ADcampus五期B02标准方案
Mac-portal认证方式终端无法正常获取到byod地址
Mac-portal认证是两次MAC地址认证,它的原理是:终端第一次接入网络时,进行MAC地址认证, EIA将终端的MAC关联BYOD匿名账号让终端认证成功,然后获取Guest VXLAN里面的IP地址,之后弹出的portal页面输入账号和密码,EIA根据输入的账号和密码重新关联该MAC,然后踢用户下线,用户下线后再重新访问的时候,根据已关联的MAC进行第二次MAC认证,认证成功后通过DHCP分配业务网段IP。 根据该原理,要获取BYOD网段之前,需要进行第一次MAC地址认证,只有第一次MAC地址认证成功后,才能获取BYOD网段IP。所以需要通过display mac-authentication connection user-mac查看该终端MAC认证信息,看是否认证成功。无法获取Byod地址需要判断第一次MAC认证失败的原因:
(1)由于认证点在leaf上面,首先确定leaf与控制器SNA、EIA是否地址可达,在leaf交换机上带vpn-instance vpn-default去Ping控制器和EIA地址。
(2)然后通过在leaf上debug确定认证不通过的原因,使用命令:debug mac-authentication all ,debug radius packet,t d , t m排查原因。
本案例中leaf与认证服务器EIA和控制器SNA地址可达,查看debug日志显示AAA认证服务器没有回复,第一次mac认证没有通过,返回代码code4,确认原因为控制器上Leaf设备组策略没有配置AAA认证导致。
最后在控制器修改leaf设备组策略增加AAA认证后,第一次Mac认证通过,终端能正常获取byod地址。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作