Agile Controller(V100R001C00) 终端用户portal认证不成功

发布时间:  2015-12-08 浏览次数:  560 下载次数:  0
问题描述

某局点项目简化topo图如下:

两台AC6005通过配置VRRP实现双机热备(IP地址分别为10.x.x.2/10.x.x.3,虚地址为10.x.x.4),S5700做核心,下挂5台AP设备。



无线用户通过ap-3接入做portal认证, Portal页面无法正常推出。

处理过程

1、首先检查AC和Controller的连通性,在AC上测试ping Controller,可以ping通;

2、使用test-aaa测试,显示超时,说明故障出现在Radius认证;



3、查看Controller认证记录,发现AC使用了虚地址进行认证;



4、主AC上没有配置指定虚地址为Radius认证的源IP地址;


radius-server authentication x.x.x.x 1812 source ip-address 10.x.x.4 weight 80                                              
radius-server accounting x.x.x.x 1813 source ip-address 10.x.x.4 weight 80


5、同时需要把Controller的设备地址修改为虚地址;



6、修改之后,使用test-aaa测试可以通过,但Portal页面仍然无法推出,无线用户ping Controller无法ping通;


7、通过查看每一跳设备的路由表,最后发现Controller服务器上没有到无线用户的回程路由,添加相应的静态路由;

route add x.x.x.x mask 255.255.255.0 y.y.y.y -p



8、继续测试,发现Portal页面推出后,无法认证通过;

7、排查Controller配置,发现设备的认证参数没有添加需要认证的用户IP地址段;



8、添加后认证用户地址段后,用户可以认证通过。

根因

1、AC上配置radius认证和计费模板,未指定VRRP虚地址做源地址;

2、Controller未使用设备虚IP地址添加认证设备,且未指定认证用户的IP地址段;

3、Controller服务器未添加认证用户IP地址段的静态路由。

解决方案

1、使用VRRP做双机热备时,配置radius 认证和计费模板指定VRRP虚地址做源地址;

2、Controller上添加认证设备时,使用设备虚IP地址添加设备,并指定认证用户的IP地址段,

3、Controller服务器上添加认证用户IP地址段的静态路由。

建议与总结
Controller终端用户portal认证不成功,该问题比较常见,需要逐个排查Controller侧和认证设备侧的配置,找出根因。

END