USG6550与controller做单点登录认证失败

发布时间:  2014-12-16 浏览次数:  637 下载次数:  0
问题描述
Agile Controller  V100R001C00SPC200
USG6550          V100R001C20SPC200

USG6550与 Controller  做单点登录认证。认证策略不生效,认证用户不通过认证可以直接上网。认证页面也不推送  
告警信息
处理过程

检查USG 端用户配置及 认证策略的配置,都没问题。controller 端也都正常。仔细排障发现
1 、设备上配置了敏捷网络,导致设备认证部分全部托管给敏捷网络了,但是敏捷网络又没对应配置,所以导致设备侧的认证没了;
2、controler 侧端口配置错误;
防火墙开了一个端口 8001,controler 开了一个端口 8084 (能同步成功不代表端口配置正确)也就是说要在controller端添加上网行为管理设备的时候防火墙的端口要写上8001.  在防火墙端添加TSM服务器时 端口要写上8084


在此步骤之后认证界面能弹出来,但认证不通过,会一直停留在controller 的认证界面上,无法进行上网。
3、controler 侧好像有个已知问题,加密方式不能使用 aes-128,改成 3des 就好了;
之前在两端互相添加设备时一直用AES128的加密方式,能同步成功。就没考虑到这一点。最 后换成3DES加密,在认证界面弹出来进行认证之后可以正常上网。问题解决。










根因
原因一:USG6550 上配置了敏捷网络,
原因二:controler 侧端口配置错误,防火墙添加controler 时端口应为8084.   controler 侧添加防火墙时端口应为8001
原因三:controler 和防火墙进行单点登录同步时加密方式暂不能使用 aes-128,改成 3des 就好了
解决方案
1敏捷网络功能关闭
2.两端端口的更改
3两端加密模式的更改  
建议与总结
做认证的时候不要轻易开始敏捷网络、端口和加密模式要匹配正确。

END