S127 由于组网原因导致portal认证通过 但不能访问外网

发布时间:  2014-12-01 浏览次数:  178 下载次数:  0
问题描述
2台S12708做VRRP,并联动Policy center做Portal认证。无论输入IP还是网址都可弹出web认证页面,且能认证成功(test-aaa也是OK的),交换机和policy center上都均看到该用户上线,且acl为允许所有,但无法访问外网。同样的结构,同样的设备,如果取消认证,则可正常上网。
拓扑如下:
图中A、B均为S12708,A、B间多个互连端口配置eth-trunk1,类型trunk,允许所有vlan通过,VLANIF 3001下配置三层portal认证。
处理过程
1、VLANIF 3001下配置三层portal认证,PC机可以认证通过,设备A ping PC机不通;
配置:


PC认证通过:




A ping PC 不通:


2、删除vlanif 3001下的portal认证配置,设备A ping PC可以通;


A ping PC:


3、规避方案:A设备与B设备之间的eth-trunk1退出vlan3001,A、B设备之间配置静态路由,通过vlanif100三层互联:








PC认证成功:




A设备ping PC可以通:


PC ping网络侧服务器可以通:
根因
组网原因。
icmp 报文在12708-B入口时VLAN为3001,由于在12708-B上VLANIF 3001配置了potral认证,此时从上行口(未认证端口)进来的报文会被丢弃,即icmp 报文会被丢弃。
解决方案
A设备与B设备之间的eth-trunk1退出vlan3001,A、B设备之间配置静态路由,通过其他vlanif三层互联。
建议与总结
建议组网时先做周密规划,尽量避免此类由于组网问题引发故障。

END