需求:无线Portal无感知认证对接三方服务器识别用户Vlan-id。
(1).三方服务器(深澜平台)从AC发给服务器的radius报文Nas-port-id属性字段读取Vlan-id信息,实现准出认证需求(利用Vlan-id来实现各个SSID的访问控制需求)。
(2).Portal+Mac认证方式,第一次Portal认证时,服务器侧无法获取到正确的vlan-id信息,第二次及以后无感知认证时,可以正确获取。
(3).在AC侧进行2次抓包。第一个包是测试终端第一次Portal认证的抓包,第二个包是测试终端第二次无感知认证时的抓包。两次抓包Nas-port-id属性字段格式不一样。
结合用户需求,分析过程如下:
例:测试终端账号:zyy; MAC地址:5C-E0-C5-46-33-59
抓包截图如下:
第一次Portal认证:
第二次无感知认证:
AC设置[H3C]portal nas-port-id format配置成4,测试第一次Portal认证格式变了,第二次MAC查询无感知时格式没变,无法将第二次无感知格式修改为第一次一样的格式。
[H3C]portal nas-port-id format ?
1 Format 1. Example: eth 31/31/7:4094.2345 0/0/0/0/0/0
2 Format 2. Example: 0100123000000123
3 Format 3. Example: 0100123000000123/2/0/0/0
4 Format 4. Example: slot=3;suslot=0;port=2;vlanid=3;vlanid2=4
从两次抓包发现AC发送的RADIUS中Nas-port-id属性值不同,用户使用的是Portal+Mac认证方式,第一次认证是Portal方式,第二次无感知认证使用的是Mac认证,所以两者的格式不一样。其中MAC认证中的Nas-port-id格式是不支持修改的。
两次认证中都包括H3c-User-Vlan-Id,可以使用这个字段获取用户VLAN信息。H3c-User-Vlan-Id是在RADIUS报文中体现,该属性为私有属性,16进制的。
例:H3c-User-Vlan-Id =316,13c对应十进制就是316。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作