iMC-EIA有多种绑定检查配置,认证绑定信息分为两部分,一部分是由身份认证进行绑定检查(如绑定接入设备IP、绑定接入设备端口等),一部分是由策略服务器进行绑定检查(仅包括计算机名称、计算机绑定域、用户必须登录到域),由于身份认证发生在策略服务器进行绑定检查之前,因此,即使策略服务器绑定检查失败了,身份认证阶段也会自学习到其进行的绑定检查内容。此案例主要对身份认证中的绑定接入设备端口进行配置讲解。
此案例使用portal认证方式进行配置。其中Portal认证配置不做详细说明,可以参考KMS中的portal认证配置案例进行配置即可。此处重点讲解端口绑定的配置步骤。
一、iMC搭建Portal认证环境,包括Portal设备添加,端口组配置,IP地址组配置,Radius接入设备配置,接入服务配置,接入策略配置等,此处不再进行截图说明。下面重点说明接入策略中的配置。
(1)接入策略中需要勾选“绑定接入设备端口”,如下图所示:
(2)在接入策略管理-业务参数配置-系统配置-用户绑定信息配置中,可以配置端口号的自学习数量,例如图中所示,默认为1的情况下,接入用户认证成功后会根据设备上传的端口号进行自主绑定。如果发现该用户通过设备其他端口进行认证,则无法通过认证。达到了控制用户认证的功能。
二、使用终端进行测试,效果如下:
(1)手机连接SSID之后重定向到Portal页面,输入账号名密码之后进行认证,认证成功后在iMC的在线用户详细信息列表中可以看到如下图所示,图中设备端口为8,说明该在线用户已经绑定了设备端口8.同时在该接入账号的绑定信息的端口号中也能够看到端口号为8
(2)当终端认证成功后,如果手工修改接入用户中的端口绑定信息,则用户无法通过认证,如下图所示:
终端无法通过认证,提示“E63024:端口绑定检查失败”
同时在认证失败日志中也可以看到对应的失败原因:接入策略中勾选了绑定接入设备端口,并且用户认证时使用的设备端口和接入用户中已经绑定的端口不一致。
三、后台报文分析:
(1)端口绑定信息时通过Radius中CODE=1号报文的NAS-PORT(5)号属性值来解析出来的。对于我司接入设备,NAS-PORT字段为32为UNIT值,该值为8为SLOT+4位SUBSLOT+8位端口号+12位VLANID。通过收集后台UAM的调试日志,我们可以从中分析:
其中NAS-PORT值为:16809992,(十进制),换算成二进制位1000000001000000000001000 根据字段8为SLOT+4位SUBSLOT+8位端口号+12位VLANID从后向前解析,最后12位为蓝色标注000000001000,十进制为8(即VLANID为8),继续向前推8位,即红色标注00001000,十进制为8(即端口号位8),继续向前推4位,即黑色标注0000,十进制为0(即设备子槽位号为0),最后剩余的1即设备槽位号1.
通过以上配置及后台报文分析,我们不难理解iMC绑定设备端口的过程。对于其他类似的身份绑定信息,我们都能够通过后台报文中的其他字段进行自我解析。此处不再进行一一列举。今后再遇到类似问题的时候自然能够迎刃而解。
(1)接入策略中要勾选“绑定接入设备设备端口”选项
(2)接入用户的绑定信息中只能看到端口号,如果需要查看具体槽位号和子槽位号,可以通过查看在线用户的详细信息列表或者接入明细中的详细信息进行查看。
(3)遇到类似端口绑定检查失败的情况,可以通过以上报文的解析算法与iMC的绑定信息进行对比筛查。如果排查后仍然无法正常绑定,请联系4008100504寻求技术支持。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作