现场S5130S做二层设备,下连终端做远程portal认证,portal服务器旁挂在S5130S,终端在portal页面输入用户名和密码后提示认证超时
首先,检查portal和radius的相关配置是否正确:
①
②
③
然后开启debug portal all和debug radius all分析debug回显,发现debug radius all完全没有回显。
根据portal认证流程分析,终端在portal web输入用户名和密码后,portal web服务器会收到终端的认证信息,然后向设备发起认证请求REQ_AUTH的portal报文,其中包含了认证用户名密码等属性,接下来设备收到认证请求后应该向AAA服务器发送一个Radius-AccessRequest报文开始进行AAA认证。
所以在服务器侧抓包分析,发现服务器有回给设备REQ_AUTH的portal报文,但是没有收到设备发出的Radius-AccessRequest报文:
进一步分析收到的REQ_AUTH报文内容,发现报文内返回的USERIP值为全0,导致设备侧认为该报文为无效报文,直接丢弃,没有触发AAA认证。
在portal web服务器视图下添加下面两条命令,使得设备重定向给用户的URL中携带如下参数,然后在portal服务器侧也进行携带参数的调整,此时终端能够正常弹portal页面并认证通过:
url-parameter userip source-address
url-parameter usermac source-mac
交换机收到没有携带userip或者userip为全0的portal REQ_AUTH报文时,会判断该报文为无效报文不进行处理,此时需要手动配置url携带userip、usermac等属性。
遇到portal认证异常时的排查思路:
①
②
③
④
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作