不涉及
H3C S5130S-HI 交换机(版本Release 6113)作为下联终端网关设备,在交换机上部署Portal认证功能,配合IMC,对终端进行入网控制。
其关键配置如下:
#
interface Vlan-interface200 //终端网关VLAN-interface接口
ip address x.x.x.x x.x.x.x
portal enable method direct
portal domain portal
portal apply web-server imc
#
portal web-server imc
url http://x.x.x.x:8080/portal
#
portal server imc
ip x.x.x.x key cipher xxxx
#
radius scheme imc
primary authentication x.x.x.x
primary accounting x.x.x.x
key authentication cipher xxxx
key accounting cipher xxxx
nas-ip x.x.x.x
#
domain default enable portal
#
domain portal
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
交换机按照上述配置部署后,下联终端,在WEB浏览器中直接访问portal web-server中URL http://x.x.x.x:8080/portal,输入对应用户名/密码后,WEB界面显示终端认证成功。但此时终端无法访问网络资源。
1、
2、
===============display qos-acl resource===============
Interfaces: GE1/0/1 to GE1/0/24, XGE1/0/51 to XGE1/0/52 (slot 1)
---------------------------------------------------------------------
Type Total Reserved Configured Remaining Usage
---------------------------------------------------------------------
TTI ACL 256 0 0 256 0%
PCL ACL 512 12 3 496 3%
PCL Counter 656 9 0 647 1%
IPCL Meter 768 8 0 760 1%
EPCL Meter 128 0 0 128 0%
3、
[H3C] probe
[H3C-probe] debug qacl show acl-resc slot 1 chip 0
……
Acl Hw Resource: Group 0, VTcamId 1, Client IPCL 0
------------------------------------------------------
Pri 4, usedEntries 4, mode Double
=========================================
acl type usedEntries[4]
=========================================
[35 ]Portal Redirect 2
[36 ]Portal Deny 1
======================================
通过上面的打印信息,观察发现,故障时,设备底层仅下发了[35 ]Portal Redirect重定向和[36 ]Portal Deny(未认证成功用户,禁止访问)规则。
到此为止,确认导致故障的原因:终端认证成功后,交换机底层下发允许Portal用户访问ACL异常失败导致。
4、
……
%Jan 15 01:40:56:530 2013 portalserver-01 PORTAL/4/RULE: The driver does not support rule assignment.
*Jan 15 01:40:56:530 2013 portalserver-01 PORTAL/7/ERROR:
The rule is created while setting user rule, set drv flag:1. //下发Portal规则失败
……
经过研发检查判断,出现上述情况的原因为设备软件版本缺陷导致,需要升级交换机软件版本。
将S5130S-HI交换机升级至R6126P37版本后故障解决,终端Portal认证成功后,可正常访问网络。此时在交换机上display portal user all中可显示终端IP地址信息,同时在S5130S-HI交换机底层能够看到,终端Portal 认证成功后的规则:
[H3C] probe
[H3C-probe] debug qacl show acl-resc slot 1 chip 0
……
Acl Hw Resource: Group 0, VTcamId 1, Client IPCL 0
------------------------------------------------------
Pri 4, usedEntries 4, mode Double
=========================================
acl type usedEntries[4]
=========================================
[35 ]Portal Redirect 2
[34 ]Portal User 1 //设备对认证成功用户,下发允许访问网络的底层ACL
[36 ]Portal Deny 1
======================================
注意:该案例设计的Portal异常情况,在目前S5130S-HI交换机相关版本说明书中并未提及,后续若遇到类似问题,可将交换机升级到新版本测试观察。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作