某局点反馈,客户现场是AC+FIT AP+iMC的无线MAC认证场景。之前无线MAC认证使用正常,现在突然大量终端关联上无线信号后自动进行MAC认证时失败,查看iMC侧认证失败日志发现有大量“用户不存在或者没有申请该服务”记录,如下图所示:
无线MAC认证失败,提示“用户不存在或者没有申请该服务”
认证失败报“用户不存在或者没有申请该服务”问题按照字面意思即可以理解造成该问题的原因就是认证时的用户在iMC上不存在,或者用户存在了但是没有给这个用户申请服务导致的。所以排查的第一步就是检查iMC中是否存在该用户。在MAC认证场景中,由于BAS设备会自动将终端的MAC地址作为登录名上传给iMC,所以在iMC侧就需要事先以终端的MAC地址为登录名创建好接入账号。我们以认证失败日志中的第一行记录为例在iMC接入用户列表中查找,发现可以找到这个账号并且也绑定了接入服务,如下图所示:
页面检查都没有明显问题后,接下来我们分析认证过程中的UAM调试日志(日志收集方法可查看《iMC各组件各问题信息收集方法》),发现有如下记录:
可以看到,在用户认证时BAS设备实际上上传给iMC的登录名是**-**-**-**-**-**这种格式的,而不是iMC上写的************这种格式,所以导致查不到账号进而认证失败。
所以出现此问题的根本原因是BAS设备上传给iMC的登录名格式和iMC上创建接入用户的格式不一致导致的。
此问题有两种解决方法
1.将iMC上的所有MAC认证用户的登录名修改为**-**-**-**-**-**格式,如下图所示:
2. 在AC上修改上传MAC地址的格式,使AC能够以正确的方式向iMC发送认证用户名,配置的命令为全局视图下mac-authentication user-name-format mac-address without-hyphen。
1.认证配置涉及到BAS设备和iMC服务器,像密钥,nas-ip,用户名格式等一定要两端配置一致;
2.不同AC版本命令格式可能略有不同,以对应设备手册为准;
3.不同iMC版本配置界面略有不同,以对应iMC版本为准;
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作