在该组网中,portal用户接入接口绑定了vpn实例AAA,portal web server对BRAS来说属于vpn实例AAA,portal server对BRAS来说属于BBB。当portal用户登陆时,可以弹出portal页面,但输入用户名密码后提示响应超时。
首先查看设备配置,设备上主要配置如下:
#
interface Ten-GigabitEthernet2/1/2.3003
description TO_Sccnwifi
ip binding vpn-instance AAA
ip address X.X.X.X 255.255.255.0
vlan-type dot1q vid 2103 second-dot1q 2001
portal enable method direct
portal domain sccnwifi
portal bas-ip x.x.x.x
portal apply web-server sccnwifi
#
portal web-server sccnwifi
url x.x.x.x:7777/sctvportal
vpn-instance AAA
captive-bypass enable
url-parameter Usermac source-mac
url-parameter Wlansuer source-address
url-parameter apip value 192.168.0.100
url-parameter apname value h3c-ac
url-parameter userip source-address
#
portal server sccnwifi
ip x.x.x.x vpn-instance BBB key cipher $c$3$TRlLFE2+nCLoGLWgnP5
port 2000
#
domain sccnwifi
authorization-attribute vpn-instance BBB
authentication portal radius-scheme sccnwifi
authorization portal radius-scheme sccnwifi
accounting portal radius-scheme sccnwifi
#
radius scheme sccnwifi
primary authentication x.x.x.x vpn-instance BBB
primary accounting x.x.x.x vpn-instance BBB
accounting-on enable
key authentication cipher $c$3$TA39yeg0vS6Q6CaCVsK7f7g+5p3IuLcC
key accounting cipher $c$3$NFCbe1pH4HzqnL8NSVgSWShcwx+yvBlu
nas-ip x.x.x.x
vpn-instance BBB
#
在设备的配置中,接口绑定了vpn,portal web server和portal server都正确绑定了vpn,认证radius scheme下指定的服务器地址及scheme本身也都绑定了vpn,配置上没有明显问题。
用户访问网页时,正常流程首先是设备重定向到web server的页面上,用户输入用户名和密码。这一步现场是正常通过的,说明用户到web server能通。之后web server需要将用户名密码送到portal server。现场确认web server到portal server是能互通的,也有其他BRAS设备能正常使用这两台web server和portal server,这一步也没有问题。之后portal server向BRAS发送REQ_AUTH请求对用户进行认证。在现场设备抓包,发现BRAS收到了portal server发出的REQ_AUTH,但是没有下一步BRAS回给portal的ACK_AUTH的回复了。推测BRAS在收到REQ_AUTH后与AAA服务器交互的过程中出现问题。
返回来再次查看配置,认证域内有一条为portal用户授权vpn属性的authorization-attribute vpn-instance BBB。按照现场组网来说,用户从绑定了AAA实例的接口上来,认证过程中被授权BBB实例属性,之后通过绑定BBB实例的接口(与portal server互通的接口)访问外网,这个过程从原理上来说没有问题,但是认证域内授权vpn实例这条配置比较少见,现网中目前没有这样使用的局点,应用起来可能存在问题。之后对此进行确认,我司BRAS设备目前不支持授权vpn实例属性,因此对portal用户的认证停在了上面说的步骤,导致现场响应超时的现象。
删除认证域内给用户授权vpn实例属性的配置,即避免portal用户接入接口与最后出口不在同一个vpn实例内。
对于该案例中组网较为复杂的情况,需要了解认证过程中报文的交互情况,看认证停在哪一步。对于平时不常用的组网或设备配置,最好开局前了解一下相关功能是否支持或者有没有软件上的限制。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作