portal认证失败提示向设备发送请求失败故障排查

在portal认证场景中，认证过程主要包括两个阶段。第一阶段是用户与portal服务器之间的portal报文交互：用户发起认证请求，portal服务器根据获取到的用户信息给用户推送认证页面，用户输入认证账号密码等信息上传给portal服务器让其“代理”后续认证。第二阶段是portal BAS设备和AAA服务器之间的radius报文交互：BAS设备将从portal服务器获取到的认证账号密码以及challenge值等信息发送给AAA服务器进行正确性校验，校验一致则认证成功用户上线，校验失败则认证终止。

H3C iMC智能管理中心的UAM组件作为H3C推出的用户接入管理解决方案产品，本身就包含portal和AAA的功能（即其可以同时作为portal服务器和AAA服务器）。在使用iMC来进行portal认证时由于iMC或portal BAS设备的配置错误经常会出现认证失败并提示向设备发送请求超时的问题，本文对此问题进行详细分析并提供排查思路，供现场出现故障时参考。

向设备发送请求超时

iMC运行状态异常；

防火墙配置；

端口配置不一致或无法访问；

认证计费密码或portal密码配置不一致；

NAS IP ,PORTAL NAS IP配置问题；

IMC能够正常提供portal认证服务的前提是安装部署了EIA组件，并且安装部署后的进程启动正常。在portal认证场景中主要用到的进程有portalserver.exe和uam.exe进程，如下图所示：

注：不同的功能在iMC后台会对应到不同的进程，任何进程的运行异常都有可能导致其他相关功能的故障，所以请保证所有进程都是绿色成功启动状态。

一、  检查防火墙配置

在进行portal认证过程中，portal BAS设备主要和iMC服务器的UDP 50100,50200,50900以及1812、1813端口进行报文交互。如果网络间有防火墙对这些端口进行了过滤就会导致报文交互异常，出现此问题。此时可排查网络中的过滤策略，关闭iMC服务器系统自带的防火墙解决。

二、  检查设备全局配置

BAS设备上的portal server地址错误也会导致此问题产生。检查在BAS设备的全局视图下配置的portal server $server_name ip 192.168.10.12 key h3ch3c url http://192.168.10.12:8080/portal中的IP地址和端口是否正确。此处的url内容应与iMC页面portal服务管理中一致，如下图所示：

三、  检查设备端口配置

BAS设备上接口如果没有开启portal认证，也会出现此问题。检查BAS设备需要认证的接口视图下是否配置了portal server $server_name method direct，保证$server_name和全局视图下配置的一致。这里的method有direct和layer3两种，需要视具体的组网情况来定。当终端和portal BAS设备处于同一网段时需配置成direct模式，当终端和portal BAS设备是跨三层时需要配置成layer3模式。并且iMC上也需要进行相应的配置，如下图所示：

四、  检查portal nas ip

BAS设备在发送给iMC服务器portal报文时所用的源地址叫做portal nas ip，而iMC发送给BAS设备portal报文时是以在【portal设备管理】中添加设备时输入的IP地址作为目的地址的，当这两地址不一致时就会造成此问题发生。此时需要检查BAS设备接口视图下配置的portal nas ip和iMC页面中添加portal设备时输入的IP地址是否一致，如下图所示：

注：缺省情况下BAS设备是以开启portal的接口的IP地址作为portal nas ip的，所以在设备没有手工配置portal nas ip的情况下，iMC中添加portal设备时也需要以此地址添加，而不是BAS设备上联iMC服务器的地址。

五、  检查radius nas ip

BAS设备在发送给iMC服务器radius报文时所用的源地址叫做radius nas ip，而iMC在给BAS设备发送radius报文时是以在【接入设备】中添加设备时输入的IP地址为目的地址的，当这两地址不一致时，也会造成此问题发生。此时需要检查BAS设备radius scheme视图下配置的nas ip和iMC页面接入设备管理中配置的设备地址是否一致，如下图所示：

六、  检查portal秘钥

BAS设备发送给iMC服务器的portal报文是经过加密处理的，iMC服务器收到之后需要进行解密处理。如果BAS设备上配置的秘钥和iMC中配置的不一致就会导致解密失败，造成此问题发生。此时需检查BAS设备全局视图中配置portal server时指定的key和iMC页面上配置的秘钥是否一致，如下图所示：

七、  检查radius秘钥

BAS设备发送给iMC服务器的radius报文是经过加密处理的，iMC服务器收到之后需要进行解密处理。如果BAS设备配置的密钥和iMC上配置的不一致就会导致解密失败，造成此问题发生。此时需检查BAS设备radius scheme视图中配置的key authentication和key accounting中的密钥（这两秘钥必须配置完全一致）和iMC页面上配置的是否一致，如下图所示：

八、  检查地址组配置

只有特定IP地址的终端才能进行portal认证，其他的终端都不允许认证。这个功能是通过在iMC中配置IP地址组来实现的。如果认证终端所配置的IP地址不包含在IP地址组内，则会导致iMC对终端检查失败造成此问题发生。此时请检查iMC中是否配置了IP地址组，并且正确地引用在了portal设备的端口组下，如下图所示：

IP地址组配置

端口组下引用IP地址组

九、  检查服务器负载

在大量用户并发上线且iMC服务器性能不足的情况下有可能会造成iMC服务器队列满导致报文被丢弃的情况。此时iMC安装目录$PAHT\iMC\portal\logs\中的portalproxy文件会出现队列满（英文full）的错误，如下图所示：

注：单台portal服务器最大支持的认证用户数是5000，当认证的用户数超过限制后需要根据情况进行portal服务器分布式部署。

十、  收集信息

如果以上步骤排查完成后还是无法解决问题，请收集以下信息联系H3C技术支持热线协助分析：

1.  BAS设备型号版本，iMC版本；

2.  BAS设备配置，iMC所有相关配置截图；

3.  设备上的debug portal packet,debug radius packet输出；

4.  认证所用的用户名，终端IP地址，认证时间点；

5.  iMC服务器上的UAM调试日志和portal调试日志；

附：

UAM调试日志收集方法

先在用户-接入策略管理-业务参数配置-系统配置-UAM运行日志参数配置中将日志级别设为“调试”，如下图：

然后复现问题测试，完成后反馈iMC安装目录imc\uam\log\目录下以当天日期为名的文件。（如果UAM是分布式部署，那么此日志位于UAM所在的从服务器上）如下图：

Portal调试日志收集方法

先在用户-接入策略管理-portal服务管理-服务器配置页面将日志级别设为“调试”，如下图：

然后复现问题测试，完成后反馈iMC安装目录imc\portal\logs\目录下的portalserver文件。如下图：

请详细对照文档进行排查，此问题无非以上几种故障可能。