S12700 VRRP组网配置无线业务Portal认证不成功

发布时间:  2016-01-24 浏览次数:  236 下载次数:  0
问题描述

S12700 VRRP组网配置无线业务Portal认证不成功。

组网拓扑:

说明:上层核心CE12812堆叠配置与汇聚S12700互连,核心CE12812旁挂Agile Controller(10.20.11.200)认证服务器,S12700 VRRP组网做为用户侧接入网关认证设备,CE12812与S12700配置三层OSPF路由互连。 

 

互连接口及路由配置:

 

CE12800:

#
interface Vlanif101
ip address 10.20.11.1 255.255.255.0   //Agile Controller服务器网关
#
interface Vlanif802
ip address 10.30.11.14 255.255.255.252  //与S12708-1互连
#
interface Vlanif803
ip address 10.30.11.18 255.255.255.252  //与S12708-2互连
#
ospf 1
area 0.0.0.0 
  network 10.20.11.0 0.0.0.255 
  network 10.30.11.12 0.0.0.3
  network 10.30.11.16 0.0.0.3  
  ……
#
……

 

S12700-1:

#
authentication free-rule 1 destination ip 10.20.11.200 mask 255.255.255.255
authentication free-rule 2 destination ip 222.172.200.68 mask 255.255.255.255
#
url-template name kmzhyy
url http://10.20.11.200:8080/portal
url-parameter ssid ssid redirect-url url
#
web-auth-server kmzhyy                   
server-ip 10.20.11.200
port 50200
shared-key cipher %#%#s1A5Elm}=~JPXH"TdxU@`k2QXV!5D"m~R[%wJbv<%#%#
url-template kmzhyy
source-ip 10.31.0.1 
#
interface Vlanif802   //与CE12800互连
ip address 10.30.11.13 255.255.255.252  
#
interface Vlanif1000  //用户侧接入                   
ip address 10.21.7.254 255.255.248.0
vrrp vrid 100 virtual-ip 10.21.0.1
vrrp vrid 100 priority 150
vrrp vrid 100 preempt-mode timer delay 10
web-auth-server kmzhyy direct
authentication portal
dhcp select interface
dhcp server excluded-ip-address 10.21.4.1 10.21.7.252
dhcp server dns-list 222.172.200.68 114.114.114.114
#
ospf 1
import-route static
area 0.0.0.0
  network 10.21.0.0 0.0.7.255
  network 10.22.0.0 0.0.7.255
  network 10.30.11.12 0.0.0.3 
  …… 
#
……

 

S12700-2:

#
authentication free-rule 1 destination ip 10.20.11.200 mask 255.255.255.255
authentication free-rule 2 destination ip 222.172.200.68 mask 255.255.255.255
#
url-template name kmzhyy
url http://10.20.11.200:8080/portal
url-parameter ssid ssid redirect-url url
#
web-auth-server kmzhyy                   
server-ip 10.20.11.200
port 50200
shared-key cipher %#%#s1A5Elm}=~JPXH"TdxU@`k2QXV!5D"m~R[%wJbv<%#%#
url-template kmzhyy
source-ip 10.31.0.1 
#
interface Vlanif803    //与CE12800互连
ip address 10.30.11.17 255.255.255.252

interface Vlanif1000   //用户侧接入   
ip address 10.21.7.253 255.255.248.0
vrrp vrid 100 virtual-ip 10.21.0.1
web-auth-server kmzhyy direct
authentication portal
dhcp select interface
dhcp server excluded-ip-address 10.21.0.1 10.21.3.255
dhcp server dns-list 222.172.200.68 114.114.114.114
#
ospf 1
import-route static
area 0.0.0.0
  network 10.21.0.0 0.0.7.255
  network 10.22.0.0 0.0.7.255
  network 10.30.11.12 0.0.0.3 
  …… 
#
……

处理过程

步骤一:

确认故障现象,接入终端测试,无法弹出认证页面,测试用户访问DNS及SC地址,发现有时用户可以访问DNS地址,但无法访问SC地址,有时用户可以访问SC地址,但无法访问DNS地址。

 

步骤二:

使用单台S12700接入网络测试,终端用户测试均可正常弹出认证页面,且能够认证成功。怀疑为网络侧路由原因导致。

 

步骤三:

在主S12700与核心CE12800互连接口配置流量统计测试,如测试用户访问DNS地址通时,在互连端口流量统计均能够采集到来回的ICMP报文,访问SC地址不通时,只能够采集到主S12700发送给核心CE12800设备的ICMP报文,主S12700与核心CE12800互连接口未收到回应ICMP报文。查询CE12800设备到用户侧路由为等价路由,分别指向与S12700主备设备互连接口地址,怀疑用户访问外网不通时测试的ICMP报文通过备用S12700回应。

<CE12800>display ip routing-table
Proto: Protocol        Pre: Preference
Route Flags: R - relay, D - download to fib, T - to vpn-instance
------------------------------------------------------------------------------
Routing Table : _public_
         Destinations : 47       Routes : 51       

Destination/Mask    Proto   Pre  Cost        Flags NextHop         Interface

        0.0.0.0/0   O_ASE   150  1             D  10.30.11.4      Vlanif800 
      …………  
      10.21.0.0/21  OSPF    10   2             D  10.30.11.17     Vlanif803
                    OSPF    10   2             D  10.30.11.13     Vlanif802 
      …………

 

步骤四:

在S12700主备互连接口与CE12800互连接口均配置流量统计,核实当测试用户访问DNS地址或SC地址不通时,ICMP报文均通过备用S12700回应。且主用S12700与备用S12700互连接口有收到回应报文,但未转发给用户。怀疑为设备用户侧配置Portal认证功能原因导致,取消设备用户侧Portal认证功能测试,用户侧Ping DNS及SC地址均正常。

 

步骤五:

确认用户故障原因,在主备两台S12700互连接口配置端口镜像抓包确认,配置认证后访问DNS或SC不通时,通过主S12700通过备用S12700收到ICMP回应报文携带VLAN标签为1000(用户侧VLAN),而在主设备Vlanif1000有使能Portal认证功能,设备将所有接入VLAN1000的物理端口均认为用户侧接入端口,在用户未认证授权通过时,除访问Portal服务器或设定的免认证网络资源通过允许通过,对于其它的报文均不允许通过。

根因

S12700 VRRP组备组网,用户进行Portal认证的报文由于来回路径不一致,请求回应报文通过备用S12700收到后转发给主用S12700,且报文携带的VLAN标签为1000,而在主设备Vlanif1000有使能Portal认证功能,设备将所有接入VLAN1000的物理端口均认为用户侧接入端口,在用户未认证授权通过时,除访问Portal服务器或设定的免认证网络资源通过允许通过,对于其它的报文均不允许通过。

解决方案

将主备S12700设备互连物理接口均指定为免认证源接口后问题解决。

authentication free-rule source interface XXX

END