某局点采用无线WX3010E 做portal 认证和第三方厂家对接,portal 服务器和radius 服务器都是第三方厂家的,当前配置完portal 认证之后,发现portal 界面能正常弹出,但是认证不通过,在设备侧debug portal 和debug radius ,同时在ac上行的交换机抓包,发现debug portal 没有收到portal 报文,debug radius 也没有任何报文,在ac 上行的交换机抓包,能看到portal 服务器发了REQ_AUTH 报文。
debug 信息能看到弹出portal url,但是没有收到服务器发过来的报文:
*Dec 22 18:09:13:886 2016 ac PORTAL/7/PORTAL_DEBUG: The user (192.168.0.3) redirect url is http://wifi.laifung-gz.com.cn:18505/am/portal/serviceId/SN3890788573/ac/LaiFungTower-GZ-H3C/ssid/LaiFungTower?userip=192.168.0.3&ssid=LaiFungTower&nasip=10.68.10.2&usermac=60-F1-89-92-3F-5C.
*Dec 22 18:09:13:887 2016 ac PORTAL/7/PORTAL_DEBUG: The user (192.168.0.3) redirect success.
*Dec 22 18:09:13:921 2016 ac PORTAL/7/PORTAL_DEBUG:
Get AC information: NasID:, NasPortID:, SSID:LaiFungTower, Longitude:0.0000000, Latitude:0.0000000.
*Dec 22 18:09:13:921 2016 ac PORTAL/7/PORTAL_DEBUG:
GetServerURL: Ssid LaiFungTower Spot doesn't exist.
*Dec 22 18:09:13:922 2016 ac PORTAL/7/PORTAL_DEBUG:
Get AC information: NasID:, NasPortID:, SSID:LaiFungTower, Longitude:0.0000000, Latitude:0.0000000.
*Dec 22 18:09:13:922 2016 ac PORTAL/7/PORTAL_DEBUG:
Get AC information: NasID:, NasPortID:, SSID:LaiFungTower, Longitude:0.0000000, Latitude:0.0000000.
*Dec 22 18:09:13:922 2016 ac PORTAL/7/PORTAL_DEBUG: The user (192.168.0.3) redirect url is http://wifi.laifung-gz.com.cn:18505/am/portal/serviceId/SN3890788573/ac/LaiFungTower-GZ-H3C/ssid/LaiFungTower?userip=192.168.0.3&ssid=LaiFungTower&nasip=10.68.10.2&usermac=60-F1-89-92-3F-5C&userurl=http://203.205.147.247?r=5531&mType=quicksend.
*Dec 22 18:09:13:922 2016 ac PORTAL/7/PORTAL_DEBUG: The user (192.168.0.3) redirect success.
*Dec 22 18:09:13:924 2016 ac DPPORTAL/7/DP_PORTAL_DEBUG:
上行交换机抓包结果:能看到portal 服务器给设备发送的portal 报文
关键配置:
portal server staffwifi ip 59.42.106.139 url http://wifi.laifung-gz.com.cn:18505/am/portal/serviceId/SN3890788573/ac/LaiFungTower-GZ-H3C/ssid/LaiFungTower server-type cmcc
portal free-rule 2 source ip any destination ip 59.42.106.139 mask 255.255.255.255
portal free-rule 3 source ip any destination ip 211.136.192.6 mask 255.255.255.255
portal free-rule 4 source ip any destination ip 211.136.20.203 mask 255.255.255.255
portal free-rule 5 source interface Bridge-Aggregation1 destination any
portal free-rule 6 source ip 59.42.106.139 mask 255.255.255.255 destination ip any
portal free-rule 7 source ip 211.136.192.6 mask 255.255.255.255 destination ip any
radius scheme staffwifi
server-type extended
primary authentication 59.42.106.139 key cipher $c$3$DDaRwhhGmyhyMOzL7dSqw53DHZ+aW+drInD+bNbG
primary accounting 59.42.106.139 key cipher $c$3$lh5j8uoPmcD+QADBnPbfTRRuphJ6UVS7LS+GxCZn
nas-ip 10.68.10.2
#
domain staffwifi
authentication portal radius-scheme staffwifi
authorization portal radius-scheme staffwifi
accounting portal radius-scheme staffwifi
access-limit disable
state active
idle-cut disable
self-service-url disable
1.由于portal 服务器侧采用的PAP认证,所以直接跨过了chap认证过程,没有交互challenge报文,服务器给设备发送REQ_AUTH。
2.通过抓包发现服务器给设备发送的报文源地址是59.42.106.138,但是设备配置的portal sever 地址是59.42.106.139,所以导致服务器发给设备的报文,设备识别不了,debug portal 看不到收到的portal 报文,指导代理商修改,但是后续通过跟第三方厂家沟通发现,第三方厂家的服务器实现机制就是接收报文就是139的地址,但是发送报文就是138的地址。
1.由于服务器实现机制就是接收报文和发送报文是不同的IP地址,不能更改,导致设备在收到138地址的来的portal 报文无法识别,后续通过在设备上再添加一条portal server 配置,把59.42.106.138 也设置为portal server 服务器,让设备能正常识别这个地址来的portal 报文,问题解决。
添加配置:portal server staffwifi1 ip 59.42.106.138 server-type cmcc
通过debug portal 查看发现设备没有收到服务器发送的portal 报文,需要确认:
1. 服务器发送的portal报文是否到达AC,可以通过抓包查看。
2. 服务器发送的portal报文的源地址是否是设备上配置的portal server 的地址。
该案例暂时没有网友评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作