S12700 mac地址格式不一致导致mac优先的portal认证失败

发布时间:  2015-10-04 浏览次数:  326 下载次数:  0
问题描述

S12708X1E单板做无线AC,发现mac地址优先的portal认证不生效,具体现象如下:

       1. 终端第一次登陆,输入账户密码登陆成功,portal服务器记录终端的mac

2. 终端第二次登陆的时候,应该优先使用已经记录的mac地址来认证 ,但是发现还是在推送portal页面,要求输入账户密码。

告警信息
处理过程

1、查看相应mac优先的portal认证(混合认证)无误

#

interface Vlanif3954

description to_lutaishuyuan_huiyiting_linshi

ip address 192.168.19.254 255.255.255.0

web-auth-server SDKJ direct

authentication mac-authen portal //macportal认证

dhcp select global

#

web-auth-server SDKJ

 server-ip 172.254.254.38

 port 2000

 shared-key cipher %@%@@G4lXHHDO)ja@kCh[XR6Ucq]%@%@

 url http://172.254.254.38/a70.htm

#

       2、debug 相应模块查看

       Debug radius all/debug aaa all/debug cm

AAA send AAA_RD_MSG_AUTHENREQ message to RADIUS module.

[BTRACE][2015/09/16 15:14:43][AAA][d022-be9d-6359]:

    CID:856  TemplateNo:0

    PriyServer::: Vrf:0

    SendServer::: Vrf:0

    AccessType:mac AuthenMethod:PAP

    UserName:d022be9d6359 Password:***

    Slot:0 SubSlot:0 Port:0 Vlan:3954 Interface:706

    CID:78656 AcctSessionId:S1270800000000003954c6819b078656

    PortType:19 ServiceType:2 FramedProtocol:1 FramedIP:255.255.255.255

    EapLength:0 StartupTimeStamp:1434012466 LoginIP:255.255.255.255

    IPHostAddr:255.255.255.255 d0:22:be:9d:63:59

    ProductID:S12700 szVersion:Huawei S12700

    SecurityStr:

[BTRACE][2015/09/16 15:14:43][RADIUS][d022-be9d-6359]:Receive authentication request message from AAA module.

[BTRACE][2015/09/16 15:14:43][RADIUS][d022-be9d-6359]:

  Send a authentication request packet to radius server( server ip = 172.254.254.38).

[BTRACE][2015/09/16 15:14:43][RADIUS][d022-be9d-6359]:

  Server Template: 0

  Server IP   : 172.254.254.38

  Protocol: Standard

  Code    : 1

  Len     : 285

  ID      : 26

  [User-Name                          ] [14] [d022be9d6359]

  [User-Password                      ] [18] [8a 7f ab bf 99 3a 8b b4 d1 b0 8b de 7b f6 9b 2d ]

  [NAS-Port                           ] [6 ] [3954]

  [Service-Type                       ] [6 ] [2]

  [Framed-Protocol                    ] [6 ] [1]

  [Calling-Station-Id                 ] [16] [64 30 32 32 2D 62 65 39 64 2D 36 33 35 39 ]

  [NAS-Identifier                     ] [8 ] [S12708]

  [NAS-Port-Type                      ] [6 ] [19]

  [NAS-Port-Id                        ] [37] [slot=0;subslot=0;port=0;vlanid=3954]

  [Called-Station-Id                  ] [10] [SDKJ_LAB]

  [NAS-IP-Address                     ] [6 ] [172.254.254.37]

  [Acct-Session-Id                    ] [34] [S1270800000000003954c6819b078656]

  [HW-NAS-Startup-Time-Stamp          ] [6 ] [1434012466]

[BTRACE][2015/09/16 15:14:43][RADIUS][d022-be9d-6359]:

  [HW-IP-Host-Address                 ] [35] [255.255.255.255 d0:22:be:9d:63:59]

  [HW-Connect-ID                      ] [6 ] [78656]

  [HW-Version                         ] [15] [Huawei S12700]

  [HW-Product-ID                      ] [8 ] [S12700]

  [HW-AP-Information                  ] [16] [E097-9651-3080]

  [HW-Access-Type                     ] [6 ] [2]

[BTRACE][2015/09/16 15:14:43][RADIUS][d022-be9d-6359]:

Received a authentication reject packet from radius server(server ip = 172.254.254.38). //radius服务器拒绝

[BTRACE][2015/09/16 15:14:43][RADIUS][d022-be9d-6359]:

  Server Template: 0

  Server IP   : 172.254.254.38

  Server Port : 1812

  Protocol: Standard

  Code    : 3

  Len     : 35

  ID      : 26

  [Reply-Message                      ] [15] [userid error1]

3、经检查portal服务器发送的mac地址不带-,而portal服务器识别的mac地址账号默认需要带-。设置portal服务器上mac地址不带- 解决。

根因
mac地址上报的格式与portal服务器设置不一致,导致认证无法通过。
解决方案
设置portal服务器上mac地址不带- 解决。
建议与总结

对于mac优先的portal认证,需要对流程熟悉,正常的流程如下:

1.  用户首先触发使用MAC地址作为账号进行Portal认证;

2.  MAC地址认证不通过的情况下,Portal服务器推出认证页面,用户输入portal账号和密码再次进行Portal认证;

3.  portal服务器记录用户的mac地址,再次进行认证时触发mac认证通过认证。

END