略
在iMC页面进行portal认证登录,输入账户密码之后报“设备拒绝请求”。
1.排查基本的设备侧以及iMC侧配置,着重检查radius nas-ip、portal bas-ip以及密钥问题。
2.收集并查看portalserver 的debug日志。
2019-11-26 16:49:10.579[Portal服务器][调试(0)][24][ProxyResponseDeviceHandler::run]10.170.212.1 ; REQ_AUTH(3) ; 134 ; 169.169.1.200:2000 ; 报文处理成功
Packet Type:REQ_AUTH(3)
SerialNo:134
Address:10.169.187.249
Port:50300
RemoteIp:169.169.1.200
RemotePort:2000
Version:portal 1.0
Auth Type:PAP
ErrorID:0
UserIP:10.170.212.1
UserPort:0
ReqID:0
Rsvd:0
attriNum:2
User Name:555555
Password:***
2019-11-26 16:49:10.596[Portal服务器][调试(0)][21][ProxyRequestHandler::run]10.170.212.1 ; ACK_AUTH(4) ; 134 ; 169.169.1.200:2000 ; 设备拒绝请求(1)
Packet Type:ACK_AUTH(4)
SerialNo:134
Address:10.169.187.249
Port:50908
RemoteIp:169.169.1.200
RemotePort:2000
Version:portal 1.0
Auth Type:PAP
ErrorID:1
UserIP:10.170.212.1
UserPort:0
ReqID:0
Rsvd:0
attriNum:0
发现在设备回应给iMC服务器的ACK_AUTH报文里携带了ErrorID:1的错误值,由于该值的存在,才会导致WEB页面提示“设备拒绝请求”。在ACK_AUTH和REQ_AUTH之间,设备和iMC服务器之间传递的是RADIUS报文,所以此时需要分析UAM调试日志。
3、查看UAM的debug日志。
%% 2019-11-26 16:49:10.582 ; [LDBG] ; [7872] ; LAN ; 555555 ; 1 ; 2f4aa7159418467c815536d88cf0c7e8 ; ; Received message from 169.169.1.200:
CODE = 1 ID = 118.
User-Name(1) = 555555
Password(2) = $$$
NAS-IP-Address(4) = 2846425544.
NAS-Identifier(32) = nbg-wx5510e
NAS-Port(5) = 16789844.
NAS-Port-Id(87) = slot=1;subslot=0;port=3;vlanid=340;
NAS-Port-Type(61) = 19.
Service-Type(6) = 2.
Framed-Protocol(7) = 255.
Calling-Station-Id(31) = 3C-2E-F9-98-E0-A9
Called-Station-Id(30) = 48-7A-DA-19-88-C0:NBZSG-PUBLIC
Acct-Session-Id(44) = 11911261646170c59c2a86
Framed-IP-Address(8) = 178967553.
hw_Connect_ID(26) = 11432.
hw_Product_ID(255) = H3C WX5510E
hw_IP_Host_Addr(60) = 10.170.212.1 3c:2e:f9:98:e0:a9
hw_Nas_Startup_Timetamp(59) = 1572175584.
%% 2019-11-26 16:49:10.593 ; [LDBG] ; [10388] ; LAN ; 555555 ; 3 ; ; CDALW5Ys ; Send message attribute list:
Code = 3 ID = 118:
Reply-Message(18) = E63637: The dynamic password cannot be empty.\\提示动态密码不能为空
hw-Connect-Id(26) = 11432\\与上述的code1中ID值要一致且唯一
查看之后发现提示动态密码不能为空的报错,报错信息是E63637,排查可能是iMC侧的认证密码方式选择有误
1、在用户>接入策略管理>接入策略管理>修改接入策略中将查看认证密码方式
将其修改为账号密码
2、现场仅需使用普通portal认证不需要使用动态密码认证,因此修改配置后问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作