跨产品线问题处理系列：AC PTTP进程CPU利用率高定位iMC Portal无感知认证不生效

一、组网：

无

二、问题描述：

某局点无线用户使用Portal无感知认证：AC作为Portal认证设备，iMC作为Portal服务器（mac-trigger服务器）和Radius服务器，并在AC、iMC上配置Portal支持基于MAC地址的快速认证。现场[AC-hidecmd]display cpu-usage task显示PTTP进程较高（10%以上），PTTP进程为TCP仿冒进程。

三、过程分析：

使用Portal认证的场景，某些无线终端的应用可能会存在访问TCP 80端口的需求，而此时无线终端其实没有打开WEB页面进行Portal认证。AC开启Portal无感知认证的情况下，无线终端访问TCP 80的流量会触发AC向mac-trigger服务器发送MAC地址绑定的查询报文（Portal Type:48），当iMC Portal无感知认证生效时，mac-trigger服务器向AC回应存在MAC地址绑定的响应报文（Portal Type:49，ErrCode:0表示存在MAC地址绑定信息），同时mac-trigger服务器向AC发起Portal认证，AC不会产生TCP仿冒的过程，AC PTTP进程CPU利用率较低；当iMC Portal无感知认证不生效时，mac-trigger服务器向AC回应不存在MAC地址绑定的响应报文（Portal Type:49，ErrCode:1表示不存在MAC地址绑定信息），AC会产生TCP仿冒的过程，造成AC PTTP进程CPU利用率高。

1．AC排查过程

AC上开启debugging portal packet interface 业务vlan，收集AC的Portal交互过程。搜索“Type:49”，会发现存在ErrCode:1的情况，即iMC向AC回应不存在MAC地址绑定的响应报文（Portal Type:49，ErrCode:1表示不存在MAC地址绑定信息），举例如下：

Type:49  SN:34772 ReqId:0    AttrNum:0  ErrCode:1  UserIP:115.157.217.69

Type:49  SN:1009 ReqId:0    AttrNum:0  ErrCode:1  UserIP:115.157.215.199

搜索“code:1”，会得到iMC上不存在MAC地址绑定信息的终端MAC地址，举例如下：

*Mar 11 19:02:58:635 2014 AC1-Master PORTAL/7/PORTAL_DEBUG: Receive ACK-MAC-BIND,MAC:C446-1957-5CBE, IP:0x739ddc08, code:1

*Mar 11 19:03:00:437 2014 AC1-Master PORTAL/7/PORTAL_DEBUG: Receive ACK-MAC-BIND,MAC:1867-B063-1811, IP:0x739dd945, code:1

*Mar 11 19:03:06:460 2014 AC1-Master PORTAL/7/PORTAL_DEBUG: Receive ACK-MAC-BIND,MAC:0025-D379-FAFB, IP:0x739dd7c7, code:1

将iMC上不存在MAC地址绑定信息的终端MAC地址反馈业务软件二线并说明无线排查过程。

2．iMC排查过程

（1）检查iMC配置，发现参数设置不合理，导致Portal无感知认证绑定的MAC地址提前被改为禁用状态。具体如下：

智能终端MAC地址老化时长：参数决定无感知认证多久需要输入一次认证信息。

快速认证老化时长：参数决定需要多久将终端的快速认证状态改为禁用。  //参数设置为3天，小于Portal无感知认证的7天，导致Portal无感知功能异常。

将快速认证老化时长设置为0天（即不老化）：

（2）现网Portal用户可使用有线网络和无线网络进行Portal认证，使用有线网络进行Portal认证时，iMC设置为不支持Portal无感知认证的服务，使用无线网络进行Portal认证时，iMC设置为支持Portal无感知认证的服务。当前iMC版本，某些Portal用户先作为有线用户，使用不支持Portal无感知认证的服务上线时，终端信息表增加终端记录并标识Portal无感知认证为禁用状态；然后再作为无线用户，使用支持Portal无感知认证的服务上线时，不能将Portal无感知认证状态更改为启用状态。在iMC新版本中已将Portal无感知认证和MAC认证菜单及表项分开，解决该问题。

四、解决方法：

更改iMC设置，Portal无感知认证生效。AC的PTTP进程为TCP仿冒进程，在Portal无感知认证的局点：AC作为Portal认证设备，iMC作为Portal服务器（mac-trigger服务器）和Radius服务器，AC TCP仿冒与Portal无感知认证相关，而Portal无感知认证与AC、iMC都有关系，需综合考虑跨产品线的问题处理。