iMC Portal无感知用户重新连入网络无法上线的问题分析

iMC Portal无感知用户离开一段时间后重新连入网络获取到新的IP地址后无法通过无感知上线，提示设备拒绝请求，后台查看Portal日志提示设备回应用户在线。

无。

1、iMC配置问题，Portal无感知用户调用的接入服务没有开启Portal无感知认证功能。

2、查看用户和Portal服务器的握手时间为0即iMC上端口组下配置心跳间隔和心跳超时时间为0。

3、查看终端管理中的终端的识别特征管理中是否包含Portal无感知用户的特征值。如果不知道特征值可以增加特征值为all。查看Portal无感知用户中是否包含的认证的终端。

4、分析Portal无感知用户上线过程，Portal和UAM日志如下。

当Portal无感知用户离开很长一段时间后再连接到网络，打开网页上不了网，经查看iMC上在线用户中发现此账号获取到的IP地址正在被使用另一个终端使用并且用户在线，所以当此账号再使用此IP地址无感知上线时，会提示设备回应用户在线。

查看Portal日志，MAC地址查询已经成功。

下面以账号luoyl和zhangzg为例分析Portal和UAM的调试日志。

账号luoyl离开一段时间后返回网络重新上线。DHCP获取到的IP地址为10.1.24.152，MAC地址为48:45:20:68:f3:2b。

账号zhangzg的IP地址10.1.24.152已经在线，MAC地址为80:be:05:47:1f:60。

Portal日志中显示：MAC查询报文成功，直接进行radius认证。

（1）分析Portal日志分析如下：

账号luoyl重新连入到WIFI后上线的的Portal报文：

PORTAL_FAST_AUTH_QUERY2016-09-13 09:08:31.356[Portal服务器][调试(0)][21][ProxyRequestHandler::run]10.1.24.152 ; PORTAL_FAST_AUTH_QUERY(48) ; 52505 ; 10.8.3.102:2000 ; MAC地址绑定查询报文处理成功。(0)

        Packet Type:PORTAL_FAST_AUTH_QUERY(48)

        SerialNo:52505

        Address:10.108.5.17

        Port:50908

        RemoteIp:10.8.3.102

        RemotePort:2000

        Version:portal 1.0

        Auth Type:CHAP

        ErrorID:0

        UserIP:10.1.24.152

        UserPort:0

        ReqID:0

        Rsvd:0

        attriNum:4

        Session Id:48 45 20 68 f3 2b

        Device Ip:10.8.3.102

        NAS-ID:19f_w3540e_wlan

        Share Key:46 5a 5a 58     

016-09-13 09:08:31.359[Portal服务器][调试(0)][24][ProxyResponseDeviceHandler::run]10.1.24.152 ; PORTAL_FAST_AUTH_QUERY_RESPONSE(49) ; 52505 ; 10.8.3.102:2000 ; 用户智能终端的MAC地址已绑定，直接进行Radius认证。(0)

        Packet Type:PORTAL_FAST_AUTH_QUERY_RESPONSE(49)

        SerialNo:52505

        Address:10.108.5.17

        Port:50300

        RemoteIp:10.8.3.102

        RemotePort:2000

        Version:portal 1.0

        Auth Type:CHAP

        ErrorID:0

        UserIP:10.1.24.152

        UserPort:0

        ReqID:0

        Rsvd:0

        attriNum:0

2016-09-13 09:08:31.362[Portal服务器][调试(0)][21][ProxyRequestHandler::run]10.1.24.152 ; ACK_AUTH(4) ; 7833 ; 10.8.3.102:2000 ; 设备回应—用户在线(2)

日志中Portal报文已经交互完成，下一步会进行Radius认证，但是显示设备回应，用户在线，这时候登陆iMC上查看在线用户中，IP地址10.1.24.152是账号zhangzg在使用着。这时账号luoyl重新接入网络也获取到IP 10.1.24.152去上线，而设备上这个IP地址已经在线了，Portal报文中会提示设备回应-用户在线。

