iMC EIA配合AC做Portal认证提示“设备拒绝请求”的案例分析

典型Portal认证组网.

某局点使用iMC EIA组件配合我司WX3010E设备进行Portal认证，用户终端页面输入完成用户名和密码之后提示“设备拒绝请求”，无法认证上线。报错如下截图。

1、根据故障现象及截图，首先收集UAM和Portal调试级别日志。分析Portal调试日志，Portal交互正常，iMC向设备发送REQ_AUTH报文请求进行3A认证，但是设备回应ACK_AUTH设备拒绝请求。根据Portal协议，问题出现在radius 3A交互的过程。

2018-08-16 16:41:59.802[Portal服务器][调试(0)][24][ProxyResponseDeviceHandler::run]172.20.52.2 ; REQ_AUTH(3) ; 132 ; 172.20.21.3:2000 ; 报文处理成功

        Packet Type:REQ_AUTH(3)

        SerialNo:132

        Address:172.20.66.3

        Port:50300

        RemoteIp:172.20.21.3

        RemotePort:2000

        Version:portal 2.0

        Auth Type:PAP

        ErrorID:0

        UserIP:172.20.52.2

        UserPort:0

        ReqID:0

        Rsvd:0

        attriNum:3

        User Name:portalmao

        Password:***

        Device Ip:172.20.21.3

    00000000h: 00 00 00 00 00 00 00 00    00 00 00 00 AC 14 15 03 ;................

    00000010h: 07 D0 C3 B4 02 03 01 00    00 84 00 00 AC 14 34 02 ;..............4.

    00000020h: 00 00 00 03 C4 12 CA F3    05 60 A8 0A 0C 69 F2 33 ;.........`...i.3

    00000030h: DD 6E C9 6D 01 0B 70 6F    72 74 61 6C 6D 61 6F 02 ;.n.m..portalmao.

    00000040h: 0A 41 61 31 32 33 34 35    36 0A 06 AC 14 15 03       ;.Aa123456......

2018-08-16 16:41:59.804[Portal服务器][调试(0)][21][ProxyRequestHandler::run]172.20.52.2 ; ACK_AUTH(4) ; 132 ; 172.20.21.3:2000 ; 设备拒绝请求(1)

        Packet Type:ACK_AUTH(4)

        SerialNo:132

        Address:172.20.66.3

        Port:50908

        RemoteIp:172.20.21.3

        RemotePort:2000

        Version:portal 2.0

        Auth Type:PAP

        ErrorID:1

        UserIP:172.20.52.2

        UserPort:0

        ReqID:0

        Rsvd:0

        attriNum:2

        Device Ip:172.20.21.3

        Device Time Stamp:1515764872

2、查看UAM调试日志，发现没有radius报文的交互记录，主要有以下几种可能：

（1）设备侧nas ip跟iMC侧接入设备不一致或者未配置。

#

radius scheme imc-myz

server-type extended

primary authentication 172.20.66.3

primary accounting 172.20.66.3

key authentication cipher $c$3$uraevUhwtI+7ayQK4Z4Pyu1pXh1sbLHEbIhTlAo=

key accounting cipher $c$3$VnPuUA8Dq/ISKH9HVjwSKVW8y6ofJcRCNuU2qko=

user-name-format without-domain

nas-ip 172.20.21.3

#

（2）设备侧密钥与iMC 侧配置不一致，建议手动修改。

#

radius scheme imc-myz

server-type extended

primary authentication 172.20.66.3

primary accounting 172.20.66.3

key authentication cipher $c$3$uraevUhwtI+7ayQK4Z4Pyu1pXh1sbLHEbIhTlAo=

key accounting cipher $c$3$VnPuUA8Dq/ISKH9HVjwSKVW8y6ofJcRCNuU2qko=

user-name-format without-domain

nas-ip 172.20.21.3

#

（3）nas ip跟iMC通信有问题，重点排查路由可达性和radius报文通信用到的UDP 1812和UDP 1813端口。

经过排查，发现中间链路有防火墙设备阻断radius报文通信端口，放通端口后Portal认证正常。

（1）、BAS设备型号版本，iMC版本；

（2）、BAS设备配置，iMC所有相关配置截图；

（3）、设备上的debug portal packet,debug radius packet输出；

（4）、认证所用的用户名，终端IP地址，认证时间点，故障现象截图；

（5）、iMC服务器上的UAM调试日志和portal调试日志；

UAM调试日志收集方法

先在用户-接入策略管理-业务参数配置-系统配置-UAM运行日志参数配置中将日志级别设为“调试”，如下图：

然后复现问题测试，完成后反馈iMC安装目录imc\uam\log\目录下以当天日期为名的文件。（如果UAM是分布式部署，那么此日志位于UAM所在的从服务器上）如下图：

Portal调试日志收集方法

先在用户-接入策略管理-portal服务管理-服务器配置页面将日志级别设置为“调试”，如下图：

然后复现问题测试，完成后反馈iMC安装目录iMC\portal\logs\目录下的portalserver文件。如下图：