组网如图所示:
portal服务器:10.255.254.253
AC:10.251.125.254(nas ip)
portal认证可以重定向认证页面,但是登录时提示登录失败。尝试将AC直接接到S10506交换机上,测试可以认证成功。由此判断AC设备的portal功能时没有问题的,问题可能出在组网后者SR66或者下面的S10508-V上。
在服务器上抓包发现,服务器向设备发送req_auth报文后,迟迟收不到AC发出的access-request接入请求报文,怀疑此报文有可能AC确实没有发,也有可能被中间链路丢弃。
通过对交换机S10508-v镜像抓包分析portal报文交互过程,发现:
1、可以看到S105收到了服务器发送的req_auth报文,但是服务器的地址被中间的SR66设备做了NAT源地址转换,转换后的地址为172.16.103.18,如下:
2、由于AC设备上配置的服务器地址为10.255.254.253,并不认识被nat转换后的服务器ip,因此设备不做相应。过了一会,服务器便发送req_logout将用户下线。因此表现为用户无法认证成功
由于是组网问题导致的,提供三种规避方法:
1、AC上加一条portal server 123 ip 172.16.103.18
2、在SR66上调用nat outbound的时候,通过调用nat outbound acl将服务器ip给deny掉,让服务器到AC的流量走路由转发
3、更改组网,AC---服务器之间链路取消nat设备
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作