某局点WX3010E portal 认证和第三方厂家对接失败问题处理经验案例

某局点采用无线WX3010E 做portal 认证和第三方厂家对接，portal 服务器和radius 服务器都是第三方厂家的，当前配置完portal 认证之后，发现portal 界面能正常弹出，但是认证不通过，在设备侧debug portal 和debug radius ，同时在ac上行的交换机抓包，发现debug portal 没有收到portal 报文，debug radius 也没有任何报文，在ac 上行的交换机抓包，能看到portal 服务器发了REQ_AUTH 报文。

debug 信息能看到弹出portal url，但是没有收到服务器发过来的报文：

*Dec 22 18:09:13:886 2016 ac PORTAL/7/PORTAL_DEBUG: The user (192.168.0.3) redirect url is http://wifi.laifung-gz.com.cn:18505/am/portal/serviceId/SN3890788573/ac/LaiFungTower-GZ-H3C/ssid/LaiFungTower?userip=192.168.0.3&ssid=LaiFungTower&nasip=10.68.10.2&usermac=60-F1-89-92-3F-5C.
*Dec 22 18:09:13:887 2016 ac PORTAL/7/PORTAL_DEBUG: The user (192.168.0.3) redirect success.
*Dec 22 18:09:13:921 2016 ac PORTAL/7/PORTAL_DEBUG:
 Get AC information: NasID:, NasPortID:, SSID:LaiFungTower, Longitude:0.0000000, Latitude:0.0000000.
*Dec 22 18:09:13:921 2016 ac PORTAL/7/PORTAL_DEBUG:
GetServerURL: Ssid LaiFungTower Spot  doesn't exist.
*Dec 22 18:09:13:922 2016 ac PORTAL/7/PORTAL_DEBUG:
 Get AC information: NasID:, NasPortID:, SSID:LaiFungTower, Longitude:0.0000000, Latitude:0.0000000.
*Dec 22 18:09:13:922 2016 ac PORTAL/7/PORTAL_DEBUG:
 Get AC information: NasID:, NasPortID:, SSID:LaiFungTower, Longitude:0.0000000, Latitude:0.0000000.
*Dec 22 18:09:13:922 2016 ac PORTAL/7/PORTAL_DEBUG: The user (192.168.0.3) redirect url is http://wifi.laifung-gz.com.cn:18505/am/portal/serviceId/SN3890788573/ac/LaiFungTower-GZ-H3C/ssid/LaiFungTower?userip=192.168.0.3&ssid=LaiFungTower&nasip=10.68.10.2&usermac=60-F1-89-92-3F-5C&userurl=http://203.205.147.247?r=5531&mType=quicksend.
*Dec 22 18:09:13:922 2016 ac PORTAL/7/PORTAL_DEBUG: The user (192.168.0.3) redirect success.
*Dec 22 18:09:13:924 2016 ac DPPORTAL/7/DP_PORTAL_DEBUG:

上行交换机抓包结果：能看到portal 服务器给设备发送的portal 报文

关键配置：

portal server staffwifi ip 59.42.106.139 url http://wifi.laifung-gz.com.cn:18505/am/portal/serviceId/SN3890788573/ac/LaiFungTower-GZ-H3C/ssid/LaiFungTower server-type cmcc
 portal free-rule 2 source ip any destination ip 59.42.106.139 mask 255.255.255.255
 portal free-rule 3 source ip any destination ip 211.136.192.6 mask 255.255.255.255
 portal free-rule 4 source ip any destination ip 211.136.20.203 mask 255.255.255.255
 portal free-rule 5 source interface Bridge-Aggregation1 destination any
 portal free-rule 6 source ip 59.42.106.139 mask 255.255.255.255 destination ip any
 portal free-rule 7 source ip 211.136.192.6 mask 255.255.255.255 destination ip any

radius scheme staffwifi
 server-type extended
 primary authentication 59.42.106.139 key cipher $c$3$DDaRwhhGmyhyMOzL7dSqw53DHZ+aW+drInD+bNbG
 primary accounting 59.42.106.139 key cipher $c$3$lh5j8uoPmcD+QADBnPbfTRRuphJ6UVS7LS+GxCZn
 nas-ip 10.68.10.2
#
domain staffwifi
 authentication portal radius-scheme staffwifi
 authorization portal radius-scheme staffwifi
 accounting portal radius-scheme staffwifi
 access-limit disable
 state active
 idle-cut disable
 self-service-url disable

1.由于portal 服务器侧采用的PAP认证，所以直接跨过了chap认证过程，没有交互challenge报文，服务器给设备发送REQ_AUTH。

2.通过抓包发现服务器给设备发送的报文源地址是59.42.106.138，但是设备配置的portal sever 地址是59.42.106.139，所以导致服务器发给设备的报文，设备识别不了，debug portal 看不到收到的portal 报文，指导代理商修改，但是后续通过跟第三方厂家沟通发现，第三方厂家的服务器实现机制就是接收报文就是139的地址，但是发送报文就是138的地址。

1.由于服务器实现机制就是接收报文和发送报文是不同的IP地址，不能更改，导致设备在收到138地址的来的portal 报文无法识别，后续通过在设备上再添加一条portal server 配置，把59.42.106.138 也设置为portal server 服务器，让设备能正常识别这个地址来的portal 报文，问题解决。

添加配置：portal server staffwifi1 ip 59.42.106.138 server-type cmcc

通过debug portal 查看发现设备没有收到服务器发送的portal 报文，需要确认：

1. 服务器发送的portal报文是否到达AC，可以通过抓包查看。

2. 服务器发送的portal报文的源地址是否是设备上配置的portal server 的地址。