某局点wx3540h无线控制器配置无线用户portal认证提示“设备拒绝请求”经验案例

现场无线控制器wx3540h节后imc EIA做无线网段的普通portal认证，AC旁挂在核心上，用户的网关在核心交换上，配置完成后，无线客户端能够ping通imc服务器，也能够通过web页面重定向到portal认证页面，但是输入用户名、密码提示设备拒绝请求。

设备拒绝请求截图：

通过上面的问题现象描述，我们先从设备配置、搜集设备的debugging portal以及debugging radius packet进行分析。

设备上部分portal配置

wlan service-template 2
 ssid forclient
 vlan 97
 ft enable
 portal enable method direct
 portal domain portal
 portal bas-ip 10.24.1.203
 portal apply web-server imc
 portal fail-permit web-server
 service-template enable

现象一：设备拒绝认证请求

*Sep 23 15:26:49:122 2017 AC PORTAL/7/PACKET:
Portal received 52 bytes of packet: Type=req_auth(3), ErrCode=0, IP=10.24.99.8
*Sep 23 15:26:49:122 2017 AC PORTAL/7/PACKET:
[  1 USERNAME            ] [  6] [test]
[  2 PASSWORD            ] [  8] [******]
[ 10 BASIP               ] [  6] [10.24.1.203]

*Sep 23 15:26:49:123 2017 AC PORTAL/7/PACKET:
02 03 01 00 01 0c 00 00 0a 18 63 08 00 00 00 03
38 08 f7 62 30 87 0e 3f db 27 05 69 1a 25 fa 37
01 06 74 65 73 74 02 08 31 32 33 34 35 36 0a 06
0a 18 01 cb

*Sep 23 15:26:49:123 2017 AC PORTAL/7/PACKET:
Portal sent 38 bytes of packet: Type=ack_auth(4), ErrCode=1, IP=10.24.99.8 
*Sep 23 15:26:49:123 2017 AC PORTAL/7/PACKET:
[ 10 BASIP               ] [  6] [10.24.1.203]   // AC对Portal Server请求认证报文的响应报文，ErrCode:1表明是认证失败，设备拒绝了认证。

现象二：无任何debug raduis all的信息

通过设备上debug portal信息，发现是设备侧拒绝了用户的认证请求，而在debug raduis又没有任何raduis报文的信息，说明raduis报文并没有在设备侧进行三层解封装，再检查客户的配置，发现AC上无线网段的的vlan 虚接口被shutdown了，导致无法进行raduis报文的解封装，导致设备侧拒绝认证请求。

interface Vlan-interface94
 shutdown
 ip address 10.24.94.254 255.255.255.0
 dhcp select relay
 dhcp relay server-address 10.24.1.206

在无线用户网段所在vlan的虚接口视图下输入undo shutdown

1、v7的控制器无线用户的portal认证可以在服务模板下配置，网关可以配置在核心交换上，但是控制器上也必须要创建无线用户所在vlan的虚接口，否则无法进行raduis报文的解封装，导致设备portal认证拒绝请求。