由于ME60和web server监听端口不一致导致web认证失败

发布时间:  2014-09-15 浏览次数:  475 下载次数:  0
问题描述
用户采用web认证方式,能够打开页面,但是认证失败,trace看不到ME60和web server的报文交互
告警信息
处理过程
1、trace,看到ME60和客户端的tcp建链和web页面的推送过程,但是看不到和portal服务器之间的报文交互

Aug 19 2013 10:57:31.780.1 XIANDIANZIKEJIDAXUEBEI_ME60 BTRC/7/BTRC_TraceInfo:[objectID=2][slotID=1][PORTAL][user info:
  MAC Address    : 60EB-6902-45E2
  IP Address     : 10.170.72.233
  Interface      : GigabitEthernet1/0/0.1
  PE VLAN ID     : 1001
  CE VLAN ID     : 3101
  Access Mode    : IPoE ]
[trace info:(CID:35)SYN to server received(sp:49602).]

Aug 19 2013 10:57:31.780.2 XIANDIANZIKEJIDAXUEBEI_ME60 BTRC/7/BTRC_TraceInfo:[objectID=2][slotID=1][PORTAL][user info:
  MAC Address    : 60EB-6902-45E2
  IP Address     : 10.170.72.233
  Interface      : GigabitEthernet1/0/0.1
  PE VLAN ID     : 1001
  CE VLAN ID     : 3101
  Access Mode    : IPoE ]
[trace info:(CID:35)SYN-ACK sent to client.]

Aug 19 2013 10:57:31.780.3 XIANDIANZIKEJIDAXUEBEI_ME60 BTRC/7/BTRC_TraceInfo:[objectID=2][slotID=1][PORTAL][user info:
  MAC Address    : 60EB-6902-45E2
  IP Address     : 10.170.72.233
  Interface      : GigabitEthernet1/0/0.1
  PE VLAN ID     : 1001
  CE VLAN ID     : 3101
  Access Mode    : IPoE ]
[trace info:(CID:35)ACK to server received(sp:49602).]

Aug 19 2013 10:57:31.780.4 XIANDIANZIKEJIDAXUEBEI_ME60 BTRC/7/BTRC_TraceInfo:[objectID=2][slotID=1][PORTAL][user info:
  MAC Address    : 60EB-6902-45E2
  IP Address     : 10.170.72.233
  Interface      : GigabitEthernet1/0/0.1
  PE VLAN ID     : 1001
  CE VLAN ID     : 3101
  Access Mode    : IPoE ]
[trace info:(CID:35)HTTP-GET to server received(sp:49602).]

Aug 19 2013 10:57:31.780.5 XIANDIANZIKEJIDAXUEBEI_ME60 BTRC/7/BTRC_TraceInfo:[objectID=2][slotID=1][PORTAL][user info:
  MAC Address    : 60EB-6902-45E2
  IP Address     : 10.170.72.233
  Interface      : GigabitEthernet1/0/0.1
  PE VLAN ID     : 1001
  CE VLAN ID     : 3101
  Access Mode    : IPoE ]
[trace info:(CID:35)HTTP REDIRECTION(with FIN) sent to client.]

Aug 19 2013 10:57:31.780.6 XIANDIANZIKEJIDAXUEBEI_ME60 BTRC/7/BTRC_TraceInfo:[objectID=2][slotID=1][PORTAL][user info:
  MAC Address    : 60EB-6902-45E2
  IP Address     : 10.170.72.233
  Interface      : GigabitEthernet1/0/0.1
  PE VLAN ID     : 1001
  CE VLAN ID     : 3101
  Access Mode    : IPoE ]
[trace info:(CID:35)ACK for FIN to server received(sp:49602).]

Aug 19 2013 10:57:31.780.7 XIANDIANZIKEJIDAXUEBEI_ME60 BTRC/7/BTRC_TraceInfo:[objectID=2][slotID=1][PORTAL][user info:
  MAC Address    : 60EB-6902-45E2
  IP Address     : 10.170.72.233
  Interface      : GigabitEthernet1/0/0.1
  PE VLAN ID     : 1001
  CE VLAN ID     : 3101
  Access Mode    : IPoE ]
[trace info:(CID:35)FIN to server received(sp:49602).]

Aug 19 2013 10:57:31.780.8 XIANDIANZIKEJIDAXUEBEI_ME60 BTRC/7/BTRC_TraceInfo:[objectID=2][slotID=1][PORTAL][user info:
  MAC Address    : 60EB-6902-45E2
  IP Address     : 10.170.72.233
  Interface      : GigabitEthernet1/0/0.1
  PE VLAN ID     : 1001
  CE VLAN ID     : 3101
  Access Mode    : IPoE ]
[trace info:(CID:35)ACK for FIN sent to client.]
2、查看web server状态,发现状态是down,说明ME60和portal server通信失败
<ME60>display web-auth-server configuration
  Source interface      : LoopBack100
  Listening port        : 2000
  Portal                : version 1, version 2
  Include reply message : enabled
  ------------------------------------------------------------------------------
  Server           State  Shared-key         Port  PortFlag   NAS-IP  DetectTime
  Vpn-instance
  ------------------------------------------------------------------------------
  211.137.185.106  DOWN   -                 50100  NO         NO        0   
  -                             
  ------------------------------------------------------------------------------
  1 Web authentication server(s) in total
3、检查ME60和portal server参数是否一致,发现ME60监听端口是50100,portal服务器是2000,通过如下命令更改后正常
web-auth-server 10.255.44.1 port 2000 key simple *****
根因
页面能够推送成功,说明连通性没有问题,其他业务正常排出环路可能,分析有如下三种可能:
1、web server没有发送authentication request报文
2、由于中间设备丢弃导致me60没有收到authentication request报文
3、设备问题,收到没有处理
4、me60和web server参数不一致导致通信失败
建议与总结
如果推送页面成功,display web-auth-server configuration状态down,说明和web server通信失败,但是页面推送成功说明路由没有问题,建议检查两边参数是否一致,主要是发送报文的源地址和监听端口

END