某局点WX系列AC portal server key协商失败导致portal认证失败问题处理方法
一、组网:
某局点使用我司两台WX6108E AC和47台WA2620i-AGN AP提供某省银行生产网无线网络覆盖,终端使用portal认证方式配合iMC进行接入认证。
二、问题描述:
某局点使用AC 作为BAS设备对接我司iMC进行portal认证,在对接过程中发现portal页面始终无法正常推送。
三、 过程分析:
1、在AC上检查与portal认证相关联的portal server IP地址、portal server key、portal free-rule、nas-ip等配置,iMC侧portal认证相关配置均无明显错误。
2、在AC上打开portal debug调试信息开关,出现下面portal信息:
*May 8 20:22:26:781 2014 HZXZT-YQW-WX6103E-1 PORTAL/7/PORTAL_DEBUG:
Portal receive packet length:34
Portal check packet FAIL: The authenticator is invalid
Portal packet head:
Type:9 SN:19 ReqId:0 AttrNum:1 ErrCode:0 UserIP:192.168.62.25
Portal packet attribute list:
[ 8 Port ] [ 2] []
Portal raw packet:
02 09 01 00 00 13 00 00 c0 a8 3e 19 00 00 00 01
f0 17 2c c2 14 b7 bb 3b 85 44 42 34 51 81 42 ef
08 02
*May 8 20:22:26:781 2014 HZXZT-YQW-WX6103E-1 PORTAL/7/PORTAL_DEBUG: Failed to check packet.
*May 8 20:22:26:781 2014 HZXZT-YQW-WX6103E-1 PORTAL/7/PORTAL_DEBUG: get bas ip fail.
*May 8 20:22:26:903 2014 HZXZT-YQW-WX6103E-1 DPPORTAL/7/DP_PORTAL_DEBUG:
Info: Failed to get ADJ-info.
AC上提示终端portal认证无效、获取bas-ip地址失败。同时,在iMC服务器侧抓包分析,portal服务器发送req-info报文给portal设备,portal设备回应ack-info报文时回应错误码为1(正常应该为0),且设备携带的校验字不正确(通过密钥计算得来)。所以怀疑AC、portal server上key错误或不一致导致终端认证失败。
3、在AC、iMC上反复查看确认portal server key配置,确认key配置没有问题,但是在AC上配置的多个portal server且IP地址均相同引起我们的注意。
portal server hztyzx ip 192.168.50.2 key cipher $c$3$nSGsQmcsNyWkOh0C/YSxm4q4NYT2EqjQyw== url http://192.168.50.2:8080/byod/deploy.jsf server-type imc
portal server portal ip 192.168.50.2 key cipher $c$3$FdVltLrwQG1NrCDbAzWYMjvs6CEFxV/JFw== url http://192.168.50.2:8080/byod server-type imc
portal server h3cportal ip 192.168.50.2 key cipher $c$3$4DXsZjZb4r5eErYXpPh4MbMM3QZyjh8h url http://192.168.50.2:8080/portal server-type imc
portal server byodportal ip 192.168.50.114 key cipher $c$3$WihyOAz+JcuvWD4ifZcT/TPo4EKpC09Y url http://192.168.50.114:8080/portal server-type imc
4、经确认,当设备配置多个portal server,且存在多个portal server配置指向同一个iMC的portal服务器时,如果这些portal server的密钥是不同的,那么设备获取密钥是不确定的,进而导致portal认证失败。
5、具体原因:当共享地址池,基于SSID指定portal server时,portal server发过来的auth_req的报文只有一个源IP用于识别,是无法区分来自下面哪个portal server的auth-req info报文。
四、解决方法:
将无线AC、iMC的多组portal server配置相同的密钥即可解决问题。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作