479041, Create age time to 5000.
*May 21 21:38:12:093 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Add connection ID:107479041, IP:0x72e3fa41
-----portal重定向时URL里携带的IP地址:114.227.250.65
*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Event: HTTP parse continued.
*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Data from connection is not complete.
*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Received read msg.
*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Get ip from Cookie: 0x72e3ffd7.
-----AC从客户端cookie中取到的IP地址:114.227.255.215
*May 21 21:38:12:094 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Update connection IP ID:107479041, IP:0x72e3ffd7
*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Get MAC information from IPCIM(IP: 114.227.255.215).
*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Get SSID: , IP:0x72e3ffd7.
*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Action: POST, Type:LOGON, UserName:188XXXX8778, Passwd:***.
*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn 107479041, Reset age time to 120000.
*May 21 21:38:12:095 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG:
Failed to create local-portal user 72e3ffd7 for logon.
-----以IP地址为114.227.255.215的客户端进行portal认证提示认证失败信息
*May 21 21:38:12:096 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Error: Failed to send request info.
*May 21 21:38:12:096 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Zipfile defaultfile.zip does not exist.
*May 21 21:38:12:096 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Replied a file logonFail.htm for client.
*May 21 21:38:12:096 2013 XX-XXX-AC.MAN.S7506E-1-03 PORTAL/7/PORTAL_DEBUG: Conn:107479041, Send data successfully.
2、该客户端在AC上dhcp-snooping表项如下:
dis dhcp-snooping | include 3c43-8ee4-0287
D 114.227.250.65 3c43-8ee4-0287 257568 4000 N/A WLAN-DBSS101:5393
3、综合上面1、2两点分析,客户端认证时使用的IP地址是114.227.250.65。在portal页面重定向阶段使用的地址是114.227.250.65,但是在portal server与BAS(AC)交互阶段使用的IP地址是从客户端cookie中取到的缓存IP:114.227.255.215,从而导致portal server与BAS(AC)认证交互失败。
portal认证阶段前后认证地址不一致导致认证失败与AC上配置portal host-check dhcp-snooping命令有关。添加该配置后,portal认证时会检查认证地址在dhcp-snooping表项中是否存在。如果存在,则可以继续认证,如果不存在,则认证过程终止。
但问题最终故障原因是:客户端在认证时使用的IP地址114.227.255.215应该是之前使用过的缓存地址,但在认证时没有及时更新,从而导致认证失败。即使portal认证时不检查dhcp-snooping表项,由于portal认证使用地址为缓存地址而非此次认证获取到的IP地址,客户端后续进行portal认证仍然会被拒绝。
四、解决方法:
针对上面的问题解决方法如下:清除客户端浏览器的cookie等缓存信息后重新进行认证。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作