iMC EIA结合 WX5510H进行portal认证报‘设备拒绝请求’的经验案例

略

在iMC页面进行portal认证登录，输入账户密码之后报“设备拒绝请求”。

1.排查基本的设备侧以及iMC侧配置，着重检查radius nas-ip、portal bas-ip以及密钥问题。

2.收集并查看portalserver 的debug日志。

2019-11-26 16:49:10.579[Portal服务器][调试(0)][24][ProxyResponseDeviceHandler::run]10.170.212.1 ; REQ_AUTH(3) ; 134 ; 169.169.1.200:2000 ; 报文处理成功

   
        Packet Type:REQ_AUTH(3)
        SerialNo:134
        Address:10.169.187.249
        Port:50300
        RemoteIp:169.169.1.200
        RemotePort:2000
        Version:portal 1.0
        Auth Type:PAP
        ErrorID:0
        UserIP:10.170.212.1
        UserPort:0
        ReqID:0
        Rsvd:0
        attriNum:2
   
   
        User Name:555555
        Password:***
   

2019-11-26 16:49:10.596[Portal服务器][调试(0)][21][ProxyRequestHandler::run]10.170.212.1 ; ACK_AUTH(4) ; 134 ; 169.169.1.200:2000 ; 设备拒绝请求(1)

   
        Packet Type:ACK_AUTH(4)
        SerialNo:134
        Address:10.169.187.249
        Port:50908
        RemoteIp:169.169.1.200
        RemotePort:2000
        Version:portal 1.0
        Auth Type:PAP
        ErrorID:1
        UserIP:10.170.212.1
        UserPort:0
        ReqID:0
        Rsvd:0
        attriNum:0
   
   
   

发现在设备回应给iMC服务器的ACK_AUTH报文里携带了ErrorID:1的错误值，由于该值的存在，才会导致WEB页面提示“设备拒绝请求”。在ACK_AUTH和REQ_AUTH之间，设备和iMC服务器之间传递的是RADIUS报文，所以此时需要分析UAM调试日志。

3、查看UAM的debug日志。

%% 2019-11-26 16:49:10.582 ; [LDBG] ; [7872] ; LAN ; 555555 ; 1 ; 2f4aa7159418467c815536d88cf0c7e8 ;  ; Received message from 169.169.1.200:
CODE = 1 ID = 118.
 User-Name(1) = 555555
 Password(2) = $$$
 NAS-IP-Address(4) = 2846425544.
 NAS-Identifier(32) = nbg-wx5510e
 NAS-Port(5) = 16789844.
 NAS-Port-Id(87) = slot=1;subslot=0;port=3;vlanid=340;
 NAS-Port-Type(61) = 19.
 Service-Type(6) = 2.
 Framed-Protocol(7) = 255.
 Calling-Station-Id(31) = 3C-2E-F9-98-E0-A9
 Called-Station-Id(30) = 48-7A-DA-19-88-C0:NBZSG-PUBLIC
 Acct-Session-Id(44) = 11911261646170c59c2a86
 Framed-IP-Address(8) = 178967553.
 hw_Connect_ID(26) = 11432.
 hw_Product_ID(255) = H3C WX5510E
 hw_IP_Host_Addr(60) = 10.170.212.1 3c:2e:f9:98:e0:a9
 hw_Nas_Startup_Timetamp(59) = 1572175584.

%% 2019-11-26 16:49:10.593 ; [LDBG] ; [10388] ; LAN ; 555555 ; 3 ;  ; CDALW5Ys ; Send message attribute list:
Code = 3 ID = 118:
Reply-Message(18) = E63637: The dynamic password cannot be empty.\\提示动态密码不能为空
hw-Connect-Id(26) = 11432\\与上述的code1中ID值要一致且唯一

查看之后发现提示动态密码不能为空的报错，报错信息是E63637，排查可能是iMC侧的认证密码方式选择有误

1、在用户>接入策略管理>接入策略管理>修改接入策略中将查看认证密码方式

将其修改为账号密码

2、现场仅需使用普通portal认证不需要使用动态密码认证，因此修改配置后问题解决。