S7706交换机配置RADIUS认证,用户跨端口漫游上网异常

发布时间:  2016-06-29 浏览次数:  214 下载次数:  1
问题描述

S7706交换机配置RADIUS认证,用户跨端口漫游上网异常,具体组网如下:


此项目为企业园区组网,组网规划:

核心设备使用单台S7706交换机,接入设备使用S5700 PWR交换机.

接入交换机使用单条千兆光纤与核心S7706设备互联。

AC6605采用直接转发模式,旁挂部署连接在核心S7706交换机,AC只对AP进行管理和策略下发,业务流量不经过AC

RADIUS Server使用华为Agile Controller,服务器上创建内网用户账户,用于用户上线认证。

S7706上行连接出口防火墙,采用默认路由访问公网,防火墙做为出口设备连接外网,默认路由下一跳指向运营商互联地址,回程路由指向内网业务网段。

S7706交换机配置RADIUS模板,并配置对所有内网用户进行RADIUS认证,配置完成后进行网络访问时发现:

笔记本电脑或手机在S5700-1下挂AP认证成功上线后可以正常访问外网;但当将笔记本电脑或手机移动漫游到S5700-2下挂AP时无法正常访问外网;

S7706将用户手动强制下线后,在S5700-2下挂AP进行认证,认证成功上线后可以正常访问外网,但此时将笔记本电脑或手机移动漫游到S5700-1下挂AP时无法正常访问外网

处理过程

    1.发现此故障后首先对故障现象进行确认,经过多次测试发现只有在用户进行跨S5700漫游时,会出现外网访问异常现象,在同一个S5700交换机下的不同AP之间进行漫游时,可以访问外网,并未发现异常。 
    2.
查看S5700-1S5700-2接口配置,使用命令:display current-configuration interface”,输出接口显示,两台设备连接AP接口配置信息一致,接口所属vlan相同,接入交换机配置没有发现异常。 
    3.
查看核心S7706交换机接口配置无异常,然后查看设备logbuffer,使用命令:“display logbuffer”,发现笔记本电脑在做跨交换机漫游测试操作时,出现MAC地址漂移。 
    4.
经过以上排查后,没有发现配置错误,通过日志发现认证用户在S7706跨端口漫游时会发生MAC地址漂移,初步定位原因为:S7706部署RADIUS认证时,用户跨端口漫游时出现网络访问异常,将RADIUS配置从S7706删除,然后将RADIUS配置部署在AC6605上。

    5.修改RADIUS配置信息,将RADIUS信息部署在AC6605后进行测试,PC跨接入交换机漫游后,可以正常访问外网,故障现象消失。

根因

    导致在S7706交换机,配置RADIUS认证,IPOE用户认证成功上线后跨端口漫游,上网异常的原因为: 

    S7706交换机配置RADIUS认证后,在IPOE用户认证成功以后,交换机会针对认证成功用户生成用户表向,其中包含认证成功用户的IP地址、MAC地址、vlan id以及端口号等信息。

    通过客户组网拓扑发现,S7706通过两个不同端口直连两台S5700 POE交换机,当用户从S5700-1交换机下挂的AP进行认证上线后,S7706会生成该认证用户的用户表向,其中端口号为连接S5700-1的端口,当用户漫游到S5700-2时,S7706检查用户表向中该用户的端口信息与流量发起端口不一致,导致该用户不能正常上网。

解决方案

1.在S7706删除RADIUS模板配置:undo radius-server template radius

2.在S7706删除portal模板配置:undo web-auth-server portal


3.在S7706域下删除认证计划和RADIUS Server:domain default 

                                                                            undo authentication-scheme

                                                                            undo radius-server radius

4.在AC6605创建RADIUS模板:radius-server template radius

                                                 radius-server shared-key cipher XXXXXX

                                                 radius-server authentication XX.XX.XX.XX 1812 source ip-address XX.XX.XX.XX weight 80

                                                 radius-server accounting XX.XX.XX.XX 1813 source ip-address XX.XX.XX.XX weight 80

                                                 radius-server authorization XX.XX.XX.XX shared-key XXXXXX 

5.在AC6605创建portal模板:url-template name TJGS-Wlan

                                              url http://XX.XX.XX.XX:8080/portal

                                              url-parameter ssid XXXX redirect-url url

                                              #

                                              web-auth-server portal

                                              server-ip XX.XX.XX.XX

                                              port 50200

                                              shared-key cipher XXXXXX

                                              url http://XX.XX.XX.XX:8080/portal

                                              source-ip XX.XX.XX.XX

                                              server-detect interval 100 max-times 5 critical-num 1 action log

                                              user-sync interval 100 max-times 5

6.在AC6605域下配置认证计划和RADIUS Server:domain default 

                                                                              authentication-scheme auth

                                                                              radius-server radius

7.此外还需在S7706将接口下调用的触发portal策略删除,在AC6605创建触发portal策略,并在接口下调用。

END