客户现网无线业务中存在三个SSID,三个SSID的业务地址组合分别为,IPV4单栈,IPV4+IPV6双栈,IPV6单栈。其中故障业务是IPV6单栈,接入安全采用portal认证,portal server和radius server均为第三方服务器。AC为无线业务启用portal认证。
概率性出现IPV6单栈业务portal认证失败,认证失败时portal页可正常推送,输入用户名密码后提示密码错误。
AC上开启debug信息查看发现radius server返回access-reject(CODE=3)认证请求被拒绝,拒绝原因为终端密码错误。
*Nov 27 11:17:40:457 2018 AC_4 RADIUS/7/PACKET: Reply-Message="E2901: (Third party 10105015)E2553: Username or password is incorrect."
*Nov 27 11:17:40:458 2018 AC_4 RADIUS/7/PACKET:
03 d2 00 5c 0a 71 a3 20 06 d8 70 b1 db ad b7 fe
eb 4d b6 47 12 48 45 32 39 30 31 3a 20 28 54 68
69 72 64 20 70 61 72 74 79 20 31 30 31 30 35 30
31 35 29 45 32 35 35 33 3a 20 55 73 65 72 6e 61
6d 65 20 6f 72 20 70 61 73 73 77 6f 72 64 20 69
73 20 69 6e 63 6f 72 72 65 63 74 2e
进一步协调radius server排查确认为终端在portal认证时AC发送的radius请求报文access-request报文中携带了双栈地址,既有IPV4地址也有IPV6地址。radius server在该业务portal认证中radius server优先取终端的IPV4地址。但是在用户信息查询中未查到终端的IPV4地址,因此拒绝终端认证接入。
但是为什么IPV6单栈接入情况下AC的radius请求报文access-request报文中会携带IPV4地址。通过反复复现问题,并且通过学习到的IPV4地址段进行分析发现,该IPV4地址是IPV4单栈业务下的地址段,当终端从IPV4单栈无线业务下切换到IPV6单栈无线业务时,部分终端会残留IPV4地址,并未释放。当终端有IPV4地址的arp报文或DHCP续租报文时,AC会学习到终端的IPV4地址,并且当AC学习到无线终端的双栈地址时,默认在radius的access-request报文中会携带双栈地址。
至此,问题最终定位为AC误将无线终端残留的IPV4地址在radius请求报文access-request报文中携带,导致radius server查询失败,拒绝请求。
AC上默认开启通过终端发送的arp报文和DHCP报文学习终端的IP地址功能。可以通过以下命令关闭IPV4地址学习功能解决:
[WX5540H-V7]wlan service-template 1
[WX5540H-V7-wlan-st-2]undo client ipv4-snooping arp-learning enable
[WX5540H-V7-wlan-st-2]undo client ipv4-snooping dhcp-learning enable
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作