无线Portal无感知认证对接三方服务器识别用户Vlan-id问题处理经验案例

需求：无线Portal无感知认证对接三方服务器识别用户Vlan-id。

(1).三方服务器（深澜平台）从AC发给服务器的radius报文Nas-port-id属性字段读取Vlan-id信息，实现准出认证需求（利用Vlan-id来实现各个SSID的访问控制需求）。

(2).Portal+Mac认证方式，第一次Portal认证时，服务器侧无法获取到正确的vlan-id信息，第二次及以后无感知认证时，可以正确获取。

(3).在AC侧进行2次抓包。第一个包是测试终端第一次Portal认证的抓包，第二个包是测试终端第二次无感知认证时的抓包。两次抓包Nas-port-id属性字段格式不一样。

结合用户需求，分析过程如下：

例：测试终端账号：zyy； MAC地址：5C-E0-C5-46-33-59 

抓包截图如下：

第一次Portal认证：

第二次无感知认证：

AC设置[H3C]portal nas-port-id format配置成4，测试第一次Portal认证格式变了，第二次MAC查询无感知时格式没变，无法将第二次无感知格式修改为第一次一样的格式。

[H3C]portal nas-port-id format ? 

  1  Format 1. Example: eth 31/31/7:4094.2345 0/0/0/0/0/0 

  2  Format 2. Example: 0100123000000123 

  3  Format 3. Example: 0100123000000123/2/0/0/0  

       4   Format 4. Example: slot=3;suslot=0;port=2;vlanid=3;vlanid2=4

从两次抓包发现AC发送的RADIUS中Nas-port-id属性值不同，用户使用的是Portal+Mac认证方式，第一次认证是Portal方式，第二次无感知认证使用的是Mac认证，所以两者的格式不一样。其中MAC认证中的Nas-port-id格式是不支持修改的。

两次认证中都包括H3c-User-Vlan-Id，可以使用这个字段获取用户VLAN信息。H3c-User-Vlan-Id是在RADIUS报文中体现，该属性为私有属性，16进制的。

例：H3c-User-Vlan-Id =316，13c对应十进制就是316。