Portal网页方式认证时在iMC在线用户列表中无法强制用户下线的问题

Portal网页方式认证时在iMC在线用户列表中无法强制用户下线的问题

一、       组网：

为了更好地与友商设备配合，减小EAD解决方案对设备特性的依赖以及更精确地控制802.1x认证用户的在线用户列表，iMC UAM自3.60-E6203版本开始，提供混合组网特性。启用该特性后，iMC UAM将使用EAD报文控制在线用户列表的方式替代传统的使用RADIUS计费报文控制在线用户列表的方式。混合组网特性缺省不启用，启用方法为：在【业务－接入业务－接入设备配置】中，将接入设备的协议类型修改为“非标准RADIUS”。

接入认证设备是H3C设备，并且在iMC服务器上增加“接入设备配置”时，选择协议类型为“非标准RADIUS”，即启用了混合组网特性。

二、       问题描述：

使用Portal网页认证方式，客户端能够正常上线，但使用在线用户列表中的“强制下线”后该用户显示仍然在线。此时，用户会发现实际上已经无法访问网络。

三、       过程分析：

点击“强制下线”后，用户无法访问网络。说明至少设备接收到了iMC服务器发送的请求下线报文（REQ_LOGOUT），并且已经将用户做下线处理。按照正常的Portal用户下线流程，紧接着设备应该发送Accounting-Request（RADIUS计费结束请求）通知RADIUS服务器该用户下线，至此完成整个下线过程。

通过在设备上debugging radius packet或打开iMC服务器的RADIUS调试级别日志可以确认计费结束报文是否正常发送接收和处理。现网运行的设备一般优先使用收集iMC服务器的RADIUS调试级别日志的方法确认问题。通过日志，我们可以看到iMC服务器的UAM后台程序也正常接收并回应了计费结束请求。

结合以上现象，可能的原因就只有配置RADIUS接入设备的协议类型时，误启用了“混合组网”特性。根据混合组网原理，此时UAM后台程序仍正常回应计费报文，但不会对在线用户列表产生影响。只有当服务器收到客户端发送的EAD下线请求报文（私有UDP报文，客户端发往安全检查代理服务器）时，才会删除该用户的在线记录。而Portal网页认证方式下，IE浏览器无法与iMC服务器交互EAD报文，导致上述问题的发生。

四、       解决方法：

与H3C设备配合时，务必确保接入设备配置中的“协议类型”为“标准RADIUS”。混合组网特性只有在与友商设备配合实施802.1x认证时才有可能需要启用，且并非与所有友商设备配合时都需要启用，该特性需视具体环境启用，对于能够很好的支持计费开始/更新/结束报文的友商设备，不建议启用混合组网特性。Portal认证一定是与H3C设备配合，所以实施Portal认证时当然也不需要启用混合组网。虽然启用了也不会影响认证，但会导致本案例所描述的问题。