联系人: 刘经理
手机: 15378180513
电话: 028-83252151
邮箱: liutao@cdh3c.com
地址: 成都市武候区人民南路4段53号嘉云台丙栋7楼
H3C S5130S接入交换机portal认证异常处理方法
问题描述
现场S5130S做二层设备,下连终端做远程portal认证,portal服务器旁挂在S5130S,终端在portal页面输入用户名和密码后提示认证超时
过程分析
首先,检查portal和radius的相关配置是否正确:
①
②
③
然后开启debug portal all和debug radius all分析debug回显,发现debug radius all完全没有回显。
根据portal认证流程分析,终端在portal web输入用户名和密码后,portal web服务器会收到终端的认证信息,然后向设备发起认证请求REQ_AUTH的portal报文,其中包含了认证用户名密码等属性,接下来设备收到认证请求后应该向AAA服务器发送一个Radius-AccessRequest报文开始进行AAA认证。
所以在服务器侧抓包分析,发现服务器有回给设备REQ_AUTH的portal报文,但是没有收到设备发出的Radius-AccessRequest报文:
进一步分析收到的REQ_AUTH报文内容,发现报文内返回的USERIP值为全0,导致设备侧认为该报文为无效报文,直接丢弃,没有触发AAA认证。
在portal web服务器视图下添加下面两条命令,使得设备重定向给用户的URL中携带如下参数,然后在portal服务器侧也进行携带参数的调整,此时终端能够正常弹portal页面并认证通过:
url-parameter userip source-address
url-parameter usermac source-mac
解决方法
交换机收到没有携带userip或者userip为全0的portal REQ_AUTH报文时,会判断该报文为无效报文不进行处理,此时需要手动配置url携带userip、usermac等属性。
遇到portal认证异常时的排查思路:
①
②
③
④
-
2023-10-31H3C MSR V7、SR66 V7 堆叠场景配置nat注意事项
-
2023-06-23H3C UniServer R6900 G5服务器功能特性及产品规格详细说明
-
2023-06-23H3C UniServer R6700 G3服务器功能特性及产品规格详细说明
-
2023-12-25H3C路由器40/254的guard路由是什么?
-
2023-05-17局点拆除堆叠升级过程中IPV6地址冲突典型案例
-
2023-12-25H3C交换机 S6520X-30QC-EI ptp状态无法锁定
-
华三S6520X-30HF-HI交换机 LS-6520X-30HF-HI(L3以太网交换机主机,支持24个SFP Plus端口,6个QSFP28端口),万兆交换机
-
H3C S5120V3-28P-LI系列网管接入交换机
-
华三LS-1208V交换机(H3C S1208V 以太网交换机主机,支持8个10/100/1000BASE-T电口,直流供电)
-
H3C LS-5016PV5-EI交换机 S5016PV5-EI(L2以太网交换机主机,支持16个10/100/1000BASE-T电口,支持4个1000BASE-X SFP端口,支持AC)
-
H3C S5008PV5-EI-HPWR交换机 LS-5008PV5-EI-HPWR(L2以太网交换机主机,支持8个10/100/1000BASE-T PoE+电口,支持2个100/1000BASE-X SFP端口,支持AC)
-
H3C S5120V3-20P-LI系列网管接入交换机