Agile Controller用户Portal认证成功后注销登录仍能够接入网络

发布时间:  2016-01-24 浏览次数:  340 下载次数:  0
问题描述

Agile Controller与S12708配置用户Portal认证,用户认证成功后注销登录仍能够接入网络。

处理过程

步骤一:

 

连接用户认证登录后注销用户登录测试,查询用户设备侧接入信息。

 

用户认证成功后设备侧用户接入信息:

[12708-1]dis access-user                      
------------------------------------------------------------------------------
UserID Username                IP address       MAC            Status
------------------------------------------------------------------------------
16026  portal                  10.1.12.252      b870-f413-8086 Success        
------------------------------------------------------------------------------
Total: 1, printed: 1
[12708-1]dis access-user ip-address 10.1.12.252

Basic:
  User ID                         : 16026
  User name                       : portal
  Domain-name                     : ahtvu                          
  User MAC                        : b870-f413-8086
  User IP address                 : 10.1.12.252
  User vpn-instance               : -
  User access Interface           : GigabitEthernet1/2/0/24
  User vlan event                 : Success           //显示示用户认证成功
  QinQVlan/UserVlan               : 0/112
  User access time                : 2016/01/20 12:30:55
  User accounting session ID      : 12708-102024000000112677ae1016026
  Option82 information            : -
  User access type                : WEB  
  Terminal Device Type            : Data Terminal 
  Web-server IP address           : 10.1.11.252
  Dynamic ACL number(Effective)   : 3001
  Dynamic service scheme          : ahtvu_PPPoE

AAA:
  User authentication type        : WEB authentication  //显示用户使用WEB认证状态
  Current authentication method   : RADIUS
  Current authorization method    : -
  Current accounting method       : RADIUS



注销后设备侧用户接入信息:
[12708-1]dis access-user
------------------------------------------------------------------------------
UserID Username                IP address       MAC            Status
------------------------------------------------------------------------------
16026  portal                  10.1.12.252      b870-f413-8086 Pre-authen     
------------------------------------------------------------------------------
Total: 1, printed: 1
[12708-1]dis access-user ip-address 10.1.12.252

Basic:
  User ID                         : 16026
  User name                       : portal
  Domain-name                     : -                              
  User MAC                        : b870-f413-8086
  User IP address                 : 10.1.12.252
  User vpn-instance               : -
  User access Interface           : GigabitEthernet1/2/0/24
  User vlan event                 : Pre-authen        //显示用户此时在认证前域
  QinQVlan/UserVlan               : 0/112
  User access time                : 2016/01/20 12:30:55
  Option82 information            : -
  User access type                : None
  Terminal Device Type            : Data Terminal 

AAA:
  User authentication type        : No authentication  //注销登录后设备显示用户侧为未认证状态  Current authentication method   : None
  Current authorization method    : Local
  Current accounting method       : None

 

 

步骤二:

 

用户注销后设备侧已显示用户为未认证状态,此时测试用户仍可以访问所有网络,查询设备侧免认证配置,确认设备侧免认证规则只放行了相关DNS地址。

authentication free-rule 1 destination ip 202.102.192.68 mask 255.255.255.255
authentication free-rule 2 destination ip 211.138.180.2 mask 255.255.255.255

 

 

步骤三:

 

查询用户侧Portal服务模板配置是否正确,以及配置是否生效。

web-auth-server portal_ahtvu
server-ip 10.1.11.252
port 50200
shared-key cipher %@%@D2Ya&~Z=!Q\rptRca#V7U:+z%@%@
url http://10.1.11.252:8080/portal
source-ip 10.1.11.2
server-detect interval 100 max-times 5 critical-num 1 action log
user-sync interval 100 max-times 5

 

[12708-1]display web-auth-server configuration 
  Listening port        : 2000
  Portal                : version 1, version 2
  Include reply message : enabled

-------------------------------------------------------------------------------
  Web-auth-server Name : portal_ahtvu
  IP-address           : 10.1.11.252
  Shared-key           : %@%@D2Ya&~Z=!Q\rptRca#V7U:+z%@%@
  Source-IP            : 10.1.11.2
  Port / PortFlag      : 50200 / NO
  URL                  : http://10.1.11.252:8080/portal
  URL Template         : 
  Redirection          : Enable
  Sync                 : Enable
  Sync Seconds         : 100
  Sync Max-times       : 5
  Detect               : Enable     //WEB模板中使能了Portal服务器探测功能
  Detect Seconds       : 100
  Detect Max-times     : 5
  Detect Critical-num  : 1
  Detect Action        : log 
  Bound Vlanif         : 112, 3211  //显示已在用户接入Vlanif112接口使用Portal认证功能
  VPN Instance         : 
  Bound Interface      : 
  Bound L2 Interface   : 


-------------------------------------------------------------------------------
  1 Web authentication server(s) in total

 

 

步骤四:

 

设备侧配置了Portal服务探测功能,查询设备侧Portal服务器状态是否正常。

[12708-1]display server-detect state
  Web-auth-server     :    portal_ahtvu
  Total-servers       :    1
  Live-servers        :    1
  Critical-num        :    1         //检测UP状态的Portal服务器最小数目
  Status              :    Abnormal  //显示Portal服务器为异常状态
  Ip-address               Status
  10.1.11.252              UP 

 

服务器侧已启用设备与Portal服务器心跳探测功能。



 

确认Agile Controller服务器采用单台服务器SM+SC组网配置,而设备侧配置Portal服务探测参数设置检查UP状态Portal服务器数目为1时,会将启用逃生功能,使用户无需认证也可接入网络。

根因
用户Agile Controller服务器采用单台服务器SM+SC组网,设备侧Portal服务模板配置Portal服务探测功能,检查UP状态Portal服务器数目为1时,启用逃生功能,导致用户无需认证也可接入网络。
解决方案

修改设备侧Portal服务模板不检查UP状态Portal服务器数目后问题解决:

web-auth-server portal_ahtvu
server-ip 10.1.11.252
port 50200
shared-key cipher %@%@D2Ya&~Z=!Q\rptRca#V7U:+z%@%@
url http://10.1.11.252:8080/portal
source-ip 10.1.11.2
server-detect interval 100 max-times 5 action log (critical-num缺省配置为0)
user-sync interval 100 max-times 5

 

建议与总结
设置Portal服务探测功能,如果设置状态为Up的Portal服务器数目小于设置的最小值(critical-num),设备将会做出相应的动作,使管理员能够实时掌握网络中Portal服务器的状态或保证用户一定的网络访问权限。如为单台SC组网可配置critical-num值为缺省值0,如为多台SC组网可设置此参数保证用户在设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障,保证用户接入不受影响。

END