南通某教育机构用WX3520H做portal认证,配置idle-cut,但终端用户超时下线时间跟配置idle-cut所配置的时间不符。当idle-cut配置的时间为30分钟时,当手机休眠无流量后,IMC平台显示,手机终端在上线后24分钟下线。网络拓扑简图如图一所示:
图一 组网拓扑
检查设备配置:
domain portal
authorization-attribute idle-cut 30 10240000
authorization-attribute user-profile test
authentication portal radius-scheme allpermit
authorization portal radius-scheme allpermit
accounting portal radius-scheme allpermit
设备应该在终端上线30分钟后,检查设备流量,小于10240000字节,则强制终端用户下线,但通过IMC平台观察发现,终端用户在24分钟就下线,原因是“idle-timeout”。
图二、IMC上显示的用户状态
通过在设备上做debug portal all进一步发现,终端用户确实是设备由于idle-timeout强制用户下线:
portal sent 52 bytes of packet: Type=ntf_logout(8), ErrCode=0, IP=10.191.116.1
*Apr 12 15:17:46:145 2017 S5820V2 PORTAL/7/PACKET: -MDC=1;
[ 5 TEXTINFO ] [ 14] [Idle timeout]
[ 10 BASIP ] [ 6] [10.191.116.254]
由于时间与idle-cut配置的下线时间不符,怀疑是设备时间与portal服务器的时间没有同步导致,在进行同步后发现仍然有这种问题存在,排除时间不同步问题。
进一步排查配置发现
interface Vlan-interface240
ip address 10.190.254.254 255.255.255.0
portal enable method direct
portal user-detect type arp
起portal的虚接口配置了portal user-detect type arp,该配置的含义是设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP请求报文。设备定期(interval interval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP表项,重复这个过程,否则,强制其下线。这里的idle time 为缺省180秒。由于手机终端一定时间内就会进入节电模式,节点模式是先关屏,然后一段时间后会关闭网卡的外设芯片。当手机网卡进入休眠状态后,arp探测无法探测到终端用户在线信息,将手机终端强制踢下线。
而这种下线原因在debug中显示也为“idle time-out”。
由于找到问题原因,告知用户删除该配置,问题解决
interface Vlan-interface240
ip address 10.190.254.254 255.255.255.0
portal enable method direct
portal user-detect type arp <----删除
由于portal user-detect 使用户下线的下线原因与idle-cut的下线原因相同,都为idle time-out,所以设备上配置了这两条命令时就需要注意,下联终端由于手机休眠导致user-detect检测不到用户在线,就会将用户踢下线。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作