相关设备: WX2540H Version 7.1.064, ESS 5417P01
起初渠道工程师反应WX2540H的AC结合绿洲平台做固定账户认证,有些新接入的用户无法弹出portal认证页面,老用户认证及上网正常。排查后发现,绿洲平台上及设备侧这些用户一直未下线,导致新用户连接进来无法正常弹出认证页面,认证异常上不了网。
检查配置后发现渠道工程师将闲置切断时间配置为了600分钟,而DHCP地址租约仅有30分钟。建议渠道按照绿洲开局指导书的注意事项,将闲置切断时长配置为DHCP地址租约的一半,渠道后续反馈闲置切断时长配置为了15分钟,绿洲平台上显示用户已经可以正常下线了,但AC设备侧在display portal-user all 时发现用户仍然在线,且在线时长已远超闲置切断时长。
绿洲平台上用户已正常下线,但是设备侧用户仍在线,导致新接入的用户无法正常弹出认证页面,与现场确认后得知现场还配置了portal无感知认证。
后续经过确认得知该问题为一直以来存在的绿洲平台配合AC的使用问题。正常情况下,绿洲平台在一定闲置切断时长内未产生闲置切断流量后会将用户踢下线,然后会给设备侧发送消息,同时让设备侧将用户踢下线,但是AC是无法识别这个idle-cut的,导致无法顺利将用户踢下线。
确认方法:
dis portal user mac e4e4-ab04-eadb verbose
Basic:
AP name: 8440
…..
AAA:
Realtime accounting interval: 0s, retry times: 1
Idle cut: N/A //如果是N/A就是异常,正常情况应该是有一个具体数值(秒)
Session duration: 0 sec,remaining: 0 sec
Remaining traffic: N/A
目前所有AC 版本都涉及,D029SP21版本才合入解决。规避手段:AC domain域下同步配置idle-cut,定期清除表项
如果仅做portal认证,未配置无感知时是不会出现这个问题的,这个授权下发失败是出现在无感知过程。
规避方法:
AC设备上同步配置闲置切断,最好与绿洲平台配置保持相同
在domain域下配置
#
domain cloud
authorization-attribute idle-cut 15 10240 //绿洲上的闲置时长+流量
authorization-attribute session-timeout 1440 //单日上网时长
authentication portal none
authorization portal none
accounting portal none
我们19年初的时候也遇到这个问题了。经过抓包分析,mac-trigger认证时,绿洲平台确实推送idle cut参数到AC了,只是因为软件bug,AC没有把参数录入到portal user的属性中,导致portal user的idle cut为NA。这样portal user表中的项就一直不会老化。
之前的portal用户已经离线,DHCP服务器已经重新分配了老用户的IP地址。得到这个IP地址的新用户,因为mac地址与portal user表中残留的项目不符,直接被AC拒绝,不会做重定向,无论如何都弹不出认证页面。
(0)
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作