当在AC上配置Portal服务器逃生之后,能进行逃生,但当服务器恢复之后,不能恢复正常的Portal认证了。
查看当前AC的配置,Portal server有两条,portal2在gs-portal的Portal server之上,如下所示:
portal server portal2 ip 172.17.0.100 key simple h3c url http://172.17.0.100:8080/portal server-type imc
portal server gs-portal ip 172.17.0.100 key simple h3c url http://172.17.0.100:8080/portal server-type imc
设备上配置的Portal服务器逃生的命令如下所示,是基于gs-portal命令的Portal做Portal逃生的
portal server gs-portal server-detect method portal-heartbeat action permit-all interval 40 retry 2
解释:当Portal服务器发送过来的心跳报文在2次的40S之内没有收到的话,那么Portal服务器就会置为down的状态,并让所有客户端免认证通过,当AC收到心跳报文或者服务器发送过来的Portal用户的上线、下线报文之后,立马恢复Portal认证的功能。
通过在设备上debug portal server查看,服务器已经发送了Portal的心跳报文,但也提示心跳超时的信息如下:
Portal receive from 172.17.0.100 packet length:32
Portal check packet OK
Portal packet head:
Type:15 SN:0 ReqId:0 AttrNum:0 ErrCode:0 UserIP:0.0.0.0
Portal packet attribute list:
NULL
Portal raw packet:
02 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00
3c c6 be 7c e7 24 ce 9a 1a bd 21 af c6 f7 b4 62
*Jan 13 21:33:54:897 2017 H3C_6108 PORTAL/7/PORTAL_DEBUG: Server detect(gs-portal) failed for 2 times.
*Jan 13 21:33:54:898 2017 H3C_6108 PORTAL/7/PORTAL_DEBUG: Server gs-portal wait heart-beat packet.
看Portal报文也没有报错,但就是心跳超时了,就感觉好像AC收到了心跳报文,但不进行处理似的,最后将Portal server portal2删掉,gs-portal服务器逃生成功,既能进行Portal逃生,当服务器恢复的时候,又能恢复Portal业务。
原理分析:
当配置Portal服务器逃生功能时,如果AC上配置了两条指向相同服务器,且密码一样的Portal server条目,从服务器发送过来的Portal心跳报文,匹配的是display cu的显示的第一条Portal server(匹配IP地址和秘钥),所以第二条及下面的Portal server配置Portal服务器逃生功能之后不生效。
1、删掉display cu显示的第一条Portal server,可以实现Portal server的逃生功能。
2、将Portal逃生的配置进行更改,把gs-portal的逃生更改为display cu显示的第一条Portal server的逃生,也就是portal2的逃生。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作