MA5200F强制web认证由于服务器地址配置错误导致的web认证时无响应现象

发布时间:  2012-07-26 浏览次数:  66 下载次数:  1
问题描述
MA5200F下挂用户做强制web认证,在全局下配置 web-auth-server 218.xx.xx.88,在认证前域中配置 web-server  218.xx.xx.88 。测试时发现用户能够打开web认证页面,但输入用户名、密码后认证无响应,用户无法上网。
告警信息
处理过程
由于用户认证时可以强制推出认证页面,说明在认证前域中配置的web服务器218.xx.xx.88 地址无误。但输入用户名、密码后认证无响应,根据debug的portal server 218.xx.xx.69 not config 信息提示来看,应该是在提交用户名、密码进行认证时使用了另一服务器即218.xx.xx.69,故需在全局下添加web-auth-server 218.xx.xx.69。
根因
1、能打开web认证页面,说明到web服务器路由无问题。
2、debugging web packet。发现MA5200F只收到服务器发出的challenge req 报文和logout req报文,并无其他交互报文。
3、根据报文交互情况,判断MA5200F配置存在问题,但检查配置并无异常情况。
4、用于获取认证交互报文信息较少,于是在隐含模式下debugging web all和debugging web-server观察用户认证情况。
5、用户重新认证时,发现存在[Web-Err] Fail to process packet for portal server 218.xx.xx.69 not config 信息提示。
6、与用户确认该IP地址是一台专门用来认证的服务器。
7、再全局下增加web-auth-server 218.xx.xx.69后,测试发现用户输入用户名、密码后能够认证上网。
建议与总结
      一般情况下提供WEB认证页面的服务器和认证服务器是同一台服务器,但有些特殊的情况下这两个服务器是分开的,即一台专门提供页面,另一台专门与BAS交互进行认证,这样在MA5200F系统视图下配置web-auth-server 必须是配置与MA5200F交互的那台服务器的地址。目前中国移动的网络即是这样的情况,在配置的时候需要特别注意。

END