• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点WX2510H做微信认证异常问题处理经验案例

2019-06-30 发表
  • 0关注
  • 0收藏 2948浏览
孟普
孟普 六段
粉丝:2人 关注:0人

组网及说明

某局点做无线的微信认证,认证端是云端的服务器。

问题描述

做普通微信认证正常通过,但是客户希望提高网络的监控和安全度,希望在微信认证的时候添加TID(加密后的用户手机)属性,发现添加该属性后认证就异常。认证过程如下:


过程分析

1.查看配置,发现正常: 
 
#
 version 7.1.064, Release 5221
#
 
#
 dns server 114.114.114.114
#
vlan 800
 description i-guangdong-wifi
#
vlan 810
 description i-guangdong-wifi-user
#
wlan service-template 1
 ssid i-Guangdong
 vlan 810
 user-isolation enable
 client-rate-limit enable
 client-rate-limit inbound mode static cir 512
 client-rate-limit outbound mode static cir 6144
 portal enable method direct
 portal domain i-guangdong
 portal bas-ip 10.65.4.163
 portal apply web-server portal
 service-template enable
#
wlan service-template 2
 ssid cl-office
 akm mode psk
 preshared-key pass-phrase cipher $c$3$ojfOHtIQFJZNcmtndKhszuVO9iAVY0GXG0+lcw==
 cipher-suite ccmp
 security-ie rsn
 client-rate-limit enable
 client-rate-limit inbound mode static cir 512
 client-rate-limit outbound mode static cir 12288
 service-template enable
#
wlan service-template 3
 ssid iGT
 vlan 810
 user-isolation enable
 portal enable method direct
 portal domain i-guangdong-portal3
 portal bas-ip 10.65.4.163
 portal apply web-server portal3
 service-template enable
#
interface NULL0
#
interface Vlan-interface800
 ip address 10.65.4.163 255.255.255.224
#
interface GigabitEthernet1/0/2
 port link-mode bridge
 port access vlan 800
#
interface GigabitEthernet1/0/3
 port link-mode bridge
 port access vlan 810
#
interface GigabitEthernet1/0/4
 port link-mode bridge
 port access vlan 810
#
interface GigabitEthernet1/0/5
 port link-mode bridge
 description link-to-route
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 800 810
#
 ip route-static 0.0.0.0 0 10.65.4.161
#
 radius session-control enable
#
radius scheme i-guangdong
 primary authentication 10.64.1.201 key cipher $c$3$qXeFEBd8VF8Kk1ySRmVh9cQfUP8ka5PgbMlFgz0aCFQAEG8=
 primary accounting 10.64.1.201 key cipher $c$3$tbG57h1SD566zp5SxXAHaO4WQhKJD5fqx+9rStxWqKhZY30=
 key authentication cipher $c$3$4WE02rHwjgHV4jT4bh3nRIeakKkbCuw3nYV3MwCA97ndUP0=
 key accounting cipher $c$3$/2jhhSOpqE5AoHJiOBLISYxtjPsI+8EuIMl4WjPyfS8pWrA=
 user-name-format keep-original
 nas-ip 10.65.4.163
#
radius scheme i-guangdong-portal3
 primary authentication 10.64.2.104 key cipher $c$3$A7hfmQ1Il5PMT6Y2qt2qrt4DwkWmzGuTSIJRC/LCA++PxwI=
 primary accounting 10.64.2.104 key cipher $c$3$/vq/m668j7ZoRMlVHFLlAQBenmFs5P4uH32aKmkqnjjwfqg=
 key authentication cipher $c$3$DWsVsgeUUj7UYKF4FvfsOkJNSvtR9xHZOafIpup4dVLT8xs=
 key accounting cipher $c$3$sUftC5uX84n8j59qJVER3BjQZsiv4unajDyBUtkMsHt1oig=
 user-name-format keep-original
 nas-ip 10.65.4.163
#             
domain i-guangdong
 authorization-attribute idle-cut 120 10240
 session-time include-idle-time
 authentication portal radius-scheme i-guangdong
 authorization portal radius-scheme i-guangdong
 accounting portal radius-scheme i-guangdong
#
domain i-guangdong-portal3
 authorization-attribute idle-cut 120 10240
 session-time include-idle-time
 authentication portal radius-scheme i-guangdong-portal3
 authorization portal radius-scheme i-guangdong-portal3
 accounting portal radius-scheme i-guangdong-portal3
#
 portal host-check enable
 portal device-id IGD_H3C_CJRJYPX
 portal auth-fail-record enable
 portal auth-error-record enable
 portal free-rule 1 source ip any destination ip 114.67.*.0 255.255.255.240
 portal free-rule 2 source ip 114.67.*.0 255.255.255.240 destination ip any
 portal free-rule 3 source ip any destination ip 202.96.*.86 255.255.255.255
 portal free-rule 4 source ip any destination ip 202.96.*.166 255.255.255.255
 portal free-rule 5 source ip any destination ip 10.64.1.0 255.255.255.0
 portal free-rule 6 source ip 10.64.1.0 255.255.255.0 destination ip any
 portal free-rule 7 source ip any destination ip 114.114.114.114 255.255.255.255
 portal free-rule 8 source ip any destination ip 10.64.2.0 255.255.255.0
 portal free-rule 9 source ip 10.64.2.0 255.255.255.0 destination ip any
 portal free-rule 10 source interface GigabitEthernet1/0/5
#
portal web-server portal
 url ***.***/portal/login
 server-type cmcc
 url-parameter apmac ap-mac
 url-parameter nasid nas-id
 url-parameter userip source-address
 url-parameter usermac source-mac
 url-parameter wlanacip value 10.65.4.163
 url-parameter wlanacname value IGD_H3C_CJRJYPX
#
portal web-server portal3
 url ***.***/portal2/login
 server-type cmcc
 url-parameter apmac ap-mac
 url-parameter nasid nas-id
 url-parameter userip source-address
 url-parameter usermac source-mac
 url-parameter wlanacip value 10.65.4.163
 url-parameter wlanacname value IGD_H3C_CJRJYPX
#
portal server portal
 ip 10.64.1.3
 server-type cmcc
#
portal server portal2
 ip 10.64.1.4
 server-type cmcc
#
portal server portal3
 ip 10.64.1.234
 server-type cmcc
#
portal server portal4
 ip 10.64.2.104
 server-type cmcc
#
wlan global-configuration
 control-address enable
 nas-id 767017
#
wlan ap-group default-group
 vlan 1
 ap-model WA4320-ACN-SI
  radio 1
   radio enable
   service-template 1 vlan 810
   service-template 2 vlan 810
   service-template 3 vlan 810
  radio 2
   radio enable
   service-template 1 vlan 810
   service-template 2 vlan 810
   service-template 3 vlan 810
#
wlan ap 2f-01 model WA4320-ACN-SI
 serial-id 219801A0T78171E08716
 radio 1      
  radio enable
  channel band-width 40
 radio 2
  radio enable
#
wlan ap 2f-02 model WA4320-ACN-SI
 serial-id 219801A0T78171E05524
 radio 1
  radio enable
  channel band-width 40
 radio 2
  radio enable
#
wlan ap 2f-03 model WA4320-ACN-SI
 serial-id 219801A0T78171E08761
 radio 1
  channel band-width 40
 radio 2
  radio enable
#
wlan ap 3f-04 model WA4320-ACN-SI
 serial-id 219801A0T78171E06080
 radio 1      
  radio enable
  channel band-width 40
 radio 2
  radio enable
#
wlan ap 3f-05 model WA4320-ACN-SI
 serial-id 219801A0T78171E08346
 radio 1
  radio enable
  channel band-width 40
 radio 2
  radio enable
#
wlan ap 3f-06 model WA4320-ACN-SI
 serial-id 219801A0T78171E05550
 radio 1
  radio enable
  channel band-width 40
 radio 2
  radio enable
#
 cloud-management server domain oasis.h3c.com
#              
   


