客户在Comware V7平台防火墙上启用Portal认证,并配置idle-cut时间,希望下连的认证用户离线后执行强制下线操作。
办事处一线工程师了解到问题现象后,经过测试发现时间不准,如设时长为2小时,人(手机终端WiFi接入Portal)都回家了,远程到防火墙设备上看,还要等个三四小时才能下线,有部分的测试帐号还更长。
如果只配置时间,流量阀值缺省为10240bytes,当时间阀值到了时,会去和流量阀值比较,如果此在线用户实际使用的流量超过了流量阀值,那么就不会下线
[YZDC-BA-FW01-isp-gz-portal]di th
#
domain gz-portal
authorization-attribute idle-cut 600 10240
authentication portal radius-scheme gz-portal
authorization portal radius-scheme gz-portal
accounting portal radius-scheme gz-portal
通过下面命令可以查看当前在线用户的信息,其中包括流量统计,比如用户配置时间为2小时,流量统计超过了阀值,就是重新计时,同时有后台进程会对流量也重新进行统计
当用户离开现场后,探测报文不通了,但即使这样设备也不知道终端直实的下线时间,只能以用户上线的时间为起始时间,按周期检查流量是否达到阈值,如果没有达到才会让客户下线
现场反馈的下线时间不准可能是这种情况
此外,需要注意的是,这个协议本身的交互报文也比较多,如果配置的时间较长,应配置流量阀值也大一些,默认这个值,在几小时内光是心跳报文就会超过这个阀值,比如实验室配置600分钟,没有任何流量的情况下,流量阀值就有下面这么多,远远超过10240bytes,因此看到的现象就是一直不下线
Total portal users: 1
Basic:
Current IP address: 1.1.1.2
Original IP address: 1.1.1.2
Username: gz-portal
User ID: 0x1000000b
Access interface: GigabitEthernet2/0/15
Service-VLAN/Customer-VLAN: -/-
MAC address: 0015-e943-8218
Domain name: gz-portal
VPN instance: N/A
Status: Online
设备以客户端上线时间为起始时间,周期性统计流量阈值。请据此合理配置超时时间和流量阈值。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作