Portal网页方式认证时在iMC在线用户列表中无法强制用户下线的问题
一、 组网:
为了更好地与友商设备配合,减小EAD解决方案对设备特性的依赖以及更精确地控制802.1x认证用户的在线用户列表,iMC UAM自3.60-E6203版本开始,提供混合组网特性。启用该特性后,iMC UAM将使用EAD报文控制在线用户列表的方式替代传统的使用RADIUS计费报文控制在线用户列表的方式。混合组网特性缺省不启用,启用方法为:在【业务-接入业务-接入设备配置】中,将接入设备的协议类型修改为“非标准RADIUS”。
接入认证设备是H3C设备,并且在iMC服务器上增加“接入设备配置”时,选择协议类型为“非标准RADIUS”,即启用了混合组网特性。
二、 问题描述:
使用Portal网页认证方式,客户端能够正常上线,但使用在线用户列表中的“强制下线”后该用户显示仍然在线。此时,用户会发现实际上已经无法访问网络。
三、 过程分析:
点击“强制下线”后,用户无法访问网络。说明至少设备接收到了iMC服务器发送的请求下线报文(REQ_LOGOUT),并且已经将用户做下线处理。按照正常的Portal用户下线流程,紧接着设备应该发送Accounting-Request(RADIUS计费结束请求)通知RADIUS服务器该用户下线,至此完成整个下线过程。
通过在设备上debugging radius packet或打开iMC服务器的RADIUS调试级别日志可以确认计费结束报文是否正常发送接收和处理。现网运行的设备一般优先使用收集iMC服务器的RADIUS调试级别日志的方法确认问题。通过日志,我们可以看到iMC服务器的UAM后台程序也正常接收并回应了计费结束请求。
结合以上现象,可能的原因就只有配置RADIUS接入设备的协议类型时,误启用了“混合组网”特性。根据混合组网原理,此时UAM后台程序仍正常回应计费报文,但不会对在线用户列表产生影响。只有当服务器收到客户端发送的EAD下线请求报文(私有UDP报文,客户端发往安全检查代理服务器)时,才会删除该用户的在线记录。而Portal网页认证方式下,IE浏览器无法与iMC服务器交互EAD报文,导致上述问题的发生。
四、 解决方法:
与H3C设备配合时,务必确保接入设备配置中的“协议类型”为“标准RADIUS”。混合组网特性只有在与友商设备配合实施802.1x认证时才有可能需要启用,且并非与所有友商设备配合时都需要启用,该特性需视具体环境启用,对于能够很好的支持计费开始/更新/结束报文的友商设备,不建议启用混合组网特性。Portal认证一定是与H3C设备配合,所以实施Portal认证时当然也不需要启用混合组网。虽然启用了也不会影响认证,但会导致本案例所描述的问题。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作