Agile Controller-Campus客户端认证失败的问题

发布时间:  2016-10-25 浏览次数:  631 下载次数:  7
问题描述

在某局点配置Agile Controller时参考V100R002C10产品文档中“无线环境中的Portal接入(MAC优先)”相关配置。配置完成后,用手机测试时web登录界面提示认证失败,查看RADIUS日志显示认证成功。

处理过程

考虑到终端可以收到推送的登录页面,说明无线控制器设备中的portal认证配置无误。存在RADIUS日志说明终端上线已进入认证授权阶段,故障很可能是发生在这个阶段。

在交换机上执行test-aaa user-name user-password radius-template template-name命令,显示 Error: Account test time out.检查RADIUS服务器与AC-Campus业务管理器中的认证密钥、计费密钥、授权密钥均无误。最后对比资料发现配置服务器模版时误将source ip-address参数配成无线接入网络的网关地址,实际上应该配成无线接入控制器的管理地址。(典配中网关地址和管理地址为同一个IP)


根因

RADIUS日志显示成功是因为终端发送认证请求信息后,AC-Campus收到这些信息并以本地帐号作为认证数据源,将终端登录帐号及密码与本地数据库比对,确认无误后业务管理器生成了认证成功的日志。而在提供授权阶段,业务管理器将相关数据转发给RADIUS服务器指定的源地址,该地址与业务管理器中接入控制设备IP地址不匹配,导致RADIUS服务器丢弃接入控制设备发来的报文,从而不回应接入控制设备的请求,致使终端用户RADIUS认证超时。

解决方案

radius-server authenticationradius-server accounting命令中的source ip-address参数改为无线接入控制器的管理地址。

建议与总结

加强对RADIUS认证的了解,避免配置过程中出现失误。

END