controller与AC联动,MAC优先的portal认证无法生效

发布时间:  2015-12-04 浏览次数:  917 下载次数:  0
问题描述

问题描述:

1.版本

agile controller V100R001C00SPC200;

ac6605 V200R005C00SPC600

2.问题现象

    agile controller与AC联动,配置了MAC优先的portal认证的功能无法生效,第一次portal认证弹出页面,输入用户名密码认证成功,断开网络,第二次再次接入还是会弹出portal页面需要输入用户名和密码才能认证成功。

3.现有配置

agile controller上,关于mac优先的portal认证功能已经使能,入口:系统-终端参数配置-全局参数,如下截图:

设备AC6605上关于mac优先的portal认证的命令也已经配置使能,如下:

#

interface Wlan-Ess0 
description ESS-Net 
port hybrid pvid vlan 311 
port hybrid untagged vlan 311 
web-authentication first-mac----已使能mac优先的portal认证的功能

permit-domain name portal 
force-domain name portal 
#

处理过程

处理过程:

1.确认第二次接入网络后,在agile controller上产生的radius日志里核实对应时间点和mac的信息记录显示为授权策略的结果为拒绝接入,如下:

 
2. 进一步核实agile controller上的授权规则的配置,目前匹配到的授权规则是缺省的,核实配置的授权结果是拒绝接入,所以和目前现象吻合,建议测试把缺省的授权规则改为运行接入后,立即mac优先的portal认证测试成功,初步定为授权规则没匹配上导致,按照客户计划的配置,是应该匹配上认证规则RENGZHENG-WLAN1,授权规则匹配上JS-WLAN1,但是目前认证规则和授权规则都没匹配上预计的,配置的JS-WLAN1授权规则如下:




位置信息里的终端ip地址范围是配置的包含测试终端的业务vlan段(192.168.7.0/24),注意到第二次请求mac认证的时候,在radius日志里没有ip地址上来,通过抓包进一步确认,第二次过来的认证信息确实不包含终端ip。

3.联系设备侧确认,得知,第二次做mac认证时是关联报文触动的,所以在认证成功后才会拿到ip地址,所以第二次过去的认证信息里不会有终端的ip,在授权规则里把终端ip地址范围这项认证信息取消后,问题解决,能够成功匹配上自行设置的授权规则。

根因

mac认证是认证成功后才会拿到ip地址,MAC 认证时关联报文触发的,所以认证成功后才会拿到ip,故终端发过去的报文不会携带ip;

而正常的portal认证是先获取到地址,然后通过http报文触发的认证,所以能正确通过服务器上ip地址范围的检验,匹配上授权规则JS-WLAN1, 也就是说,在做了mac优先的

portal认证的场景,不能再controller上启用授权规则里的终端ip地址范围的规则;如果想基于ip来下发不通的授权的话,可以考虑通过位置信息里的ssid来实现,在设备上把

不同的ssid和对应的业务vlan绑定。

解决方案

将agile controller中的授权规则JS-WLAN1里位置信息中的终端ip地址范围取消后,再次测试,成功,问题解决。


END