2.看了一下故障的debug,如下:

*May 27 15:44:00:386 2019 IGD_H3C_CJRJYPX PORTAL/7/EVENT: User-SM[172.18.0.107]: Notified Auth-SM to process the REQ_AUTH packet.

*May 27 15:44:00:386 2019 IGD_H3C_CJRJYPX PORTAL/7/FSM: Auth-SM: Started to run.

*May 27 15:44:00:387 2019 IGD_H3C_CJRJYPX PORTAL/7/FSM: Auth-SM [172.18.0.107]: Entered state Authenticating.

*May 27 15:44:00:387 2019 IGD_H3C_CJRJYPX PORTAL/7/EVENT: User-SM[172.18.0.107]: AAA processed authentication request and returned processing.

*May 27 15:44:00:387 2019 IGD_H3C_CJRJYPX PORTAL/7/FSM: User-SM[172.18.0.107]: Begin to run.

*May 27 15:44:00:387 2019 IGD_H3C_CJRJYPX PORTAL/7/EVENT: User-SM[172.18.0.107]: Received authentication response, RespCode=26.

*May 27 15:44:00:387 2019 IGD_H3C_CJRJYPX PORTAL/7/FSM: Auth-SM: Started to run.

*May 27 15:44:00:387 2019 IGD_H3C_CJRJYPX PORTAL/7/PACKET:

Portal sent 16 bytes of packet: Type=ack_auth(4), ErrCode=1, IP=172.18.0.107

 

正常portal过程,AC收到portal服务器发送的REQ-AUTHtype=3)的报文之后,应该会和AAA服务器交互认证报文,AAA服务器回复通过之后,AC才会回复ACK-AUTHtype=4),errorcode=0 的报文给portal服务器。

而上面这个不正常的认证过程,可以发现AAA服务器回复的RespCode=26代表信息交互不正常,正常应该是:

*May 27 16:18:12:190 2019 IGD_H3C_CJRJYPX PORTAL/7/EVENT: User-SM[172.18.0.107]: Received authentication response, RespCode=0.

AAA服务器不通过这个认证,导致后续ACportal服务器回复的ACK-AUTHtype=4)报文的errorcode=1,所以这就应该排查服务器为什么回复的是RespCode=26


解决方法

通过排查服务器端解决问题。对于跟第三方对接的问题,要根据实际情况判断是我司设备问题还是第三方设备问题。

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作