某局点WX3540H Portal 结合第三方服务器认证失败问题处理经验案例

无

某局点采用WX3540H 做Portal 认证，Portal 服务器和Radius 服务器采用第三方厂家的设备，配置完成之后，测试发现终端能正常弹出Portal 界面，但是输入用户名和密码之后，认证失败，提示设备无响应，收集配置和debug信息查看，通过debug 信息发现第三方服务器发了req_auth 报文给设备，但是设备回应的ack_auth报文中errcode 为1，具体信息：

Aug 15 13:40:58:665 2019 AC PORTAL/7/PACKET:
Portal received 56 bytes of packet: Type=req_auth(3), ErrCode=0, IP=0.0.0.0
*Aug 15 13:40:58:665 2019 AC PORTAL/7/PACKET:
[  1 USERNAME            ] [  6] [1234]
[  2 PASSWORD            ] [ 18] [******]

*Aug 15 13:40:58:666 2019 AC PORTAL/7/PACKET:
02 03 01 00 57 30 00 00 00 00 00 00 00 00 00 02
ad fd d9 2e b4 59 91 d5 39 0f 73 3c e6 41 af 85
01 06 31 32 33 34 02 12 38 64 34 32 31 65 38 39
32 61 34 37 64 66 66 35

*Aug 15 13:40:58:666 2019 AC PORTAL/7/ERROR: Failed to obtain user physical information when create user.UserIP=0.0.0.0
*Aug 15 13:40:58:666 2019 AC PORTAL/7/ERROR: Portal is disabled on the interface.
*Aug 15 13:40:58:667 2019 AC PORTAL/7/PACKET:
Portal sent 38 bytes of packet: Type=ack_auth(4), ErrCode=1, IP=0.0.0.0
*Aug 15 13:40:58:667 2019 AC PORTAL/7/PACKET:
[ 10 BASIP               ] [  6] [10.0.0.5]

查看debug信息，发现虽然第三方服务器给设备发送了req_auth报文，但是报文中携带的用户IP为0.0.0.0，导致设备回应的ack_auth 的errcode 为1，设备也没有发送radius 报文，查看设备配置，测试终端的网关在核心交换机上，同时设备上有对应vlan 虚接口地址，portal 放行了和交换机互联的接口，设备上也把用户的IP地址携带上去了，从配置看，并无发现问题点。

关键配置：

portal free-rule 35 source interface Bridge-Aggregation1

portal web-server portal
 server-detect interval 30 trap
 url-parameter ssid ssid
 url-parameter usermac source-mac
 url-parameter wlanuserip source-address

interface Vlan-interface10
 ip address 192.168.0.20 255.255.255.0

初步怀疑是第三方服务器侧问题，协调第三方服务器工程师排查，对端说我们携带的参数用户IP 有问题，无法识别，需要修改，最终改为url-parameter userip source-address 之后，问题解决，认证成功。