• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

portal认证失败提示向设备发送请求失败故障排查

2016-03-09 发表
  • 0关注 ,4110浏览
粉丝:4人 关注:2人

portal认证场景中,认证过程主要包括两个阶段。第一阶段是用户与portal服务器之间的portal报文交互:用户发起认证请求,portal服务器根据获取到的用户信息给用户推送认证页面,用户输入认证账号密码等信息上传给portal服务器让其“代理”后续认证。第二阶段是portal BAS设备和AAA服务器之间的radius报文交互:BAS设备将从portal服务器获取到的认证账号密码以及challenge值等信息发送给AAA服务器进行正确性校验,校验一致则认证成功用户上线,校验失败则认证终止。

H3C iMC智能管理中心的UAM组件作为H3C推出的用户接入管理解决方案产品,本身就包含portalAAA的功能(即其可以同时作为portal服务器和AAA服务器)。在使用iMC来进行portal认证时由于iMCportal BAS设备的配置错误经常会出现认证失败并提示向设备发送请求超时的问题,本文对此问题进行详细分析并提供排查思路,供现场出现故障时参考。


向设备发送请求超时


iMC运行状态异常;

防火墙配置;

端口配置不一致或无法访问;

认证计费密码或portal密码配置不一致;

NAS IP ,PORTAL NAS IP配置问题;

 


IMC能够正常提供portal认证服务的前提是安装部署了EIA组件,并且安装部署后的进程启动正常。在portal认证场景中主要用到的进程有portalserver.exeuam.exe进程,如下图所示:

注:不同的功能在iMC后台会对应到不同的进程,任何进程的运行异常都有可能导致其他相关功能的故障,所以请保证所有进程都是绿色成功启动状态。

一、  检查防火墙配置

在进行portal认证过程中,portal BAS设备主要和iMC服务器的UDP 50100,50200,50900以及18121813端口进行报文交互。如果网络间有防火墙对这些端口进行了过滤就会导致报文交互异常,出现此问题。此时可排查网络中的过滤策略,关闭iMC服务器系统自带的防火墙解决。

二、  检查设备全局配置

BAS设备上的portal server地址错误也会导致此问题产生。检查在BAS设备的全局视图下配置的portal server $server_name ip 192.168.10.12 key h3ch3c url http://192.168.10.12:8080/portal中的IP地址和端口是否正确。此处的url内容应与iMC页面portal服务管理中一致,如下图所示:

三、  检查设备端口配置

BAS设备上接口如果没有开启portal认证,也会出现此问题。检查BAS设备需要认证的接口视图下是否配置了portal server $server_name method direct,保证$server_name和全局视图下配置的一致。这里的methoddirectlayer3两种,需要视具体的组网情况来定。当终端和portal BAS设备处于同一网段时需配置成direct模式,当终端和portal BAS设备是跨三层时需要配置成layer3模式。并且iMC上也需要进行相应的配置,如下图所示:

 

 

四、  检查portal nas ip

BAS设备在发送给iMC服务器portal报文时所用的源地址叫做portal nas ip,而iMC发送给BAS设备portal报文时是以在【portal设备管理】中添加设备时输入的IP地址作为目的地址的,当这两地址不一致时就会造成此问题发生。此时需要检查BAS设备接口视图下配置的portal nas ipiMC页面中添加portal设备时输入的IP地址是否一致,如下图所示:

注:缺省情况下BAS设备是以开启portal的接口的IP地址作为portal nas ip的,所以在设备没有手工配置portal nas ip的情况下,iMC中添加portal设备时也需要以此地址添加,而不是BAS设备上联iMC服务器的地址。

五、  检查radius nas ip

BAS设备在发送给iMC服务器radius报文时所用的源地址叫做radius nas ip,而iMC在给BAS设备发送radius报文时是以在【接入设备】中添加设备时输入的IP地址为目的地址的,当这两地址不一致时,也会造成此问题发生。此时需要检查BAS设备radius scheme视图下配置的nas ipiMC页面接入设备管理中配置的设备地址是否一致,如下图所示:

 

 

六、  检查portal秘钥

BAS设备发送给iMC服务器的portal报文是经过加密处理的,iMC服务器收到之后需要进行解密处理。如果BAS设备上配置的秘钥和iMC中配置的不一致就会导致解密失败,造成此问题发生。此时需检查BAS设备全局视图中配置portal server时指定的keyiMC页面上配置的秘钥是否一致,如下图所示:

 

 

七、  检查radius秘钥

BAS设备发送给iMC服务器的radius报文是经过加密处理的,iMC服务器收到之后需要进行解密处理。如果BAS设备配置的密钥和iMC上配置的不一致就会导致解密失败,造成此问题发生。此时需检查BAS设备radius scheme视图中配置的key authenticationkey accounting中的密钥(这两秘钥必须配置完全一致)和iMC页面上配置的是否一致,如下图所示:

八、  检查地址组配置

只有特定IP地址的终端才能进行portal认证,其他的终端都不允许认证。这个功能是通过在iMC中配置IP地址组来实现的。如果认证终端所配置的IP地址不包含在IP地址组内,则会导致iMC对终端检查失败造成此问题发生。此时请检查iMC中是否配置了IP地址组,并且正确地引用在了portal设备的端口组下,如下图所示:

IP地址组配置

端口组下引用IP地址组

 

 

九、  检查服务器负载

在大量用户并发上线且iMC服务器性能不足的情况下有可能会造成iMC服务器队列满导致报文被丢弃的情况。此时iMC安装目录$PAHT\iMC\portal\logs\中的portalproxy文件会出现队列满(英文full)的错误,如下图所示:

注:单台portal服务器最大支持的认证用户数是5000,当认证的用户数超过限制后需要根据情况进行portal服务器分布式部署。

十、  收集信息

如果以上步骤排查完成后还是无法解决问题,请收集以下信息联系H3C技术支持热线协助分析:

1.  BAS设备型号版本,iMC版本;

2.  BAS设备配置,iMC所有相关配置截图;

3.  设备上的debug portal packet,debug radius packet输出;

4.  认证所用的用户名,终端IP地址,认证时间点;

5.  iMC服务器上的UAM调试日志和portal调试日志;

附:

UAM调试日志收集方法

先在用户-接入策略管理-业务参数配置-系统配置-UAM运行日志参数配置中将日志级别设为调试,如下图:

然后复现问题测试,完成后反馈iMC安装目录imc\uam\log\目录下以当天日期为名的文件。(如果UAM是分布式部署,那么此日志位于UAM所在的从服务器上)如下图:

 

 

Portal调试日志收集方法

先在用户-接入策略管理-portal服务管理-服务器配置页面将日志级别设为“调试,如下图:

然后复现问题测试,完成后反馈iMC安装目录imc\portal\logs\目录下的portalserver文件。如下图:

 

 

 

 

 

 

 

 


请详细对照文档进行排查,此问题无非以上几种故障可能。


1 个评论
粉丝:10人 关注:6人

积累知识

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作