通过配置TSM心跳会话超时时间解决portal认证用户VPN接入需求

发布时间:  2013-12-28 浏览次数:  929 下载次数:  6
问题描述
1、 网络拓扑如下:


2、网络配置说明:
无线用户包括普通员工用户和访客guest用户,员工采取无线802.1x认证,访客guest用户采用portal认证,WLAN AC采用外置portal认证,TSM上采取非同步按OU方式过滤添加认证数据源。Portal用户网关位于AC上:
3、故障现象说明:
Guest用户可以成功通过认证后正常访问internet,但部分用户隔10分钟便会掉线,需要重新认证接入。
告警信息
guest用户掉线后,页面会提示 connection timeout。
处理过程
1、 客户提出了使用vpn同时不对路由做改动的需求,通过配置TSM心跳会话超时时间解决portal认证用户VPN接入需求,会话超时时间为服务器最大的没有收到心跳报文的时间,通过修改此时间来延长,portal用户VPN可在线的时长;
2、将会话超时时间改长,对于接入VPN的用户,会存在以下问题:
A. 客户端认证通过后,接入VPN的用户将无法在认证页面使用logou功能,即客户端无法实现主动下线功能,只能等待服务器会话超时时间到期,强制用户下线。
B. 如果将会话超时时间改长,会导致license浪费问题,因为可能客户在超时时长内不使用网络,但是由于无法主动下线,只能等待服务器下线,释放license。
根因
1、排查guest用户掉线时的接入应用场景,发现掉线用户都有VPN接入应用,尝试不使用VPN,用户没有掉线情况出现;
2、用户通过portal认证,使用iAccess等VPN终端接入VPN网络后,使用用户PC ping TSM服务器,无法ping通。
3、由于TSM需要通过心跳报文来与portal用户终端保持互通,检测用户在线状态,当检测不到用户在线时,在默认间隔时间10分钟会将用户强制下线。portal用户接入VPN后,普通数据报文会被封装SSL或者IPsec报文,那么就无法与TSM之间通讯。造成VPN用户频繁掉线。
建议与总结
在出现了portal认证用户接入VPN后导致TSM路由不可达,且客户不接受修改终端路由,可以通过配置TSM心跳会话超时时间实现portal认证用户VPN接入需求,但需要综合考虑license数量、客户无线用户接入总数量、portal用户数量等综合因素,建议配置会话超时时间不要超过2小时,同时,会话心跳改为24分钟左右,具体参考以下配置:

END