某局点WX系列AC portal server key协商失败导致portal认证失败问题处理方法

某局点WX系列AC portal server key协商失败导致portal认证失败问题处理方法

一、组网：

某局点使用我司两台WX6108E AC和47台WA2620i-AGN AP提供某省银行生产网无线网络覆盖，终端使用portal认证方式配合iMC进行接入认证。

 

二、问题描述：

某局点使用AC 作为BAS设备对接我司iMC进行portal认证，在对接过程中发现portal页面始终无法正常推送。

三、    过程分析：

1、在AC上检查与portal认证相关联的portal server IP地址、portal server key、portal free-rule、nas-ip等配置，iMC侧portal认证相关配置均无明显错误。

2、在AC上打开portal debug调试信息开关，出现下面portal信息：

*May  8 20:22:26:781 2014 HZXZT-YQW-WX6103E-1 PORTAL/7/PORTAL_DEBUG:

Portal receive packet length:34

  Portal check packet FAIL: The authenticator is invalid

  Portal packet head:

   Type:9   SN:19   ReqId:0    AttrNum:1  ErrCode:0  UserIP:192.168.62.25

  Portal packet attribute list:

   [  8 Port                ] [  2] []

  Portal raw packet:

   02 09 01 00 00 13 00 00 c0 a8 3e 19 00 00 00 01

   f0 17 2c c2 14 b7 bb 3b 85 44 42 34 51 81 42 ef

   08 02

 

*May  8 20:22:26:781 2014 HZXZT-YQW-WX6103E-1 PORTAL/7/PORTAL_DEBUG: Failed to check packet.

*May  8 20:22:26:781 2014 HZXZT-YQW-WX6103E-1 PORTAL/7/PORTAL_DEBUG: get bas ip fail.

*May  8 20:22:26:903 2014 HZXZT-YQW-WX6103E-1 DPPORTAL/7/DP_PORTAL_DEBUG:

Info: Failed to get ADJ-info.

AC上提示终端portal认证无效、获取bas-ip地址失败。同时，在iMC服务器侧抓包分析，portal服务器发送req-info报文给portal设备，portal设备回应ack-info报文时回应错误码为1（正常应该为0），且设备携带的校验字不正确（通过密钥计算得来）。所以怀疑AC、portal server上key错误或不一致导致终端认证失败。

3、在AC、iMC上反复查看确认portal server key配置，确认key配置没有问题，但是在AC上配置的多个portal server且IP地址均相同引起我们的注意。

portal server hztyzx ip 192.168.50.2 key cipher $c$3$nSGsQmcsNyWkOh0C/YSxm4q4NYT2EqjQyw== url http://192.168.50.2:8080/byod/deploy.jsf server-type imc

 portal server portal ip 192.168.50.2 key cipher $c$3$FdVltLrwQG1NrCDbAzWYMjvs6CEFxV/JFw== url http://192.168.50.2:8080/byod server-type imc

 portal server h3cportal ip 192.168.50.2 key cipher $c$3$4DXsZjZb4r5eErYXpPh4MbMM3QZyjh8h url http://192.168.50.2:8080/portal server-type imc

 portal server byodportal ip 192.168.50.114 key cipher $c$3$WihyOAz+JcuvWD4ifZcT/TPo4EKpC09Y url http://192.168.50.114:8080/portal server-type imc

4、经确认，当设备配置多个portal server，且存在多个portal server配置指向同一个iMC的portal服务器时，如果这些portal server的密钥是不同的，那么设备获取密钥是不确定的，进而导致portal认证失败。

5、具体原因：当共享地址池，基于SSID指定portal server时，portal server发过来的auth_req的报文只有一个源IP用于识别，是无法区分来自下面哪个portal server的auth-req info报文。

四、解决方法：

将无线AC、iMC的多组portal server配置相同的密钥即可解决问题。