无
某局点采用WX3540E 无线控制器做短信认证结合迈普服务器对接,但是发现对接失败,portal 界面已正常弹出,也能正常收到短信息,但是输入验证码之后,提示失败,现场还有V7的无线控制器也是和迈普对接,能正常使用。
在设备侧收集debug portal 和抓包分析,打开抓包软件,过滤portal 报文,有两个报文,看到portal server 向AC发送了REQ_AUTH,AC回复了ACK_AUTH里边讲error_code 置1。并没有发送radius 报文。推测REQ_AUTH 报文包含错误原因,打开该报文发现CMCC标准中没有标注的未知的ca属性。但是客户那边使用V7设备的局点,采用相同的方式,能够通过认证,从收集的V7 设备抓包来看,确认未解读ca属性,跳过未知属性的障碍,并正常接收到portal server 发送的AFF_ACK_AUTH。推荐软件可以规避未知属性,拿到必须的属性后进入下一步流程。
进入了radius 报文流程
V7确实跳过解读ca
请求进一步收集DEBUG信息。通过以下命令:
Debug portal packet
debug portal error,
debug portal server ,
debug portal connection,
dis portal server statistics interface Vlan-interface X //测试认证的时候多敲几次,看看统计报文是够有增长
收集到的debug中比起第一次收集的debug,包含了疑似portal认证失败的原因:
PORTAL_DEBUG: No ARP or invalid interface for IP:0xa0701b4
在终端和portal server完成重定向之后,portal server和AC对终端的信息如req_auth中的用户名和密码属性进行交互,同时AC会反查终端合法性,发现AC的ARP表里,终端ARP表项找不到,AC会认为终端已掉线,遂停止正常认证流程
针对AC未学到终端ARP表项:
V5平台:
1.在集中转发情况下分为两种情况通过display wlan client看到接入终端IP地址:
a.终端通过portal认证之后,通过portal表项可以获取终端IP地址;
b.AC上开启arp-snooping enable之后上线的终端,可以通过arp-snooping表项采集到终端IP地址;
2、本地转发情况下,在AC上开启wlan client learn-ipaddr enable后,终端通过DHCP或者静态设备IP地址将在wlan client表项中显示;
V7平台:
在V7平台下,AC默认开启wlan client learn-ip addr enable功能,本地转发或者集中转发模式下都能采集到终端IP地址。因此,终端接入并获取地址之后可以在wlan client表项中看到IP地址。
5、 远程AC全局加入arp-snooping enable,终端认证通过。
本次认证通过收集的Debug:
Portal send to x.x.x.xpacket length:16
Portal packet head:
Type:4 SN:39654 ReqId:0 AttrNum:0 ErrCode:0 UserIP:10.7.3.5
属性:Ack_Auth 0x04 BAS-->server BAS对服务器请求认证报文的响应报文
Portal receive from x.x.x.x packet length:20
Portal check packet OK
Portal packet head:
Type:7 SN:39654 ReqId:0 AttrNum:1 ErrCode:0 UserIP:10.7.3.5
属性:Aff_Ack_Auth
0x07 server-->BAS 服务器收到认证成功响应报文后向BAS发送的确认报文
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作