某局点WX3024E对接第三方服务器portal认证登录失败处理经验案例

组网如图所示：

portal服务器：10.255.254.253

AC：10.251.125.254（nas ip）

portal认证可以重定向认证页面，但是登录时提示登录失败。尝试将AC直接接到S10506交换机上，测试可以认证成功。由此判断AC设备的portal功能时没有问题的，问题可能出在组网后者SR66或者下面的S10508-V上。

在服务器上抓包发现，服务器向设备发送req_auth报文后，迟迟收不到AC发出的access-request接入请求报文，怀疑此报文有可能AC确实没有发，也有可能被中间链路丢弃。

通过对交换机S10508-v镜像抓包分析portal报文交互过程，发现：

1、可以看到S105收到了服务器发送的req_auth报文，但是服务器的地址被中间的SR66设备做了NAT源地址转换，转换后的地址为172.16.103.18，如下：

2、由于AC设备上配置的服务器地址为10.255.254.253，并不认识被nat转换后的服务器ip，因此设备不做相应。过了一会，服务器便发送req_logout将用户下线。因此表现为用户无法认证成功

由于是组网问题导致的，提供三种规避方法：

1、AC上加一条portal server 123 ip 172.16.103.18

2、在SR66上调用nat outbound的时候，通过调用nat outbound acl将服务器ip给deny掉，让服务器到AC的流量走路由转发

3、更改组网，AC---服务器之间链路取消nat设备