无
1. 分析ACG1000配置
ACG1000不参与认证同步的话配置非常简单,需要注意三个点:
(1)
(2)
(3)
ACG(config)# imc-server NAME X.X.X.X SECRET
经过和现场确认,配置确实没有问题。
2. 分析iMC配置
iMC配置需要注意两点:
(1)
(2)
经检查配置发现现场没有配置用户组信息下发,让现场将iMC下发用户组之后发现可以在ACG1000上面看到同步过来的用户上下线信息。但是出现S10510上面认证的portal用户隔间几分钟就会出现频繁上线、下线的情况。
3. 分析故障原因
于是需要解决的问题就是iMC肯定需要下发用户组信息,这样ACG1000才可以同步到用户,并且还需要解决S10510交换机的portal认证用户不掉线。
经过分析确认,通常使用IMC与ACG联动同步用户组,此时要求交换机设备直接忽略radius 2号报文(即带有user-group属性的radius报文)。对于此属性报文,在B70平台版本分支(R75XX版本)上,交换机默认响应该属性,但是交换机目前没有用户组的概念,所以会响应失败,此时需要在交换机的radius scheme视图下添加如下配置让其不响应该属性报文:
radius scheme imc
attribute translate
attribute reject H3c-User-Group received
现场在交换机配置了上面的命令之后portal用户正常使用,ACG1000同步用户功能也不受到影响。
1.iMC需要下发用户组信息,ACG1000才可以正常同步用户组信息。
2.如果交换机做portal认证,某些平台的交换机会默认响应radius 2号报文(即带有user-group属性的radius报文)。但是交换机目前没有用户组的概念,所以会响应失败,导致portal认证用户异常掉线。此时需要在radius scheme视图下添加如下配置让其不响应该属性报文。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作