某局点采用adcampus方案,典型AC-FIT ap组网 ,ap本地转发
某局点adcampus方案开局,配置为典型adcampus配置,但是存在无线终端mac—portal认证无法获取byod地址问题。
(1)adcampus方案中的mac-portal认证逻辑流程如下:
第1步,MAC认证。终端首次上线,首先进行MAC认证,认证完成后,终端将DHCP动态获取Guest VXLAN内的临时用IP地址;
第2步,PORTAL校验。获取Guest VXLAN IP的终端,与PORTAL server服务器能通信。终端浏览器输入任意网址,将被重定向到PORTAL校验界面,在PORTAL校验页面内,输入正确的用户名密码,点击确定后,在认证服务器EIA上完成用户名密码的校验。
第3步,MAC认证。已完成PORTAL校验的终端发送报文,再次触发MAC认证。认证完成后,终端将获取到业务VXLAN的IP地址。
第4步,IP锁定。以上1/2/3步完成后,终端即获取到业务IP地址。
(2)目前现场出问题在第一部,还没有获取到临时地址。那么很可能是首次mac认证出现问题。
现场debug radius认证过程发现ac发送了request报文,但是服务器并没有回复。进一步需要确认为什么没有回复。
(3)在服务器上开启uam debug,debug信息有一条报错:无效的原地址信息,源地址为:1.1.1.1
(4)为什么有这种报错呢,查看服务器配置,发现服务器上设备地址为:2.2.2.2,并不是1.1.1.1。
(5)进一步查看设备配置,发现adcampus下发的标准配置如下:
radius scheme testscheme
primary authentication 3.3.3.3
primary accounting 3,3,3,3
accounting-on enable send 255 interval 15
key authentication cipher ******
key accounting cipher *****
user-name-format without-domain
(6)同时,ac上还存在有其他的radius scheme模板,具体如下:
radius scheme h3c
primary authentication 4.4.4.4
primary accounting 4.4.4.4
key authentication cipher ****
key accounting cipher *****
user-name-format without-domain
nas-ip 1.1.1.1
(7)如果不指定nas-ip的话,设备会默认用到服务器可达的最短路径地址作为nas-ip地址。一般情况下采用adcampus方案的话,设备不会起其他地址,因此默认配置没有下发该nas-ip,该局点比较特殊,同时存在其他3A认证业务,因此出现该问题。
radius scheme 模板下配置nas-ip,问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作