• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

解决iMC EIA用户上线几分钟之后自动下线的经验案例

2018-01-09 发表
  • -1关注 ,1170浏览
粉丝:1人 关注:0人

某局点用户进行Portal认证,发现认证上来的用户接入时长几乎全部都是2分钟。如下图所示:

用户上线2分钟之后自动下线,重新认证。

复现问题,收集认证过程中的UAM以及portal调试级别的日志,通过日志可以发现日志中记录如下信息:

%% 2018-01-09 11:55:34.203 ; [LDBG] ; [19624] ; radDispatcher ; prsRawPkt: chk-sum 1735778518. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [19624] ; LAN ; prsMixedUsr: in [60:91:F3:0D:D9:E2], out [60:91:F3:0D:D9:E2]. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [19624] ; radEnt ; setPxyType: No domain name. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctMsgProc.exec: begin. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; USR ; chkIfTransparentAuthUsr: [60:91:f3:0d:d9:e2] is allowed to do transparent auth  as user [1876160xxxx]. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctUpd.exec: Begin. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; lanAcctUpd ; getUpdInfoByOnline: usrSrvc[1876160xxxx], nasIp[168427542,], acctSess[000000072018010911443400137c6308100971], usrId[20417], srvcId[20420]. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; c.getUsrSrvcInfoById: begin. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; accSvc ; queryServiceStrategyByID: matching rule(1) with priority 0 under srvc-templ 1. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; c.getUsrSrvcInfoById: end OK. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctUpd.acctSrvcChk: doing chkBlacklist OK. %% 2018-01-09 11:55:34.203 ; [WARN] ; [22192] ; LAN ; UsrSvc.calcUsrSessQuan: user[id:20417] is out of online time limit. //日志记录id为20417的用户超过了在线时间限制 %% 2018-01-09 11:55:34.203 ; [WARN] ; [22192] ; LAN ; lanAcctUpd.acctSrvcChk: fail to call usrSvc.calcUsrSessQuantity. errCode: 63639. %% 2018-01-09 11:55:34.203 ; [ERR] ; [22192] ; LAN ; lanAcctUpd.execCharging: Fail to call acctSrvcCheck. errCode: 63639 %% 2018-01-09 11:55:34.203 ; [ERR] ; [22192] ; LAN ; lanAcctUpd.exec: failed to exec charging, errCode: 63639. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctUpd.exec: End OK. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; accSvc ; matchSvcStragy: matching default rule(1) under srvc-templ 1. %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; Begin replyPrivateAttr, auth step is 3, AttrPolicyId is -1, DeviceTypeId is 1100 %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; 1876160xxxx ; 5 ; 7800f40123cb41e5a66de566d4bb1ecf ; OEaJOEOw ; Send message attribute list: Code = 5 ID = 177 ATTRIBUTES: Session-Timeout(27) = 0   %% 2018-01-09 11:55:34.203 ; [LDBG] ; [22192] ; LAN ; lanAcctMsgProc.exec: End. %% 2018-01-09 11:55:34.462 ; [LDBG] ; [19624] ; LAN ; 44:6E:E5:9B:6C:CE ; 4 ; 3d2dcc50e614464da8a8c4102be110b7 ; Received message from 10.10.0.22: CODE = 4. ID = 178. ATTRIBUTES: User-Name(1) = "44:6E:E5:9B:6C:CE". NAS-Identifier(32) = "JS-NJ-PKQZF.WX5560H". NAS-Port(5) = 16777251. NAS-Port-Type(61) = 19. NAS-Port-Id(87) = "0100000000000035". NAS-IP-Address(4) = 168427542. Framed-Protocol(7) = 255. Calling-Station-Id(31) = "44-6E-E5-9B-6C-CE". Called-Station-Id(30) = "70-3D-15-9A-22-E0:PUKOU-WIFI". Framed-IP-Address(8) = 168455263. Acct-Session-Id(44) = "000000072018010911443400137c6108100971". Acct-Session-Time(46) = 121. Acct-Input-Octets(42) = 1064820. Acct-Output-Octets(43) = 48004107. Acct-Input-Packets(47) = 8405. Acct-Output-Packets(48) = 36455. Acct-Input-Gigawords(52) = 0. Acct-Output-Gigawords(53) = 0. Acct-Terminate-Cause(49) = 5. Class(25) = "BA2jNxnI". hw_IP_Host_Addr(60) = "10.10.108.95 44:6e:e5:9b:6c:ce". Acct-Authentic(45) = 1. H3C_DHCP_Option55(208) = "012103060f1a1c333a3b". Acct-Status-Type(40) = 2. //之后设备发送给iMC服务器的CODE 4报文中就要求结束计费,用户下线。 Acct-Delay-Time(41) = 0. Event-Timestamp(55) = 1515498395. hw_Product_ID(255) = "H3C WX5560H". hw_Nas_Startup_Timetamp(59) = 1514070786.

 

通过日志可以看出为某个地方配置用户在线时间限制导致用户达到时间之后下线。

检查接入策略配置中单次最大在线时长的配置,看到现场接入策略配置的单次最大在线时长为2分钟,此为导致用户上线2分钟之后自动下线的原因,将此数值去掉,采用空配置,用户重新登录问题解决。

 

导致用户上线一段时间之后自动下线的原因可能有如下几方面:

第一方面:iMC侧端口组信息管理里面的心跳间隔和心跳超时设置了时间,因为移动端(手机终端)的浏览器无法记录后台信息,也就是终端无法和iMC的portalserver服务器交互心跳报文,这样就会导致在心跳超时时间之后用户下线。所以在有移动终端的组网环境下,建议端口组信息配置中心跳间隔和心跳超时设置为0,及不进行心跳检测。

第二方面:设备侧domain域下配置了idle-cut的配置。在设备侧对用户在线情况进行检测,如下面的配置:

domain portal
 authorization-attribute idle-cut 29 1024  //检测用户在29分钟之内流量如果小于1024KB的话,设备侧将用户踢下线,同时通知iMC服务器将用户下线。
 authentication portal radius-scheme portal
 authorization portal radius-scheme portal
 accounting portal radius-scheme portal

第三方面:正如此案例中由于误操作在接入策略中配置了单次最大在线时长,此配置常用于微信认证放通临时用户,所以一般不建议配置此选项。

 

注意:排除以上三个原因如还不能定位问题需要收集信息进行分析。信息包括:认证用户名,下线原因和下线时间以及此过程中的UAM和Portal的调试级别日志,收集完信息之后请联系华三工程师进行分析。

收集日志的方法如下:

较新版本登录到系统管理--系统配置--日志配置,设置uam和portlserver进程为debug级别,之后复现问题,复现之后点击旁边的下载进行日志收集。

教老版本需要手动设置UAM和Portal的级别为debug,然后登录到服务器后台收集文件。

UAM日志收集:用户--接入策略管理--业务参数配置--系统配置--UAM运行参数配置,将日志级别设置为调试,然后点击确定生效,之后复现问题。

登录服务器后台,找到iMC安装目录/uam/log文件夹,找到当天日期命名的文件。

Portal日志收集:用户--接入策略管理--Portal服务管理--服务器配置,在基本信息里面将日志级别改为调试级别,然后点击确定生效,之后复现问题。

登录服务器后台,找到iMC安装目录/portal/log文件夹,找到portalserver_当天日期的文件。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作