某局点WX2580X结合ClearPass服务器portal认证失败问题处理经验案例

现场AC型号是WX2580X，版本是R5630，现场的认证方式是 AC结合友商的ClearPass服务器进行portal认证，现场已有其他AC结合相同服务器认证成功。

报错异常为：可以正常弹出输入短信和验证码的页面，但是点击登陆之后要等一会，之后跳转到AC本地的页面报错。

1、  首先检查AC配置，发现与另一台认证成功的AC设备配置基本一样，没有什么问题：

wlan service-template XX-guest

 ssid XX-GUEST

 vlan 20

 user-isolation enable

 portal enable method direct

 portal domain XX-guest

 portal bas-ip 10.Y.Y.3

portal apply web-server XX-guest

service-template enable

#

domain XX-guest

 authorization-attribute idle-cut 120 1

 nas-id XX-GUEST

 authentication portal radius-scheme XX-guest

 authorization portal radius-scheme XX-guest

 accounting portal radius-scheme XX-guest

#

radius scheme XX-guest

 primary authentication 10.X.X 10

 primary accounting 10.X.X.10

 key authentication cipher $c$3$dPpcfNeF8QXbPwA+xm9O2axudOnJZI7RnQ==

 key accounting cipher $c$3$AuWWoJbWwEQ5TikHQPMEsYIr22aZM7oJaw==

 user-name-format without-domain

 nas-ip 10.Y.Y.3

#

portal web-server XX-guest

 url http://10.X.X.10/guest/weblogin.php/32?_browser=1

 server-type cmcc

#

portal server XX-guest

 ip 10.Y.Y.3 key cipher $c$3$vh+7qjCDSOUH1CI2zTfjbb1zh5umvkQiKg==

 server-type cmcc

#

portal local-web-server http

 default-logon-page defaultfile.zip

#

portal local-web-server https

 default-logon-page defaultfile.zip

2、在AP的上行接口进行端口镜像抓包，同时在AC上debug portal all和debug radius all。

Debug显示重定向没有问题，这个和能正常弹出portal页面的现象也能对应上。

抓包显示终端和AC的TCP连接建立失败，也就是说中间网络通信有问题。

抓包分析和debug分析也是一样的，如下为结合ClearPass的认证流程，也就是第5步：终端给AC发的提交账号和密码的https报文没有到AC上，导致后续流程出现异常。

3、之后让现场排查终端和AC的通信问题，发现是中间网络设备做了策略，放开对应的策略之后终端正常认证成功。

中间设备网络策略导致终端无法与AC建立TCP通信，放开对应策略就可以正常认证成功。