路由器产品AR511portal认证失败

发布时间:  2014-11-04 浏览次数:  198 下载次数:  0
问题描述
客户端通过web进行认证时,页面可以实现跳转,但是输入用户名与密码后,认证失败。
告警信息
认证页面提示认证失败。
处理过程
1、基于现场抓取的报文分析,是由于客户授权属性时,服务器发的radius accept包含如下属性(只授权了IP 地址掩码,未授权IP地址):

2、今天基于现场配置及授权信息复现,打印AAA debug,查看到设备收到该授权信息会检查IP地址的合法性,IP地址不合法则返回认证失败,检查信息如下:
2014 03:51:21.199.3+00:00 Huawei AAA/7/DEBUG:
[AAA ERROR]The corresponding ip is invalid or not configured.
3、查询企业网属性说明,Framed-IP-Netmask该属性必须和Framed-IP-Address属性一起使用,

并且该属性也只有AR支持,则AR会有该检查,交换机不支持该属性就不会检查,用户则会认证成功。
并咨询开发,该属性是只有AR支持,已确认。
4、并尝试不授权该属性,用户是可以上线成功

解决方案
1.将用户所用的是OSSH portal认证服务器,对AR511返回的授权信息中的Framed-IP-Netmask与Framed-IP-Address属性进行不授权。
2.用户访问web后,输入用户名与密码,认证成功。
建议与总结
AR路由设备与第三方portal服务器进行认证的时候,如果发现认证不通过,请进行抓包分析,分析服务器返回报文的属性与AR设备是否支持。

END