某局点S5500-EI下挂VPN用户portal认证失败
案例分析
一、 组网:
客户组网拓扑示意图如上所示,认证PC和portal/radius服务器都位于VPN实例jiaoyu中。
S5500-EI设备采用R2221版本。
二、 问题描述:
客户发现启用portal之后,认证用户认证失败无法正常访问网络。
三、 过程分析:
为了定位问题原因,我们先对设备配置进行检查,发现配置并无问题,其主要配置如下:
portal server test ip 183.233.37.164 vpn-instance jiaoyu key cipher test url http://183.233.37.164:8080/portal
ip vpn-instance jiaoyu
route-distinguisher 100:1
vpn-target 100:1 export-extcommunity
vpn-target 100:1 import-extcommunity
radius scheme test
server-type extended
primary authentication 183.233.37.165 vpn-instance jiaoyu
primary accounting 183.233.37.165 vpn-instance jiaoyu
key authentication cipher test
key accounting cipher test
user-name-format without-domain
nas-ip 10.198.200.1
retry stop-accounting 10
domain test
authentication portal radius-scheme test
authorization portal radius-scheme test
accounting portal radius-scheme test
interface Vlan-interface4000 //认证用户所处VLAN虚接口配置
description PORTAL-TEST
ip binding vpn-instance jiaoyu
ip address 10.198.200.1 255.255.255.0
portal server test method layer3
portal domain test
interface Vlan-interface103 //连接服务器的上行虚接口
ip binding vpn-instance jiaoyu
ip address 192.168.123.2 255.255.255.252
ip route-static 0.0.0.0 0.0.0.0 192.168.3.1
ip route-static vpn-instance jiaoyu 0.0.0.0 0.0.0.0 192.168.123.1
因为配置没有问题,为了进一步排查问题原因,我们在设备上开启了debug,
Debug portal packet
Debug radius packet
通过debug信息,发现有下面的报错信息
*Jul 9 01:59:25:993 2000 GDQY-MS-JJW-SW01-QXEJL-H3C PORTAL/7/PORTAL_DEBUG: get bas ip fail.
*Jul 9 01:59:26:945 2000 GDQY-MS-JJW-SW01-QXEJL-H3C PORTAL/7/PORTAL_DEBUG: Failed to check packet.
根据debug的这个信息“Failed to check packet.”结合现场当前设备的实现机制来判断,是设备在对认证报文进行检查时没有通过,导致认证失败。
处在vpn中的用户进行portal认证时,设备会从portal报文中提取用户IP, 再根据用户IP遍历所有VPN的Fib表, 查找用户的入接口信息,确定用户是在哪个接口起的portal.因为遍历的时候目前版本的处理时按照先查到先匹配的原则,如果同时存在公网路由和私网路由,会引起查表错误,从而导致找错了用户接口,最终导致vpn里的用户无法进行portal认证。
比如服务器发送过来的报文,需要根据该报文中用户的IP地址查找路由确定用户的三层接口,以查到的第一个为准,如果用户有两条路由,会出现查到公网路由上去了,我们这个案例当中,就是因为下面公网路由的存在导致表项查找错误,
ip route-static 0.0.0.0 0.0.0.0 192.168.3.1
通过现场测试,把这条公网缺省路由去掉则认证可以正常通过,至此,我们可以确定问题原因。
四、 解决方法:
为了适应这种VPN用户的portal接入认证组网环境,新的版本对实现机制进行了修改。可以升级到R2221P03及其后版本解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作