H3C S5130S接入交换机portal认证异常处理方法

问题描述

现场S5130S做二层设备，下连终端做远程portal认证，portal服务器旁挂在S5130S，终端在portal页面输入用户名和密码后提示认证超时

过程分析

首先，检查portal和radius的相关配置是否正确：

①   VLAN下正常启用portal认证，引用了portal web服务器，bas-ip配置正确为vlanif 10的ip；

②   radius scheme也有配置，domain域中引用了AAA认证；

③   portal free-rule有放通服务器的ip；

然后开启debug portal all和debug radius all分析debug回显，发现debug radius all完全没有回显。

根据portal认证流程分析，终端在portal web输入用户名和密码后，portal web服务器会收到终端的认证信息，然后向设备发起认证请求REQ_AUTH的portal报文，其中包含了认证用户名密码等属性，接下来设备收到认证请求后应该向AAA服务器发送一个Radius-AccessRequest报文开始进行AAA认证。

所以在服务器侧抓包分析，发现服务器有回给设备REQ_AUTH的portal报文，但是没有收到设备发出的Radius-AccessRequest报文：

进一步分析收到的REQ_AUTH报文内容，发现报文内返回的USERIP值为全0，导致设备侧认为该报文为无效报文，直接丢弃，没有触发AAA认证。

在portal web服务器视图下添加下面两条命令，使得设备重定向给用户的URL中携带如下参数，然后在portal服务器侧也进行携带参数的调整，此时终端能够正常弹portal页面并认证通过：

url-parameter userip source-address

url-parameter usermac source-mac

解决方法

交换机收到没有携带userip或者userip为全0的portal REQ_AUTH报文时，会判断该报文为无效报文不进行处理，此时需要手动配置url携带userip、usermac等属性。

遇到portal认证异常时的排查思路：

①   明确故障现象，具体是在哪个认证阶段出现异常，然后根据portal认证流程进行排查。

②   检查基础配置，确认portal和AAA相关配置完整没有异常。

③   收集debug portal all和debug radius all信息，查看是否有异常报错。

④   抓包分析报文交互过程，确认具体是哪个报文交互异常。