跨产品线问题处理系列:AC PTTP进程CPU利用率高定位iMC Portal无感知认证不生效
一、组网:
无
二、问题描述:
某局点无线用户使用Portal无感知认证:AC作为Portal认证设备,iMC作为Portal服务器(mac-trigger服务器)和Radius服务器,并在AC、iMC上配置Portal支持基于MAC地址的快速认证。现场[AC-hidecmd]display cpu-usage task显示PTTP进程较高(10%以上),PTTP进程为TCP仿冒进程。
三、过程分析:
使用Portal认证的场景,某些无线终端的应用可能会存在访问TCP 80端口的需求,而此时无线终端其实没有打开WEB页面进行Portal认证。AC开启Portal无感知认证的情况下,无线终端访问TCP 80的流量会触发AC向mac-trigger服务器发送MAC地址绑定的查询报文(Portal Type:48),当iMC Portal无感知认证生效时,mac-trigger服务器向AC回应存在MAC地址绑定的响应报文(Portal Type:49,ErrCode:0表示存在MAC地址绑定信息),同时mac-trigger服务器向AC发起Portal认证,AC不会产生TCP仿冒的过程,AC PTTP进程CPU利用率较低;当iMC Portal无感知认证不生效时,mac-trigger服务器向AC回应不存在MAC地址绑定的响应报文(Portal Type:49,ErrCode:1表示不存在MAC地址绑定信息),AC会产生TCP仿冒的过程,造成AC PTTP进程CPU利用率高。
1.AC排查过程
AC上开启debugging portal packet interface 业务vlan,收集AC的Portal交互过程。搜索“Type:49”,会发现存在ErrCode:1的情况,即iMC向AC回应不存在MAC地址绑定的响应报文(Portal Type:49,ErrCode:1表示不存在MAC地址绑定信息),举例如下:
Type:49 SN:34772 ReqId:0 AttrNum:0 ErrCode:1 UserIP:115.157.217.69
Type:49 SN:1009 ReqId:0 AttrNum:0 ErrCode:1 UserIP:115.157.215.199
搜索“code:1”,会得到iMC上不存在MAC地址绑定信息的终端MAC地址,举例如下:
*Mar 11 19:02:58:635 2014 AC1-Master PORTAL/7/PORTAL_DEBUG: Receive ACK-MAC-BIND,MAC:C446-1957-5CBE, IP:0x739ddc08, code:1
*Mar 11 19:03:00:437 2014 AC1-Master PORTAL/7/PORTAL_DEBUG: Receive ACK-MAC-BIND,MAC:1867-B063-1811, IP:0x739dd945, code:1
*Mar 11 19:03:06:460 2014 AC1-Master PORTAL/7/PORTAL_DEBUG: Receive ACK-MAC-BIND,MAC:0025-D379-FAFB, IP:0x739dd7c7, code:1
将iMC上不存在MAC地址绑定信息的终端MAC地址反馈业务软件二线并说明无线排查过程。
2.iMC排查过程
(1)检查iMC配置,发现参数设置不合理,导致Portal无感知认证绑定的MAC地址提前被改为禁用状态。具体如下:
智能终端MAC地址老化时长:参数决定无感知认证多久需要输入一次认证信息。
快速认证老化时长:参数决定需要多久将终端的快速认证状态改为禁用。 //参数设置为3天,小于Portal无感知认证的7天,导致Portal无感知功能异常。
将快速认证老化时长设置为0天(即不老化):
(2)现网Portal用户可使用有线网络和无线网络进行Portal认证,使用有线网络进行Portal认证时,iMC设置为不支持Portal无感知认证的服务,使用无线网络进行Portal认证时,iMC设置为支持Portal无感知认证的服务。当前iMC版本,某些Portal用户先作为有线用户,使用不支持Portal无感知认证的服务上线时,终端信息表增加终端记录并标识Portal无感知认证为禁用状态;然后再作为无线用户,使用支持Portal无感知认证的服务上线时,不能将Portal无感知认证状态更改为启用状态。在iMC新版本中已将Portal无感知认证和MAC认证菜单及表项分开,解决该问题。
四、解决方法:
更改iMC设置,Portal无感知认证生效。AC的PTTP进程为TCP仿冒进程,在Portal无感知认证的局点:AC作为Portal认证设备,iMC作为Portal服务器(mac-trigger服务器)和Radius服务器,AC TCP仿冒与Portal无感知认证相关,而Portal无感知认证与AC、iMC都有关系,需综合考虑跨产品线的问题处理。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作