客户端使用inode 结合IMC进行portal认证,集中转发
inode客户端做portal认证,需要点两次才能认证成功。
1.从debug上看,终端用inode进行了两次portal认证,而且两次portal认证的流程都是正常的,但是,在第一次认证完成后ac收到了logout请求报文,
*Mar 4 08:42:06:534 2019 WX3540H PORTAL/7/PACKET:
Portal received 44 bytes of packet: Type=req_logout(5), ErrCode=0, IP=192.168.169.93
*Mar 4 08:42:06:534 2019 WX3540H PORTAL/7/PACKET:
[ 10 BASIP ] [ 6] [192.168.254.250]
2.于是,ac将终端踢下线:
*Mar 4 08:42:06:535 2019 WX3540H PORTAL/7/PACKET:
Portal sent 126 bytes of packet: Type=ntf_user_logout(52), ErrCode=0, IP=192.168.169.93
*Mar 4 08:42:06:535 2019 WX3540H PORTAL/7/PACKET:
[ 11 SESSIONID ] [ 8] [6817-29a5-5348]
[ 10 BASIP ] [ 6] [192.168.254.250]
[ 1 USERNAME ] [ 39] [PjxQGRxaaiV8EERkKgglLGQOMa8= tujun]
从portal的下线流程上讲,这种下线是正常的,像这种终端下线有两种情况:
(1)终端主动请求下线,类似于在web界面点击“下线”按钮,Portal kernel
再给接入设备发送用户下线请求(跟我们的现象类似)
(2)服务器侧检测到终端下线,IMC
上终端信息老化,将终端踢下线。
(3)ac检测到终端下线。
接下来,应该排查,到底是谁发送了下线请求,可以查看服务器侧的日志或者抓包分析。
3. 从iNode日志看是服务器识别了新终端要求重新认证。应该是跟之前的终端认为不是一个终端了。可能是mac地址老化了,需要重新学习。
[2019-03-06 07:41:10] [DtlCmn] [1698] SecPkt sndSecMsg: transfer [162] [0]
<data> <i n="notifyType">offline</i>
<i n="notifyReconnect">true</i>
<i n="notifyMessage">新识别或更新了终端信息,正在下线并重新认证以应用新的策略。
</i></data>
4. 问题复现时,查看 ac arp表项和portal表项, 设备上 portal user表项会不会变换 ,说明设备没有问题。
5.检查IMC配置,是否有终端信息老化踢用户下线问题。
经过检查配置发现,IMC在终端第一次完成认证后,校验并更新了终端信息,并将终端踢下线。于是问题便定位了,需要在IMC上将校验终端信息功能关闭。
1、 sa用户登录,执行语句: update [ead].[ead].[TBL_PARAMETER] set value=0 where parameter_name='BYOD_FINGERPRINT_INODE'
2、手工配置生效:用户>接入策略管理>业务参数配置>系统配置手工生效
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作