现场无线控制器wx3540h节后imc EIA做无线网段的普通portal认证,AC旁挂在核心上,用户的网关在核心交换上,配置完成后,无线客户端能够ping通imc服务器,也能够通过web页面重定向到portal认证页面,但是输入用户名、密码提示设备拒绝请求。
设备拒绝请求截图:
通过上面的问题现象描述,我们先从设备配置、搜集设备的debugging portal以及debugging radius packet进行分析。
设备上部分portal配置
wlan service-template 2
ssid forclient
vlan 97
ft enable
portal enable method direct
portal domain portal
portal bas-ip 10.24.1.203
portal apply web-server imc
portal fail-permit web-server
service-template enable
现象一:设备拒绝认证请求
*Sep 23 15:26:49:122 2017 AC PORTAL/7/PACKET:
Portal received 52 bytes of packet: Type=req_auth(3), ErrCode=0, IP=10.24.99.8
*Sep 23 15:26:49:122 2017 AC PORTAL/7/PACKET:
[ 1 USERNAME ] [ 6] [test]
[ 2 PASSWORD ] [ 8] [******]
[ 10 BASIP ] [ 6] [10.24.1.203]
*Sep 23 15:26:49:123 2017 AC PORTAL/7/PACKET:
02 03 01 00 01 0c 00 00 0a 18 63 08 00 00 00 03
38 08 f7 62 30 87 0e 3f db 27 05 69 1a 25 fa 37
01 06 74 65 73 74 02 08 31 32 33 34 35 36 0a 06
0a 18 01 cb
*Sep 23 15:26:49:123 2017 AC PORTAL/7/PACKET:
Portal sent 38 bytes of packet: Type=ack_auth(4), ErrCode=1, IP=10.24.99.8
*Sep 23 15:26:49:123 2017 AC PORTAL/7/PACKET:
[ 10 BASIP ] [ 6] [10.24.1.203] // AC对Portal Server请求认证报文的响应报文,ErrCode:1表明是认证失败,设备拒绝了认证。
现象二:无任何debug raduis all的信息
通过设备上debug portal信息,发现是设备侧拒绝了用户的认证请求,而在debug raduis又没有任何raduis报文的信息,说明raduis报文并没有在设备侧进行三层解封装,再检查客户的配置,发现AC上无线网段的的vlan 虚接口被shutdown了,导致无法进行raduis报文的解封装,导致设备侧拒绝认证请求。
interface Vlan-interface94
shutdown
ip address 10.24.94.254 255.255.255.0
dhcp select relay
dhcp relay server-address 10.24.1.206
在无线用户网段所在vlan的虚接口视图下输入undo shutdown
1、v7的控制器无线用户的portal认证可以在服务模板下配置,网关可以配置在核心交换上,但是控制器上也必须要创建无线用户所在vlan的虚接口,否则无法进行raduis报文的解封装,导致设备portal认证拒绝请求。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作