典型Portal认证组网.
某局点使用iMC EIA组件配合我司WX3010E设备进行Portal认证,用户终端页面输入完成用户名和密码之后提示“设备拒绝请求”,无法认证上线。报错如下截图。
1、根据故障现象及截图,首先收集UAM和Portal调试级别日志。分析Portal调试日志,Portal交互正常,iMC向设备发送REQ_AUTH报文请求进行3A认证,但是设备回应ACK_AUTH设备拒绝请求。根据Portal协议,问题出现在radius 3A交互的过程。
2018-08-16 16:41:59.802[Portal服务器][调试(0)][24][ProxyResponseDeviceHandler::run]172.20.52.2 ; REQ_AUTH(3) ; 132 ; 172.20.21.3:2000 ; 报文处理成功
Packet Type:REQ_AUTH(3)
SerialNo:132
Address:172.20.66.3
Port:50300
RemoteIp:172.20.21.3
RemotePort:2000
Version:portal 2.0
Auth Type:PAP
ErrorID:0
UserIP:172.20.52.2
UserPort:0
ReqID:0
Rsvd:0
attriNum:3
User Name:portalmao
Password:***
Device Ip:172.20.21.3
00000000h: 00 00 00 00 00 00 00 00 00 00 00 00 AC 14 15 03 ;................
00000010h: 07 D0 C3 B4 02 03 01 00 00 84 00 00 AC 14 34 02 ;..............4.
00000020h: 00 00 00 03 C4 12 CA F3 05 60 A8 0A 0C 69 F2 33 ;.........`...i.3
00000030h: DD 6E C9 6D 01 0B 70 6F 72 74 61 6C 6D 61 6F 02 ;.n.m..portalmao.
00000040h: 0A 41 61 31 32 33 34 35 36 0A 06 AC 14 15 03 ;.Aa123456......
2018-08-16 16:41:59.804[Portal服务器][调试(0)][21][ProxyRequestHandler::run]172.20.52.2 ; ACK_AUTH(4) ; 132 ; 172.20.21.3:2000 ; 设备拒绝请求(1)
Packet Type:ACK_AUTH(4)
SerialNo:132
Address:172.20.66.3
Port:50908
RemoteIp:172.20.21.3
RemotePort:2000
Version:portal 2.0
Auth Type:PAP
ErrorID:1
UserIP:172.20.52.2
UserPort:0
ReqID:0
Rsvd:0
attriNum:2
Device Ip:172.20.21.3
Device Time Stamp:1515764872
2、查看UAM调试日志,发现没有radius报文的交互记录,主要有以下几种可能:
(1)设备侧nas ip跟iMC侧接入设备不一致或者未配置。
#
radius scheme imc-myz
server-type extended
primary authentication 172.20.66.3
primary accounting 172.20.66.3
key authentication cipher $c$3$uraevUhwtI+7ayQK4Z4Pyu1pXh1sbLHEbIhTlAo=
key accounting cipher $c$3$VnPuUA8Dq/ISKH9HVjwSKVW8y6ofJcRCNuU2qko=
user-name-format without-domain
nas-ip 172.20.21.3
#
(2)设备侧密钥与iMC 侧配置不一致,建议手动修改。
#
radius scheme imc-myz
server-type extended
primary authentication 172.20.66.3
primary accounting 172.20.66.3
key authentication cipher $c$3$uraevUhwtI+7ayQK4Z4Pyu1pXh1sbLHEbIhTlAo=
key accounting cipher $c$3$VnPuUA8Dq/ISKH9HVjwSKVW8y6ofJcRCNuU2qko=
user-name-format without-domain
nas-ip 172.20.21.3
#
(3)nas ip跟iMC通信有问题,重点排查路由可达性和radius报文通信用到的UDP 1812和UDP 1813端口。
经过排查,发现中间链路有防火墙设备阻断radius报文通信端口,放通端口后Portal认证正常。
(1)、BAS设备型号版本,iMC版本;
(2)、BAS设备配置,iMC所有相关配置截图;
(3)、设备上的debug portal packet,debug radius packet输出;
(4)、认证所用的用户名,终端IP地址,认证时间点,故障现象截图;
(5)、iMC服务器上的UAM调试日志和portal调试日志;
UAM调试日志收集方法
先在用户-接入策略管理-业务参数配置-系统配置-UAM运行日志参数配置中将日志级别设为“调试”,如下图:
然后复现问题测试,完成后反馈iMC安装目录imc\uam\log\目录下以当天日期为名的文件。(如果UAM是分布式部署,那么此日志位于UAM所在的从服务器上)如下图:
Portal调试日志收集方法
先在用户-接入策略管理-portal服务管理-服务器配置页面将日志级别设置为“调试”,如下图:
然后复现问题测试,完成后反馈iMC安装目录iMC\portal\logs\目录下的portalserver文件。如下图:
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作