大致组网如上:
现场SR88作为IPOE认证设备结合三方AAA服务器,采用WEB MAC-AUTH方式进行web认证无感知。在进行哑终端认证时发现哑终端无法正常认证上线。
首先查看哑终端状态,通过dis ip subscriber session ip 192.21.14.226查看,发现有哑终端的ipoe会话
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
RAGG1.120 192.21.14.226 1632-3343-297e D/- Online
说明连通性没有问题,进一步查看会话verbose情况
dis ip subscriber session ip 192.21.14.226 verbose发现哑终端进行了web mac-auth认证并处于认证前域中
Basic:
Description : -
Username : 20323343297e
Authorization domain : pre-bw-wireless
Authentication domain : pre-bw-wireless
VPN instance : N/A
IP address : 192.21.14.226
User address type : N/A
MAC address : 1632-3343-297e
IPv4 DUID : 1632-3343-297e
Service-VLAN/Customer-VLAN : 805/-
Access interface : RAGG1.120
User ID : 0x382e9ff3
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 192.168.99.16
IPv6 DNS servers : N/A
DHCP lease : 14400 sec
DHCP remain lease : N/A
Access time : Feb 23 14:22:01 2021
Online time(hh:mm:ss) : 00:00:02
Service node : Slot 1 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
现场客户需求哑终端需要到AAA服务器进行mac认证后归入认证后域,结合debug radius和AAA抓包发现并无radius认证报文,说明哑终端直接进行了ipoe上线。
于是建议采用静态的认证方式,指定哑终端到认证后域中进行radius认证。
如ip subscriber session static ip 10.20.0.1 10.20.3.254 domain auth-free description vpn
但实际客户环境中哑终端和智能终端共用地址池,无法分割,若采用静态会话网段会导致智能终端无法正常进行ipoe认证。
结合现网进一步查看发现在配置中,只配置了http重定向,经确认,哑终端无法发送http报文,导致无法进行CPU重定向,认证异常。
无感知场景加一个策略,将哑终端的报文重定向到CPU才可以触发无感知,然后会发无感知认证请求报文给aaa,aaa根据哑终端的mac去认证通过。
其他终端应该是通过http去做的无感知,哑终端只能用ip报文,所以要添加。
添加标红的配置:
traffic classifier web_deny operator or
if-match acl name ip
if-match acl ipv6 name ip
acl advanced name ip
rule 0 permit ip user-group web
acl ipv6 advanced name ip
rule 0 permit ipv6 user-group web
traffic behavior CPU
redirect cpu
qos policy web
classifier mrzwd behavior mrzwd
classifier web_permit behavior web_permit
classifier neiwang behavior neiwang
classifier web_http behavior web_http
classifier web_https behavior web_https
classifier web_deny behavior CPU
classifier web_deny behavior web_deny
添加完后测试哑终端已可以正常触发无感知认证上线,问题解决
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作