说明：终端的IP地址如果是自动获取，DHCP服务器应该不会分配重复的IP地址的，但是后期经确认，客户环境是第3方的DHCP服务器，会出现如上的情况是因为DHCP老化时长到了，然后又把10.1.24.152分配给终端账号luoyl使用了。第3方DHCP服务器存在的问题是即使账号在使用着某个IP，当租期到了，不会继续续租，而直接收回IP地址分配给另外的终端使用，所以网络中把DHCP服务器更换为设备。

（2）分析UAM日志。

看到在2016-09-13 09:11:30以前：IP地址10.1.24.152 都是账号zhangzg在线的。而账号luoyl使用IP地址10.1.24.152进行无感知上线时，无法上线成功，导致账号不能上网。可以通过看如下日志：账号zhangzg一直在线并且有计费更新的：10.1.24.152  都是这个MAC：80:be:05:47:1f:60

% 2016-09-13 09:05:41.658 ; [L_DEBUG (4)] ; [3616] ; LAN ; zhangzg ; 4 ; a5c434dc309f4c35bb8ed29c4985cd0b ; (NULL) ; RT[1]: Receive message from 10.8.3.102:

CODE = 4.

ID   = 134.

ATTRIBUTES:

         User-Name(1) = "...zhangzg".

         NAS-Identifier(32) = "19f_w3540e_wlan".

         NAS-Port(5) = 16876444.

         NAS-Port-Id(87) = "0100024000000924".

         NAS-Port-Type(61) = 19.

         Calling-Station-Id(31) = "80-BE-05-47-1F-60".

         Called-Station-Id(30) = "50-DA-00-A1-EA-E0:FZZX".

         Acct-Status-Type(40) = 3.      

         Acct-Authentic(45) = 1.

         Acct-Session-Id(44) = "11609120853560b125d6122e".

         Framed-IP-Address(8) = 167843992.

         NAS-IP-Address(4) = 168297318.

         Event-Timestamp(55) = 1473757556.

         Acct-Session-Time(46) = 87120.

         Acct-Delay-Time(41) = 1.

         Acct-Input-Octets(42) = 3774660.

         Acct-Input-Packets(47) = 37394.

         Acct-Output-Octets(43) = 55734326.

         Acct-Output-Packets(48) = 41138.

         Acct-Input-Gigawords(52) = 0.

         Acct-Output-Gigawords(53) = 0.

         hw_Connect_ID(26) = 4789.

         hw_Input_Peak_Rate(1) = 0.

         hw_Input_Average_Rate(2) = 0.

         hw_Output_Peak_Rate(4) = 0.

         hw_Output_Average_Rate(5) = 0.

         hw_Priority(22) = 0.

         hw_IP_Host_Addr(60) = "10.1.24.152 80:be:05:47:1f:60".

         HW-Input-Interval-Octets(201) = 0.

         HW-Output-Interval-Octets(202) = 0.

         HW-Input-Interval-Packets(203) = 0.

         HW-Output-Interval-Packets(204) = 0.

         HW-Input-Interval-Gigawords(205) = 0.

         HW-Output-Interval-Gigawords(206) = 0.

而账号luoyl使用IP地址10.1.24.152无法进行无感知上线，因为设备上IP地址10.1.24.152已经在线，同一个IP地址不会重复上线。

于是终端luoyl尝试手动输入Portal认证的页面，http：//IP:端口号/portal

在09:11:29这个时间点，设备发送计费结束报文，账号zhangzg下线。然后账号luoyl正常上线成功。UAM日志中Radius报文交互过程如下：

% 2016-09-13 09:11:29.515 ; [L_DEBUG (4)] ; [3616] ; LAN ; zhangzg ; 4 ; 021782ca552348679fe01f20600c04fa ; (NULL) ; RT[1]: Receive message from 10.8.3.102:

CODE = 4.

ID   = 208.

ATTRIBUTES:

         User-Name(1) = "...zhangzg".

         NAS-Identifier(32) = "19f_w3540e_wlan".

