全部
经验案例
典型配置
技术公告
FAQ
漏洞说明

全部
是
否

全部
是
否

大数据引擎
知了引擎

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

高级搜索

问

AC关联外部portal认证服务器，用户端终端认证后5秒后主动掉线

2024-12-27提问

0关注
0收藏，132浏览

琴酒加黄瓜

琴酒加黄瓜零段

粉丝：0人关注：2人

问题描述：

内部网络都通过深信服AC进行认证。后来无线用户未认证前不允许访问内网，所以在无线WAC和深信服行为管理开启portal关联。未认证的用户wac需要给重定向至认证页面，并对认证页面，DHCP等相关服务器开启portal免认证策略。一切正常使用。

后期有一段时间开了一个30段的用户portal免认证，开了两个月，在关这条命令的时候，正在使用30网段用户出现断网，需要重新认证，但是认证5秒后在深信服认证控制器直接下线，并且新连的用户端也是认证几秒就下线，认证会成功，而且也有网，只不过几秒认证在就掉了。

portal free-rule 10 source ip 172.19.30.0 mask 255.255.255.0 destination ip any

去WAC查看日志如下，下线原因为用户主动下线

-UserName=miaoxin-Host=-IPAddr=172.19.30.22-IfName=Vlan-interface30-VlanID=30-MACAddr=3C:21:9C:90:7A:C7-APMAC=9C:E8:95:EF:49:20-SSID=aisidi-NasId=-NasPortId=slot=1;subslot=0;port=1;vlanid=30;; User got online successfully.

-UserName=miaoxin-IPAddr=172.19.30.22-IfName=Vlan-interface30-VlanID=30-MACAddr=3C:21:9C:90:7A:C7-APMAC=9CE8-95EF-4920-SSID=aisidi-NasId=-NasPortId=slot=1;subslot=0;port=1;vlanid=30;-Reason=User Request-InputOctets=64098-OutputOctets=52225-InputGigawords=0-OutputGigawords=0-SessiOnTime=4; User logged off.

去深信服行为管理日志查看如下（和上面日志不是一次的记录，但都显示这个）

组网及组网描述：

AC的无线vlan网关

interface Vlan-interface8

ip address 172.19.30.3 255.255.255.0

portal server office method direct

portal domain office

portal nas-ip 无线WAC自身IP

portal mac-trigger enable

domain office

authentication portal radius-scheme office

authorization portal radius-scheme office

accounting portal none

access-limit disable

state active

idle-cut enable 240 1024

self-service-url disable

portal https-redirect server-policy aaa

web idle-timeout 720

wlan country-code CH

wlan client learn-ipaddr enable

radius scheme office

server-type extended

primary authentication 认证服务器的IP key cipher $c$3$Ksfsdf4sdfsdlLvgA==

user-name-format without-domain

nas-ip 无线WAC的IP

3 个回答

按时间按赞数

已采纳

wxxsxeell

wxxsxeell 四段

粉丝：1人关注：0人

遇到过，改用远程MAC+远程Portal认证就可以了

1、深信服不支持portal mac-trigger 无感知，改用远程MAC+远程Portal认证，深信服也开启无感知认证

https://www.h3c.com/cn/d_202312/1998164_30005_0.htm

2、两边都采用CMCC 1.0对接

portal web-server xxxx

server-type cmcc （不配server-type默认为IMC模式，配CMCC为 CMCC1.0版本）

portal server xxxx

server-type cmcc （不配server-type默认为IMC模式，配CMCC为 CMCC1.0版本）

3、深信服和无线控制器的idle time 配置一致，一般为DHCP 租期的三分之一时间。

无线控制器端：

domain portal

authorization-attribute idle-cut 240 1024

深信服端：

4、深信服下联是核心交换机的话，配好snmp和夸三层MAC识别，深信服需要找核心同步arp表和MAC地址信息，深信服需要读到mac地址，才能判断终端是不是需要免认证上线

回复wxxsxeell:

大佬，派了深信服的人来给我抓包，他们说深信服ac在认证过程中，给wac控制器回了两个REQ_auth报文并且seriano一样，控制器无法识别哪个是正确的req_auth，会认为对端异常，导致报文交互失败，所以会这样，他们说我ac版本太低没有这个补丁包，说等等，问我能不能在wac控制器上做一下相关策略hhh，我去百度看看可以做不

琴酒加黄瓜发表时间：3天前 更多>>

大佬，我们最初配置的时候，听说好像出现过这个问题，后来就是通过你这种方式调整好的，现在我开了那个30段免认证，又关了，就又不行了，我等晚上下班把你说的第三、四步重新配置一遍看看，谢谢大佬，我先去了解一下拓扑，上一任改的之前是。

琴酒加黄瓜发表时间：2024-12-27

回复琴酒加黄瓜:

计费也配上吧，把 accounting portal none 改成 accounting portal radius-scheme office

wxxsxeell 发表时间：2024-12-27

大佬在打扰一下，俺这个问题原理是什么导致的，是不是mac地址冲突导致的？就是你说的这些我发现我这里都配好了，跨三层也识别mac都有，超时时间也有，主要有的行有的不行，是不是就是什么地址冲突了啊？

琴酒加黄瓜发表时间：2024-12-27

回复琴酒加黄瓜:

不行的是什么现象

wxxsxeell 发表时间：5天前

回复wxxsxeell:

现象是，我一旦关了这条命令portal free-rule 10 source ip 172.19.30.0 mask 255.255.255.0 destination ip any。 172.19.30.0段的用户就会认证掉线，用户端提示需要认证，认证也能成功，但是认证五秒就掉线，用户端会提示你还没认证。有个别的人后续登录后反而能一直在线。

琴酒加黄瓜发表时间：4天前

回复wxxsxeell:

有的认证两三遍就好了有的认证好几遍也不行

琴酒加黄瓜发表时间：4天前

回复wxxsxeell:

大佬好了，我昨天把AP都重启了，然后把行为AC的自动注销闲时用户和无线ac控制的闲置下线（idle-cut enable 240 1024）都关了，然后又打开，他就好了，虽然有极个别还需要认证两次，但也就第一次认证时候，剩下的基本全好了

琴酒加黄瓜发表时间：3天前

回复琴酒加黄瓜:

portal free-rule一般是放通访问dns，放通访问无线控制器IP，放通访问深信服IP就行，你这条允许30网段访问所有了，是有问题的

wxxsxeell 发表时间：3天前

回复琴酒加黄瓜:

二次上线是通过识别mac无感知上来的，你可以看看dis mac-authentication connection有没有终端通过mac认证上来的，还有除了配置案例提到的配置命令，其他多余的命令都删掉，避免不知道啥命令影响到