• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 适配库
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

某局点Portal认证nas-ip接口配置NAT导致认证故障的经验案例

2015-01-19发表
  • 0关注
  • 0收藏,647浏览
0

某局点Portal认证nas-ip接口配置NAT导致认证故障的经验案例

一、组网拓扑:

某校园网局点采用了我司WX6000系列高性能无线控制器,管理800多个AP,为校区学生宿舍、读书馆、教室提供无线接入服务,并使用我司IMC做无线Portal认证,AC作为接入BAS认证设备,并且承担无线用户的NAT出口。

二、问题描述:

收到客户投诉,大量用户突然无法通过Portal认证登陆,Portal页面提交用户名、密码点击登陆后返回错误信息“接入设备无响应”。出现故障时,已经上线的用户不受影响,但是新用户无法登陆。过几十分钟时间故障突然消失,然后再次复线,故障出现比较随机。

三、问题定位过程:

首先,我们怀疑ACPortal服务器之间的网络偶发故障,导致新用户无法通过Portal认证。但通过AC携带nas-ip源地址ping Portal服务器,大包无丢包,延迟抖动正常,而且终端的portal页面都能正常打开,所以基本可以排除ACPortal服务器IP层不通的故障。

于是,我们进一步排查ACPortal Server之间的Portal协议,以及和Radius服务器之间的Radius协议交互是否正常。先在AC上通过debug portal packet/debug radius packet进行调试分析,发现当出现故障时portal调试信息中未见任何portalradiusdebug信息输出。从这个现象看,常规的理解是AC未收到Portal服务器发送过来的Portal认证报文(UDP2000)。可能的原因包括AC配置了错误的nas-ip、服务器配置接入设备参数错误等。检查了设备和服务器的相关配置,并未发现明显问题,于是最终通过抓包来裁决,通过抓取ACPortal服务器之间交互的报文来定位。抓包信息如下:

AC nas-ip211.71.36.130Server IP10.10.8.1

抓包中可以看到Portal服务器向设备发送了大量的UDP 2000认证报文,但AC未予以处理和回应服务器。所以故障的直接原因已经明确,即AC丢弃了或者未处理Portal服务器发送的认证协议报文,导致用户无法通过Portal认证上线。

AC为什么会丢弃Portal服务器认证报文?

进一步排查了Portal相关配置并核对了抓包,AC上定义的portal server IP也与抓包中的Server IP 10.10.8.1也完全一致。Portal相关配置没有问题,那为什么AC不处理服务器发送的报文呢?

难道服务器发送的报文格式有问题?可能性不大。如果报文有错误,AC也应该有debug报错提示信息输出,可是ACdebug portal packet未见任何信息。所以问题应当仍然在AC本身。

再次检查了AC的所有配置,最终疑点落在NAS-IP接口的NAT配置上。

#

interface Vlan-interface15

 ip address 211.71.36.130 255.255.255.128

 nat outbound 3998

#

interface Vlan-interface3998

 ip address 192.168.255.254 255.255.255.0

 portal server weixin method direct

 portal domain weixin

 portal nas-port-type wireless

 portal nas-ip 211.71.36.130

#

原来,AC上配置了NATAC作为用户的私网IP地址网关,并通过NAT提供外网访问。NAT的出接口即nas-ip211.71.36.130)同时也作为NAT转换的源IP。问题即在此,当portal的端口2000被无线终端访问外网的NAT会话占用后,会导致服务器发送向UDP 2000端口的Portal协议报文被AC直接转发到内网用户,从而不能正确处理portal协议报文导致认证失败。而当2000端口释放后,Portal又能重新处理。故出现了故障时而出现、时而消失的现象。

四、定位结论及过程总结:

问题根因已明确,nas-ip接口配置NAT,当UDP2000端口号被NAT会话占用后,导致 Portal协议报文无法正常处理。

从排障的整个过程看,通过常规的PING包检查链路,以及检查AC服务器配置都不能直接找到故障原因。后续通过抓取debug找到第一个线索,即AC未正常处理Portal协议报文;NAS-IP接口配置NAT是第二个线索(不同于常规的应用)。通过逐步的分析和顺藤摸瓜,最终定位到由于NAT会话占用Portal协议端口UDP2000导致Portal认证失败。

五、问题解决:

H3C的无线产品NAPT暂不支持预留特定的端口号,比如2000。只能在NAT出接口配置NAT地址池,且NAT池中要剔除nas-ip地址,即可解决该问题。示例配置如下:

nat address-group 1 211.71.36.131 211.71.36.133

#

interface Vlan-interface15

 ip address 211.71.36.130 255.255.255.128

 nat outbound 3998 address-group 1

#


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作