该局点移动终端连接WIFI为GDZY,接入服务为:***员工无线网络接入服务,缺省策略为:***员工笔记本无线能访问内外网接入策略,策略中认证方式为账号密码+动态密码。正常情况下,用户持移动终端接入该网络,应该匹配的接入场景为:***员工GDZY手持终端(操作系统分组)、***员工GDZY手持终端(终端类型分组)。分别以设备类型(smart phone)、操作系统(Android、IOS)等识别终端,接入策略均是***员工手持终端动态密码只能访问外网接入策略,策略中认证方式为账号密码。
某局点portal认证接入场景匹配不准确,用户移动终端进行Portal认证,部分用户认证失败,提示原因为“动态密码不能为空,请输入动态密码”
分析诊断日志,结合抓包文件并对比同一用户认证成功与认证失败时的后台信息,发现认证失败时,iMC没有正确判断用户的接入场景而使用户进入缺省接入策略导致用户认证失败。
认证失败时,接入设备上传到iMC的Radius报文,缺少了30(SSID)和208(option55,客户端一个属性)号属性,使得iMC无法识别用户SSID和设备类型,故而无法匹配由SSID+设备类型做为判断条件的接入场景。
抓包文件中也记录,即使AC上配置了Portal重定向报文中携带SSID参数,认证时也没有携带该参数。
正常日志如下
现场异常日志如下:
iMC没有正确判断用户的接入场景而使用户进入缺省接入策,日志记录。
Radius报文中缺少两个重要属性,说明做为接入设备的AC无法获取终端SSID信息,很可能是终端连接的AP没有注册到该AC上。通过检查AC配置,发现两台AC做VRRP备份,AP本地转发,开启认证的VLAN接口对外发布虚地址,所有用户认证接口都是主AC的接口。部分AP在主备AC上配置的优先级相同(都是priority level 7),使得这些AP部分注册到备AC,当这些AP关联的用户在主AC进行认证时,主AC就无法从AP中获取用户接入的SSID和终端信息。
部分AP注册到备AC:
AC配置问题导致部分认证报文无法上传用户SSID信息。建议调整配置,将AC2上所有AP配置的优先级调低,使AP都注册到主AC,用户认证也都在主AC进行
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作