• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

iMC EIA配合AC做Portal认证提示“设备拒绝请求”的案例分析

2018-09-24 发表
  • -1关注 ,3983浏览
粉丝:8人 关注:3人

组网及说明

典型Portal认证组网.

问题描述

某局点使用iMC EIA组件配合我司WX3010E设备进行Portal认证,用户终端页面输入完成用户名和密码之后提示“设备拒绝请求”,无法认证上线。报错如下截图。



过程分析

1、根据故障现象及截图,首先收集UAMPortal调试级别日志。分析Portal调试日志,Portal交互正常,iMC向设备发送REQ_AUTH报文请求进行3A认证,但是设备回应ACK_AUTH设备拒绝请求。根据Portal协议,问题出现在radius 3A交互的过程。

2018-08-16 16:41:59.802[Portal服务器][调试(0)][24][ProxyResponseDeviceHandler::run]172.20.52.2 ; REQ_AUTH(3) ; 132 ; 172.20.21.3:2000 ; 报文处理成功

   

        Packet Type:REQ_AUTH(3)

        SerialNo:132

        Address:172.20.66.3

        Port:50300

        RemoteIp:172.20.21.3

        RemotePort:2000

        Version:portal 2.0

        Auth Type:PAP

        ErrorID:0

        UserIP:172.20.52.2

        UserPort:0

        ReqID:0

        Rsvd:0

        attriNum:3

   

   

        User Name:portalmao

        Password:***

        Device Ip:172.20.21.3

   

    00000000h: 00 00 00 00 00 00 00 00    00 00 00 00 AC 14 15 03 ;................

    00000010h: 07 D0 C3 B4 02 03 01 00    00 84 00 00 AC 14 34 02 ;..............4.

    00000020h: 00 00 00 03 C4 12 CA F3    05 60 A8 0A 0C 69 F2 33 ;.........`...i.3

    00000030h: DD 6E C9 6D 01 0B 70 6F    72 74 61 6C 6D 61 6F 02 ;.n.m..portalmao.

    00000040h: 0A 41 61 31 32 33 34 35    36 0A 06 AC 14 15 03       ;.Aa123456......

 

2018-08-16 16:41:59.804[Portal服务器][调试(0)][21][ProxyRequestHandler::run]172.20.52.2 ; ACK_AUTH(4) ; 132 ; 172.20.21.3:2000 ; 设备拒绝请求(1)

   

        Packet Type:ACK_AUTH(4)

        SerialNo:132

        Address:172.20.66.3

        Port:50908

        RemoteIp:172.20.21.3

        RemotePort:2000

        Version:portal 2.0

        Auth Type:PAP

        ErrorID:1

        UserIP:172.20.52.2

        UserPort:0

        ReqID:0

        Rsvd:0

        attriNum:2

   

   

        Device Ip:172.20.21.3

        Device Time Stamp:1515764872

   

2、查看UAM调试日志,发现没有radius报文的交互记录,主要有以下几种可能:

1)设备侧nas ipiMC侧接入设备不一致或者未配置。

#

radius scheme imc-myz

server-type extended

primary authentication 172.20.66.3

primary accounting 172.20.66.3

key authentication cipher $c$3$uraevUhwtI+7ayQK4Z4Pyu1pXh1sbLHEbIhTlAo=

key accounting cipher $c$3$VnPuUA8Dq/ISKH9HVjwSKVW8y6ofJcRCNuU2qko=

user-name-format without-domain

nas-ip 172.20.21.3

#

2)设备侧密钥与iMC 侧配置不一致,建议手动修改。

#

radius scheme imc-myz

server-type extended

primary authentication 172.20.66.3

primary accounting 172.20.66.3

key authentication cipher $c$3$uraevUhwtI+7ayQK4Z4Pyu1pXh1sbLHEbIhTlAo=

key accounting cipher $c$3$VnPuUA8Dq/ISKH9HVjwSKVW8y6ofJcRCNuU2qko=

user-name-format without-domain

nas-ip 172.20.21.3

#

3nas ipiMC通信有问题,重点排查路由可达性和radius报文通信用到的UDP 1812UDP 1813端口。



解决方法

经过排查,发现中间链路有防火墙设备阻断radius报文通信端口,放通端口后Portal认证正常。


附收集信息方法:

1)、BAS设备型号版本,iMC版本;

2)、BAS设备配置,iMC所有相关配置截图;

3)、设备上的debug portal packet,debug radius packet输出;

4)、认证所用的用户名,终端IP地址,认证时间点,故障现象截图;

5)、iMC服务器上的UAM调试日志和portal调试日志;

UAM调试日志收集方法

先在用户-接入策略管理-业务参数配置-系统配置-UAM运行日志参数配置中将日志级别设为“调试”,如下图:



然后复现问题测试,完成后反馈iMC安装目录imc\uam\log\目录下以当天日期为名的文件。(如果UAM是分布式部署,那么此日志位于UAM所在的从服务器上)如下图:

Portal调试日志收集方法

先在用户-接入策略管理-portal服务管理-服务器配置页面将日志级别设置为“调试”,如下图:



然后复现问题测试,完成后反馈iMC安装目录iMC\portal\logs\目录下的portalserver文件。如下图:






1 个评论
粉丝:10人 关注:6人

积累知识

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作