SR8808F在域内为portal用户授权vpn实例属性导致上线失败经验案例

在该组网中，portal用户接入接口绑定了vpn实例AAA，portal web server对BRAS来说属于vpn实例AAA，portal server对BRAS来说属于BBB。当portal用户登陆时，可以弹出portal页面，但输入用户名密码后提示响应超时。

首先查看设备配置，设备上主要配置如下：

#

interface Ten-GigabitEthernet2/1/2.3003

 description TO_Sccnwifi

 ip binding vpn-instance AAA

 ip address X.X.X.X 255.255.255.0

 vlan-type dot1q vid 2103 second-dot1q 2001

 portal enable method direct

 portal domain sccnwifi

 portal bas-ip x.x.x.x

 portal apply web-server sccnwifi

#

portal web-server sccnwifi

 url x.x.x.x:7777/sctvportal

 vpn-instance AAA

 captive-bypass enable

 url-parameter Usermac source-mac

 url-parameter Wlansuer source-address

 url-parameter apip value 192.168.0.100

 url-parameter apname value h3c-ac

 url-parameter userip source-address

#

portal server sccnwifi

 ip x.x.x.x vpn-instance BBB key cipher $c$3$TRlLFE2+nCLoGLWgnP5

 port 2000

#

domain sccnwifi

 authorization-attribute vpn-instance BBB

 authentication portal radius-scheme sccnwifi

 authorization portal radius-scheme sccnwifi

 accounting portal radius-scheme sccnwifi

#

radius scheme sccnwifi

 primary authentication x.x.x.x vpn-instance BBB

 primary accounting x.x.x.x vpn-instance BBB

 accounting-on enable

 key authentication cipher $c$3$TA39yeg0vS6Q6CaCVsK7f7g+5p3IuLcC

 key accounting cipher $c$3$NFCbe1pH4HzqnL8NSVgSWShcwx+yvBlu

 nas-ip x.x.x.x

 vpn-instance BBB

#

在设备的配置中，接口绑定了vpn，portal web server和portal server都正确绑定了vpn，认证radius scheme下指定的服务器地址及scheme本身也都绑定了vpn，配置上没有明显问题。

用户访问网页时，正常流程首先是设备重定向到web server的页面上，用户输入用户名和密码。这一步现场是正常通过的，说明用户到web server能通。之后web server需要将用户名密码送到portal server。现场确认web server到portal server是能互通的，也有其他BRAS设备能正常使用这两台web server和portal server，这一步也没有问题。之后portal server向BRAS发送REQ_AUTH请求对用户进行认证。在现场设备抓包，发现BRAS收到了portal server发出的REQ_AUTH，但是没有下一步BRAS回给portal的ACK_AUTH的回复了。推测BRAS在收到REQ_AUTH后与AAA服务器交互的过程中出现问题。

返回来再次查看配置，认证域内有一条为portal用户授权vpn属性的authorization-attribute vpn-instance BBB。按照现场组网来说，用户从绑定了AAA实例的接口上来，认证过程中被授权BBB实例属性，之后通过绑定BBB实例的接口（与portal server互通的接口）访问外网，这个过程从原理上来说没有问题，但是认证域内授权vpn实例这条配置比较少见，现网中目前没有这样使用的局点，应用起来可能存在问题。之后对此进行确认，我司BRAS设备目前不支持授权vpn实例属性，因此对portal用户的认证停在了上面说的步骤，导致现场响应超时的现象。

删除认证域内给用户授权vpn实例属性的配置，即避免portal用户接入接口与最后出口不在同一个vpn实例内。

对于该案例中组网较为复杂的情况，需要了解认证过程中报文的交互情况，看认证停在哪一步。对于平时不常用的组网或设备配置，最好开局前了解一下相关功能是否支持或者有没有软件上的限制。