某局点EWPX3WCMD0 用户portal认证不成功问题处理经验案例

无

某局点采用两块EWPX3WCMD0 板卡做1+1快速热备，AP分别注册到不同的AC上，网关都在AC1上，然后在网关上进行portal 认证，配置完之后，发现AC1上面的用户都能正常认证成功，AC2上面的用户无法认证成功，在设备侧debug portal 和radius，发现portal 重定向都正常，但是portal 被AC拒绝了，也没发送radius 报文，具体参考下面debug信息

*Jun  5 16:11:27:393 2018 LAHD-QSH-AC-WX6108E-01 PORTAL/7/PORTAL_DEBUG:
Portal receive from 8.8.8.8 packet length:68
  Portal check packet OK
  Portal packet head:
   Type:3   SN:9255 ReqId:2580 AttrNum:4  ErrCode:0  UserIP:x.x.x.x
  Portal packet attribute list:
   [  1 UserName            ] [ 10] [20169088]
   [  4 ChapPassWord        ] [ 18] [ff899fb494c68b6f20893e7dacd3812b]
   [  3 Challenge           ] [ 18] [c4bbd97eadd0f4babb004777c3856b86]
   [ 10 BAS-IP              ] [  6] [0.0.0.0]
  Portal raw packet:
   01 03 00 00 24 27 0a 14 0a 8f 61 0f 00 00 00 04
   01 0a 32 30 31 36 39 30 38 38 04 12 ff 89 9f b4
   94 c6 8b 6f 20 89 3e 7d ac d3 81 2b 03 12 c4 bb
   d9 7e ad d0 f4 ba bb 00 47 77 c3 85 6b 86 0a 06
   00 00 00 00

*Jun  5 16:11:27:393 2018 LAHD-QSH-AC-WX6108E-01 PORTAL/7/PORTAL_DEBUG:
Portal send to 8.8.8.8 packet length:28
    Portal packet head:
   Type:4   SN:9255 ReqId:2580 AttrNum:2  ErrCode:1  UserIP:x.x.x.x    //ErrCode=1 代表AC告知portal server 此用户认证请求被拒绝
  Portal packet attribute list:
   [ 10 BAS-IP              ] [  6] [x.x.x.x]
   [ 38 DeviceStartTime     ] [  6] [1521060559]
  Portal raw packet:
   01 04 00 00 24 27 0a 14 0a 8f 61 0f 00 00 01 02
   0a 06 0a d3 ff 03 26 06 5a a9 8a cf         
  看到这个debug 信息，初步分析还是怀疑AC侧有问题，但是AC1上用户又都正常，AC2上用户不正常，分析设备侧配置

interface Vlan-interface3704
 description i-HDU-user
 ip address x.x.x.x 255.255.224.0
 portal server ixg method direct
 portal domain ixg
 portal nas-port-type wireless
 portal nas-ip x.x.x.x
 portal mac-trigger enable
 portal mac-trigger server ip 8.8.8.8

发现网关下配置了portal nas-port-type wireless这条命令，由于portal 开在网关上，对于AC1的用户来说是属于无线用户，但是AC2的用户是属于有线用户的，流量是经过交换机的内联口过来的，不算无线用户，在AC1 dis wlan client 也看不到AC2上的用户。

解决方案：接口下删除portal nas-port-type wireless这条命令，问题解决。设备缺省情况下未指定接口的NAS-Port-Type。

RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。当接口上有Portal用户上线时候，若该接口上配置了NAS-Port-Type，则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值，否则使用接入设备获取到的用户接入的端口类型填充该属性。

若作为Portal认证接入设备的BAS（Broadband Access Server，宽带接入服务器）与Portal客户端之间跨越了多个网络设备，则可能无法正确获取到接入用户的实际端口信息，例如对于Portal认证接入的无线客户端，BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此，为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息，需要网络管理员在了解用户的实际接入环境后，通过本命令指定相应的NAS-Port-Type。