portal+MAC-trigger 认证 单日终端上网时长
- 1关注
- 1收藏,72浏览
问题描述:
采用fit AP + AC_WX2550X-LI 组网,AP本地转发,AC旁挂,DHCP在核心交换机。采用云简作为portal的认证。 portal+MAC-trigger 认证方式。没有限制单日终端上网时长。突然出现部分终端登录时未弹出认证界面。而是弹出网页显示“很遗憾,由于您今日上网时长已满,无法继续上网”。实际上portal认证单日上网时长设置为1440(即不限制),同样portal账号终端使用随机MAC重新认证就是正常地。换成设备本身MAC就会出现此故障。查看display portal auth-error-record all,会发现大量Auth error reason : Failed to get physical info by IP. Ignored the new MAC event. 不知道与此故障是否有关?各位高人给指点一下?
组网及组网描述:
该问题原因为设备使用真实MAC地址认证时,该MAC未在MAC白名单中,导致认证失败。而使用随机MAC时能正常认证,说明Portal账号本身无问题。
`display portal auth-error-record all` 中显示大量“Failed to get”错误,通常是由于设备真实MAC未通过MAC认证或不在授权列表中,导致无法获取认证参数。
建议排查:
1. 检查MAC认证配置,确认设备真实MAC是否在MAC白名单或已正确绑定;
2. 若确认无需记录此类失败日志,可在“接入策略-业务参数-系统配置”中关闭“MAC用户接入认证失败日志记录”;
3. 确保Portal配置中 `portal nas-ip`(V7/V9为 `bas-ip`)与Portal服务器上添加的设备IP一致,避免地址不匹配导致认证异常。
综上,请核对MAC白名单及NAS-IP配置。
暂无评论
一、分析错误日志 “Failed to get physical info by IP” 的根源
排查步骤:
- 检查 AC 与核心 DHCP 的 IP-MAC 同步
- 核心交换机作为 DHCP 服务器,需确保其
DHCP Snooping或IP-MAC绑定功能已正确配置,并将 IP-MAC 信息同步给 AC。可在核心上执行display dhcp snooping binding,确认终端 MAC 与 IP 的绑定关系是否正确;在 AC 上执行display arp,检查对应 IP 的 ARP 条目是否存在且正确。 - 若 AC 无对应 ARP 条目,需检查 AC 与核心之间的三层互通(路由、VLAN 透传)是否正常,确保 AC 能收到终端的 ARP 请求 / 响应。
- 核心交换机作为 DHCP 服务器,需确保其
- 验证 AC 的物理信息采集配置
- 由于 AC 旁挂、AP 本地转发,AC 需通过
LLDP或SNMP从接入设备(核心、汇聚)获取终端的物理端口信息。检查 AC 的LLDP配置是否开启,且接入设备的 LLDP 功能也已启用;若使用 SNMP,需确认 AC 与接入设备的 SNMP 社区名、版本匹配。
- 由于 AC 旁挂、AP 本地转发,AC 需通过
二、解决 “时长已满” 的误判问题
排查步骤:
- 确认云简 Portal 的时长配置无遗漏
- 登录云简 Portal 后台,检查 “认证策略 - 时长限制” 配置,确保全局策略和该终端所属的用户组策略均设置为 “单日 1440 分钟(无限制)”,避免局部策略覆盖全局。
- 查看该故障 MAC 的认证记录详情,确认其 “已用时长” 是否被错误统计(如系统误将历史认证时长累计,或未正确重置每日时长)。
- 检查 MAC 触发认证的流程完整性
- 当 AC 因 “无法获取物理信息” 忽略 MAC 事件时,Portal 可能未收到完整的认证请求,导致时长统计状态异常(如认为该 MAC 仍处于 “在线未注销” 状态,时长持续累计)。
- 在 AC 上开启 Portal 调试日志(如
debug portal all),抓取故障 MAC 的认证交互流程,确认 AC 是否将认证请求正确转发给云简 Portal,以及 Portal 的响应是否正常。
三、针对性解决措施
- 修复 IP-MAC 物理信息获取问题
- 若核心与 AC 的 IP-MAC 同步依赖
DHCP Snooping,需确保核心的dhcp snooping enable在终端接入的 VLAN 下全局启用,且dhcp snooping trust接口配置正确(通常是连接 DHCP 服务器的端口)。 - 若 AC 通过 SNMP 获取物理信息,检查 SNMP 配置:
snmp-agent community read {社区名}、snmp-agent sys-info version all,并测试 AC 与核心的 SNMP 连通性(如snmpwalk -v2c -c {社区名} {核心IP} .1.3.6.1.2.1.1)。
- 若核心与 AC 的 IP-MAC 同步依赖
- 重置异常 MAC 的时长统计
- 在云简 Portal 后台,手动 “强制注销” 该故障 MAC 的在线记录,或重置其每日时长统计,观察终端重新认证时是否恢复正常。
- 若问题频繁出现,可临时调整 Portal 的 “时长统计粒度” 为 “按 IP” 而非 “按 MAC”,规避 MAC 绑定的统计异常(需确认云简 Portal 支持该配置)。
- 优化 AC 与 Portal 的对接配置
- 确认 AC 的 Portal 服务器配置中,
portal server {云简地址} key {共享密钥}与云简后台的 “AC 对接密钥” 完全一致。 - 检查 AC 的
portal mac-trigger配置,确保触发规则(如 VLAN、接口)覆盖故障终端的接入场景。
- 确认 AC 的 Portal 服务器配置中,
暂无评论
1. **AC需要什么信息?** AC需要知道一个IP地址背后对应的**MAC地址**,以及这个终端是通过**哪个AP的哪个射频口**接入的。这就是它所谓的“物理信息”。
2. **AC从哪里获取?** 在旁挂本地转发模式下,AC**只能**通过它管理的AP来获取这些信息。AP通过 `client ipv4-snooping arp-learning enable` 命令,监听无线空口中的ARP报文,并将学习到的 `(IP, MAC, AP)` 绑定关系上报给AC。
3. **核心交换机提供不了什么?** 核心交换机的DHCP Snooping绑定表记录的是 `(IP, MAC, 交换机物理端口)`。AC**无法直接读取和利用**这套表项,而且这套表项里也**完全没有“AP”这个关键信息**。
**结论就是:AC处理Portal认证时,根本不会去查询核心交换机的DHCP Snooping表。因此,关闭核心交换机的DHCP Snooping,不会触发您的Portal认证问题。**
这个和别人指点冲突了,不知道听谁的?
凌晨重启了AC 和相关AP,第二天再没有出现弹出“很遗憾,由于您今日上网时长已满,无法继续上网”的界面。终端也都能正常认证上线。但是查看display portal auth-error-record all,依然会发现大量Auth error reason : Failed to get physical info by IP. Ignored the new MAC event. 按照前面大家指点的在核心交换机开启了DHCP snoping ,感觉没啥用,idle-cut时长30分,DHCP的租期是2小时。其它云间服务器参数没法核对。真担心又出现此问题。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论