Controller的MAC优先的portal认证,出现外网账号在内网SSID认证成功故障

发布时间:  2015-07-22 浏览次数:  95 下载次数:  0
问题描述

ControllerMAC优先的portal认证,

场景:内网用户和外网用户分别用不同的SSID、不同IP地址段和不同用户账号。

   例如:内网SSIDneiwang           外网SSIDwaiwang

         内网地址段:172.16.0.0/16   外网地址段:10.50.0.0/16

    正常情况下,外网用户账号liuwei02 只能通过waiwang这个SSID上网,获取172.16.0.0地址。内网同理。

故障现象:外网账号可以连接内网SSID获取内网地址上线。

   例如:外网用户账号liuwei02 能通过neiwang这个SSID上网,获取10.50.0.0地址。

告警信息

1、查看“终端IP地址范围”



2、查看“radius在线用户”发现:账号liuwei02为上网用户,但是是用办公网段10.50段地址上来的。是有问题的。


处理过程

1、新建临时上网账号liangxiong,连接waiwang认证成功,上网正常;连接neiwang,认证成功!证明此现象为必然的。

2、抓包,liangxiong连接neiwang时抓包。发现该账号没有带地址上来,导致不能命中授权规则,所以认证成功。


3、添加一条授权规则,禁止内网SSID和外网SSID互访。

4、测试外网账号连接内网SSID提示“认证失败”,问题解决!

根因

由于该账号没有带地址上来,导致不能命中授权规则。

解决方案

添加一条授权规则,禁止内网SSID和外网SSID互访。

建议与总结

END