         NAS-Port(5) = 16876444.

         NAS-Port-Id(87) = "0100024000000924".

         NAS-Port-Type(61) = 19.

         Calling-Station-Id(31) = "80-BE-05-47-1F-60".

         Called-Station-Id(30) = "50-DA-00-A1-EA-E0:FZZX".

         Acct-Status-Type(40) = 2.        //计费结束报文，用户下线。

         Acct-Authentic(45) = 1.

         Acct-Session-Id(44) = "11609120853560b125d6122e".

         Framed-IP-Address(8) = 167843992.

         NAS-IP-Address(4) = 168297318.

         Event-Timestamp(55) = 1473757904.

         Acct-Session-Time(46) = 87469.

         Acct-Delay-Time(41) = 0.

         Acct-Input-Octets(42) = 3774660.

         Acct-Input-Packets(47) = 37394.

         Acct-Output-Octets(43) = 55734326.

         Acct-Output-Packets(48) = 41138.

         Acct-Input-Gigawords(52) = 0.

         Acct-Output-Gigawords(53) = 0.

         Acct-Terminate-Cause(49) = 1.

         hw_Connect_ID(26) = 4789.

         hw_Input_Peak_Rate(1) = 0.

         hw_Input_Average_Rate(2) = 0.

         hw_Output_Peak_Rate(4) = 0.

         hw_Output_Average_Rate(5) = 0.

         hw_Priority(22) = 0.

         hw_IP_Host_Addr(60) = "10.1.24.152 80:be:05:47:1f:60".

         HW-Input-Interval-Octets(201) = 0.

         HW-Output-Interval-Octets(202) = 0.

         HW-Input-Interval-Packets(203) = 0.

         HW-Output-Interval-Packets(204) = 0.

         HW-Input-Interval-Gigawords(205) = 0.

         HW-Output-Interval-Gigawords(206) = 0.

经了解客户环境：出现如上问题的原因是IP租约到期，而iMC上没有配置心跳时长且设备没有配置idle-cut，所以这个IP一直在线，但由于租约到期，所以DHCP服务器会把IP分配给新终端使用，而新的终端使用此IP上线时，设备上IP地址已经在线了，所以无法重复上线，导致新账号不能上线。

5、客户组网问题，设备上没有配置idle-cut和DHCP服务器配置问题。

客户修改组网后，测试DHCP服务器，发现等到设置的租期时间一到，不管用户是否在线，DHCP服务器会收回IP地址，当有新的终端向DHCP服务器请求分配IP地址时，DHCP服务器就会把此IP分配给新的终端使用。由于是做的无感知认证，所以终端通过无感知上线时，设备上IP地址已经在线导致新终端无法上线成功。设备上没有配置idle-cut，用户会一直在线。

1、检查配置Portal无感知配置，设备和iMC上的基础配置。

2、检查用户是否是无感知用户。用户-接入用户管理-Portal无感知认证用户查看无感知用户。

3、设备上配置idle-cut，然后时间比DHCP租期短。

由于iMC上的配置心跳间隔和心跳超时设置为0，Portal Server检测不到终端下线。而设备上idle-cut为disable状态，所以终端即使离开很久了，设备上和iMC上这个终端依旧显示在线状态，而DHCP租期到期后，DHCP服务器会把此IP地址分配给新的终端使用，当新的终端使用此IP地址上线后，设备上会回应用户在线，导致新的终端无法上线。解决方法是设备上domain域下开启idle-cut。例如20分钟内终端的流量没有达到1024kB，BAS设备会强制终端下线并通知Radius服务器终端下线：

idle-cut enable 20 1024

修改后测试发现无感知用户可以正常上线，在线时长也正常。

4、修改DHCP租期要长于idle-cut的时间。

iMC上的心跳间隔和心跳超时与设备上的idle-cut需要配置一个。如果是Portal无感知认证，iMC上的心跳间隔和心跳超时建议设置为0。DHCP租期要长于idle-cut设置的时间。