• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

某局点ACG1000不参与认证同步iMC用户失败经验案例分析

2018-09-27发表
  • 0关注
  • 1收藏,382浏览
李聪 四段
粉丝:0人 关注:0人

组网及说明

问题描述

过程分析

首先我们对现场反馈的ACG1000iMC的配置进行分析。

1. 分析ACG1000配置

ACG1000不参与认证同步的话配置非常简单,需要注意三个点:

(1)  ACG1000需要配置用户组。通过现场截图发现用户组信息已经配置。

(2)  ACG1000需要配置静态路由能够到iMC网络畅通,并且要求用户上下线同步端口UDP 9999不能被拦截。通过和现场确认ACG1000iMC之间是能够互相ping通的,并且没有其他安全设备拦截端口。

(3)  需要配置IMC服务器同步上下线用户密钥命令配置,在全局模式下:

ACGconfig# imc-server NAME X.X.X.X SECRET

经过和现场确认,配置确实没有问题。

2. 分析iMC配置

iMC配置需要注意两点:

(1)  用户通知里面需要将通知方式配置为私有报文,并且服务器IP地址为ACG1000的接口地址,端口号默认的9999。共享密钥需要和ACG1000配置的保持一致。

(2)  需要在用户接入管理策略里面将ACG1000上面配置的用户组下发。

经检查配置发现现场没有配置用户组信息下发,让现场将iMC下发用户组之后发现可以在ACG1000上面看到同步过来的用户上下线信息。但是出现S10510上面认证的portal用户隔间几分钟就会出现频繁上线、下线的情况。

3. 分析故障原因

经过分析,现场ACG1000不能同步到iMC的用户组信息是因为iMC没有配置下发用户组信息导致的。但是现场出现了新的portal认证掉线问题,现场表示iMC下发用户组就会出现交换机portal认证用户掉线。这个现象明显是和我们的ACG1000同步用户组是冲突的。

于是需要解决的问题就是iMC肯定需要下发用户组信息,这样ACG1000才可以同步到用户,并且还需要解决S10510交换机的portal认证用户不掉线。

经过分析确认,通常使用IMCACG联动同步用户组,此时要求交换机设备直接忽略radius 2号报文(即带有user-group属性的radius报文)。对于此属性报文,在B70平台版本分支(R75XX版本)上,交换机默认响应该属性,但是交换机目前没有用户组的概念,所以会响应失败,此时需要在交换机的radius scheme视图下添加如下配置让其不响应该属性报文:

radius scheme imc

   attribute translate

   attribute reject H3c-User-Group received

现场在交换机配置了上面的命令之后portal用户正常使用,ACG1000同步用户功能也不受到影响。

 


解决方法

通过以上的分析,可以确认故障原因为两点:

1.iMC需要下发用户组信息,ACG1000才可以正常同步用户组信息。

2.如果交换机做portal认证,某些平台的交换机会默认响应radius 2号报文(即带有user-group属性的radius报文)。但是交换机目前没有用户组的概念,所以会响应失败,导致portal认证用户异常掉线。此时需要在radius scheme视图下添加如下配置让其不响应该属性报文。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
标杆的神器激活
鼠年的运维 skr skr

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作