某局点在做portal认证时,概率性的失败,返回客户端一个login error错误。通过抓包发现AC回给服务器的portal的Type 2报错,Error code :0x01
通过debug发现Type2类型也是 errcode 1:
Portal receive packet length:84
Portal check packet OK
Portal packet head:
Type:3 SN:75 ReqId:40 AttrNum:4 ErrCode:1 UserIP:10.1.1.2
Portal receive packet length:84
Portal check packet OK
Portal packet head:
Type:3 SN:75 ReqId:40 AttrNum:4 ErrCode:1 UserIP:10.1.1.2
Type 1为服务器发送给接入设备的req challenge报文,Type 2为AC 设备对 Portal Server 请求 Challeng 报文的响应报文。
正常的Type2报文类型为:
Portal receive packet length:84
Portal check packet OK
Portal packet head:
Type:3 SN:75 ReqId:40 AttrNum:4 ErrCode:0 UserIP:10.1.1.2
Portal packet attribute list:
[ 1 UserName ] [ 10] [admin]
[ 4 ChapPassWord ] [ 18] [873ece9566c62dc9cef17cedbb09606c]
[ 3 Challenge ] [ 18] [b31239a918f75aaa4010187e56db2dab]
[ 10 BAS-IP ] [ 6] [30.1.1.1]
那么对于errcode的解释如下:
(2)、当 Type 值为 2 时:
ErrCode=0表示 AC 设备告诉 Portal Server 请求 Challenge 成功;
ErrCode=1表示 AC 设备告诉 Portal Server 请求 Challenge 被拒绝;
ErrCode=2表示 AC 设备告诉 Portal Server 此链接已建立;
ErrCode=3表示 AC 设备告诉 Portal Server 有一个用户正在认证过程中,请稍后再试。
ErrCode=4则表示 AC 设备告诉 Portal Server 此用户请求Challenge 失败(发生错误)
由于设备在检测认证客户端的合法性默认是基于arp表检查,而此局点的网关不在AC上,而是在核心交换机,所以某些时候ac获取不到客户端的arp,故Errcode=1拒绝。可以配置成portal host-check wlan,配置检查客户端的合法性基于wlan client 表。client表学习客户端的信息有多个途径,首先是从dhcp snooping,其次从arp-snooping,还有AP主动上报给AC。而dhcp snooping的获取是通过截获dhcp报文,所以只要客户端获取地址就会生成dhcp-snooping。所以client表的学习是比较可靠的。
配置portal的客户端合法性检查是wlan : portal host-check wlan
在设备上开启arp-snooping 和dhcp-snooping ,让wlan client 表从多个路径进行学习,保证认证成功的及时性。
一般配置的网关不在AC上时,需添加命令portal host-check wlan ,并且开启dhcp-snooping和dhcp-snooping,在开启dhcp-snooping的时候,主要要把连接dhcp服务器的端口设置为trust。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作