某大学局点使用20G的V7无线插卡控制器做portal无感知认证,原先使用IMC做服务器时认证正常,最近将服务器替换为深澜服务器后,不能弹出认证页面,去掉无感知的配置做普通portal认证也不能正常认证通过。
无
1.查看原先对接IMC时正常认证的配置,对比现在对接深澜时的配置,发现只是修改了server-type的类型为cmcc
#
interface Vlan-interface604
ip address 10.66.224.2 255.255.224.0
portal enable method direct
portal user-detect type arp interval 10
portal domain shenlan
portal bas-ip 10.66.160.5
portal apply web-server shenlan
portal apply mac-trigger-server shenlan
#
radius scheme shenlan
primary authentication 10.66.3.2
primary accounting 10.66.3.2
key authentication cipher $c$3$5Q1TuI7bKDnBC/NZYN6Exi7oABNQl92m
key accounting cipher $c$3$RLfQRClxtr9emPoAWD6jWsE9YHHP6D9V
user-name-format without-domain
nas-ip 10.66.160.5
#
radius dynamic-author server
client ip 10.66.3.2 key cipher $c$3$o7emWEJUCHwhEYJRBvzwzIlGiwTFZTP6
#
domain shenlan
authentication portal radius-scheme shenlan
authorization portal none
accounting portal radius-scheme shenlan
#
portal web-server shenlan
url http://10.66.3.2/index_1.html
server-type cmcc
url-parameter nas_ip value 10.66.160.5
url-parameter wlanuserip source-address
#
portal server shenlan
ip 10.66.3.2 key cipher $c$3$vCNx/ZRFRytRB4ZUpybLSjKjYyd4KeyS
#
portal mac-trigger-server shenlan
ip 10.66.3.2
port 2000
server-type cmcc
#
2.debug查看portal无感知认证的过程,发现设备已经发送了Type=req_macbind_info(48)的请求报文,连续三次发送但是一直没有收到回应
*Sep 13 16:16:03:022 2017 AC01-02 PORTAL/7/PACKET:
Portal sent 55 bytes of packet: Type=req_macbind_info(48), ErrCode=0, IP=10.66.128.34
*Sep 13 16:16:03:022 2017 AC01-02 PORTAL/7/PACKET:
[ 11 SESSIONID ] [ 8] [30b4-9e2d-9868]
[ 10 BASIP ] [ 6] [10.66.160.5]
[ 48 NASID ] [ 9] [AC01-02]
[ 30 SSID ] [ 16] [ZstuTeacherweb]
3.现场去掉无感知配置,只用普通PORTAL认证,发现终端能弹出portal认证的界面,但是输入用户名密码后一直不能正常上线,抓包发现发现此时portal server发送给AC的Req_info报文 version字段为2。
根据中移动ipv6 portal新规范规定ipv6 portal使用ver=2,ipv4 portal使用ver=1。 因此当配置成cmcc时,老版本(当时还没有ipv6 portal规定)收到portal server发来的ver=2的报文type 9号报文时,ac不做检查,直接按照正常流程处理。但新版本收到这个报文后,发现并不是一个ipv6用户做认证,因此不响应,故一直提示BAS设备无响应。而配置成IMC后就没有这个限制。
4.现场工程师连续深澜售后,将版本改为1.0后,普通portal能正常认证通过,截图如下:
5.加上无感知配置,发现服务器对Type=req_macbind_info(48)的请求报文不做回应,后续现场工程师继续联系深澜售后,修改了某些参数后能正常识别该报文,后续认证正常通过,完成测试验收。
修改深澜portal server的版本和参数后正常对接。
无线portal认证和IMC服务器对接时,一般使用默认的server-type类型(IMC),和第三方服务器对接时,一般选用server-type的类型为cmcc。当配置成cmcc时,老版本(当时还没有ipv6 portal规定)收到portal server发来的ver=2的报文type 9号报文时,ac不做检查,直接按照正常流程处理。但新版本收到这个报文后,发现并不是一个ipv6用户做认证,因此不响应,故一直提示BAS设备无响应。而配置成IMC后就没有这个限制。所以和第三方服务器对接时一定要注意对接时portal server的版本。
当和第三方服务器对接失败时,要注意收集认证的过程,用事实说话,辩证对待问题,积极配合完整项目验收。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作