H3C S5130S-HI 系列交换机下游终端 Portal认证成功无法访问网络资源故障案例

不涉及

H3C S5130S-HI 交换机（版本Release 6113）作为下联终端网关设备，在交换机上部署Portal认证功能，配合IMC，对终端进行入网控制。

    其关键配置如下：

    # 

    interface Vlan-interface200   //终端网关VLAN-interface接口

     ip address x.x.x.x x.x.x.x

     portal enable method direct

     portal domain portal

     portal apply web-server imc

    # 

    portal web-server imc

     url http://x.x.x.x:8080/portal

    # 

    portal server imc

     ip x.x.x.x key cipher xxxx 

    #

    radius scheme imc

     primary authentication x.x.x.x

     primary accounting x.x.x.x

     key authentication cipher xxxx

     key accounting cipher xxxx

     nas-ip x.x.x.x 

    # 

     domain default enable portal 

    # 

    domain portal

     authentication portal radius-scheme imc

     authorization portal radius-scheme imc

     accounting portal radius-scheme imc 

    #

交换机按照上述配置部署后，下联终端，在WEB浏览器中直接访问portal web-server中URL http://x.x.x.x:8080/portal，输入对应用户名/密码后，WEB界面显示终端认证成功。但此时终端无法访问网络资源。

1、 故障时（及终端WEB显示认证成功，但无法访问网络资源时），在S5130S-HI交换机上通过display portal user all 命令，检查相关终端IP地址是否存在于交换机 Portal用户列表中（正常情况下，Portal 认证成功的终端，就会在对应交换机的 display portal user列表中显示）。实际观察结果：S5130S-HI交换机display portal user all 列表信息为空，没有认证PC终端IP地址信息。这样，从交换机的Portal状态信息也确实可证明，终端此时无法访问网络资源。

2、 根据第1点信息，检查交换机Portal配置未发现异常配置，进一步检查交换机ACL资源使用率，发现交换机Usage使用率非常低，不涉及Portal ACL使用率过大，超过设备硬件ACL规格的情况。

  ===============display qos-acl resource=============== 

Interfaces: GE1/0/1 to GE1/0/24, XGE1/0/51 to XGE1/0/52 (slot 1)

---------------------------------------------------------------------

 Type             Total      Reserved   Configured Remaining  Usage

---------------------------------------------------------------------

 TTI ACL          256        0          0          256        0%

 PCL ACL          512        12         3          496        3%

 PCL Counter      656        9          0          647        1%

 IPCL Meter       768        8          0          760        1%

 EPCL Meter       128        0          0          128        0%

3、 根据第2点信息，再进一步检查终端portal认证成功时，交换机底层QACL表项中，是否存在放行相关终端IP的规则。

[H3C] probe

[H3C-probe] debug qacl show acl-resc slot 1 chip 0

……

Acl Hw Resource: Group  0, VTcamId   1, Client IPCL 0

------------------------------------------------------

  Pri  4, usedEntries    4, mode Double

  =========================================

    acl type                   usedEntries[4]

  =========================================

    [35 ]Portal Redirect             2  

    [36 ]Portal Deny                 1  

  ======================================

通过上面的打印信息，观察发现，故障时，设备底层仅下发了[35 ]Portal Redirect重定向和[36 ]Portal Deny（未认证成功用户，禁止访问）规则。

到此为止，确认导致故障的原因：终端认证成功后，交换机底层下发允许Portal用户访问ACL异常失败导致。

4、 结合上述分析，在S5130S-HI交换机上开启debug portal all，让终端再次进行Portal认证，发现交换机提示如下故障信息：

……

%Jan 15 01:40:56:530 2013 portalserver-01 PORTAL/4/RULE: The driver does not support rule assignment.

*Jan 15 01:40:56:530 2013 portalserver-01 PORTAL/7/ERROR:

 The rule is created while setting user rule, set drv flag:1.  //下发Portal规则失败

……

经过研发检查判断，出现上述情况的原因为设备软件版本缺陷导致，需要升级交换机软件版本。

将S5130S-HI交换机升级至R6126P37版本后故障解决，终端Portal认证成功后，可正常访问网络。此时在交换机上display portal user all中可显示终端IP地址信息，同时在S5130S-HI交换机底层能够看到，终端Portal 认证成功后的规则：

[H3C] probe

[H3C-probe] debug qacl show acl-resc slot 1 chip 0

……

Acl Hw Resource: Group  0, VTcamId   1, Client IPCL 0

------------------------------------------------------

  Pri  4, usedEntries    4, mode Double

  =========================================

    acl type                   usedEntries[4]

  =========================================

[35 ]Portal Redirect             2  

[34 ]Portal User                 1  //设备对认证成功用户，下发允许访问网络的底层ACL

    [36 ]Portal Deny                 1  

  ======================================

注意：该案例设计的Portal异常情况，在目前S5130S-HI交换机相关版本说明书中并未提及，后续若遇到类似问题，可将交换机升级到新版本测试观察。