portal认证失败，portal的Tpye2异常

某局点在做portal认证时，概率性的失败，返回客户端一个login error错误。通过抓包发现AC回给服务器的portal的Type 2报错，Error code ：0x01

通过debug发现Type2类型也是 errcode 1：

Portal receive packet length:84

  Portal check packet OK

  Portal packet head:

   Type:3   SN:75   ReqId:40   AttrNum:4  ErrCode:1  UserIP:10.1.1.2

而正常的type 2的 errcode 值为0

Portal receive packet length:84

  Portal check packet OK

  Portal packet head:

   Type:3   SN:75   ReqId:40   AttrNum:4  ErrCode:1  UserIP:10.1.1.2

Type 1为服务器发送给接入设备的req challenge报文，Type 2为AC 设备对 Portal Server 请求 Challeng 报文的响应报文。

正常的Type2报文类型为：

Portal receive packet length:84

  Portal check packet OK

  Portal packet head:

   Type:3   SN:75   ReqId:40   AttrNum:4  ErrCode:0  UserIP:10.1.1.2

  Portal packet attribute list:

   [  1 UserName            ] [ 10] [admin]

   [  4 ChapPassWord        ] [ 18] [873ece9566c62dc9cef17cedbb09606c]

   [  3 Challenge           ] [ 18] [b31239a918f75aaa4010187e56db2dab]

   [ 10 BAS-IP              ] [  6] [30.1.1.1]

那么对于errcode的解释如下：

(2)、当 Type 值为 2 时：
ErrCode=0表示 AC 设备告诉 Portal Server 请求 Challenge 成功；
ErrCode=1表示 AC 设备告诉 Portal Server 请求 Challenge 被拒绝；
ErrCode=2表示 AC 设备告诉 Portal Server 此链接已建立；
ErrCode=3表示 AC 设备告诉 Portal Server 有一个用户正在认证过程中，请稍后再试。
ErrCode=4则表示 AC 设备告诉 Portal Server 此用户请求Challenge 失败（发生错误）

由于设备在检测认证客户端的合法性默认是基于arp表检查，而此局点的网关不在AC上，而是在核心交换机，所以某些时候ac获取不到客户端的arp，故Errcode=1拒绝。可以配置成portal host-check wlan，配置检查客户端的合法性基于wlan client 表。client表学习客户端的信息有多个途径，首先是从dhcp snooping，其次从arp-snooping，还有AP主动上报给AC。而dhcp snooping的获取是通过截获dhcp报文，所以只要客户端获取地址就会生成dhcp-snooping。所以client表的学习是比较可靠的。

配置portal的客户端合法性检查是wlan ： portal host-check wlan

在设备上开启arp-snooping 和dhcp-snooping ，让wlan client 表从多个路径进行学习，保证认证成功的及时性。

一般配置的网关不在AC上时，需添加命令portal host-check wlan ，并且开启dhcp-snooping和dhcp-snooping，在开启dhcp-snooping的时候，主要要把连接dhcp服务器的端口设置为trust。