此局点采用portal认证方式上网,客户表示现场曾触发过portal逃生,服务器恢复以后portal user表项与实际portal认证的用户个数不一致,老用户无需重新认证即可上网,并且display portal user表项中没有老用户的信息,display wlan client有老用户信息,新用户的portal认证流程正常。
设备版本:
H3C WX5540E Version 5.20, Release 2609P58
组网如图所示:
根据客户反馈现场有两台服务器之前做过替换,并且是在portal逃生发生之后,控制器的配置也做了相应的改变,具体改动过程如下:
1)新建一个portal server potal-test,ip地址改为服务器2的地址(原先portal server为portal,地址为服务器1的ip);
2)vlan接口下undo portal server portal,并开启新的portal server portal-test method direct;
3)停止服务器1,并且取消原先的服务器可达性检测功能undo portal server portal server-detect,然后开启新的服务器可达性检测功能portal server portal-test server-detect method portal-heartbeat http action trap log permit-all interval 60 retry 2;
4)开启服务器2;
经过实验室复现上述操作过程,现象也完全吻合,分析触发老用户无需认证即可上网的原因是:
1)首先Portal server不可达,触发了portal逃生;
2)Portal server未恢复时,删除了逃生配置“undo portal server xxx server-detect”;--此时触发问题
因此,在portal逃生的状态下,设备上删除了服务器可达性探测功能,此时设备不对逃生规则做任何处理,也即逃生规则还存在,使得原先的用户不用认证即可上网。
由于逃生规则一直存在,即使再配置其他portal命令时,这个逃生规则都不受影响,只有在接口去使能portal可以删除逃生规则,然后重新使能一次即可正常恢复认证上网,用户表项也可以对应上。此问题的触发是有人为因素的,触发条件是人为修改了控制器配置。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作