MAC优先的portal认证没有生效

发布时间:  2016-11-09 浏览次数:  129 下载次数:  0
问题描述

如图所示,根据访客流动性大的特点,使用Portal认证并通过RADIUS服务器验证用户的身份,方便用户使用,实现用户首次Portal认证成功后下线,在一定的时间内(如:24小时)再次上线时,不需要输入帐号密码就能够重新接入网络。客户使用的是S12704X1E单板,但是MAC优先的portal认证没有生效,用户体验时出现在24小时内仍出现重认证的现象。


S12704关于portal认证问题的相关配置如下:

#

authentication-profile name mac_au

 mac-access-profile mac_ac

 access-domain zxgj mac-authen force

#

authentication-profile name ZXGJ

 mac-access-profile ZXGJ

 portal-access-profile ZXGJ

 free-rule-template default_free_rule

 access-domain zxgj portal force

#

aaa

 domain zxgj

  authentication-scheme ZXGJ

  accounting-scheme ZXGJ

  radius-server ZXGJ

#

告警信息

处理过程

根据此问题,使用测试机进行测试

 用户上线成功后查看用户表项
display access-user mac-address <H-H-H>

[WIFI-CORE-S12704]dis access-user mac c8f2-305d-9675

Basic:

  User ID                         : 43100

  User name                       : c8f2305d9675

  Domain-name                     : zxgj                            

  User MAC                        : c8f2-305d-9675

  User IP address                 : 192.168.231.253

  User vpn-instance               : -

  User IPv6 address               : -

  User access Interface           : Wlan-Dbss46

  User vlan event                 : Success        

  QinQVlan/UserVlan               : 0/103

  User access time                : 2016/11/08 11:56:46

  User accounting session ID      : WIFI-CO00203000000103a9777d000a85c

  Option82 information            : -

  User access type                : MAC

  AP name                         : 0006-f4d4-24e0

  Radio ID                        : 1

  AP MAC                          : 0006-f4d4-24e0

  SSID                            : SMNC_Guest

  Online time                     : 5(s)

AAA:

  User authentication type        : MAC authentication

  Current authentication method   : RADIUS

  Current authorization method    : -

  Current accounting method       : RADIUS

#

这说明portal认证成功。

在查看trace信息
打开trace(系统视图):
[huawei]trace object mac <H-H-H> //其中<H-H-H>指测试终端的MAC地址
[huawei]trace enable

发现测试帐号MAC认证失败,在次进入portal认证。

查看配置发现在portal认证模板里没有配置强制MAC的domain,导致在进行mac认证时无法匹配到zxgj这个domain域,而是匹配到默认的域里导致MAC认证失败。

修改方法:

#

authentication-profile name ZXGJ

 mac-access-profile ZXGJ

 portal-access-profile ZXGJ

 free-rule-template default_free_rule

 access-domain zxgj mac-authen force

 access-domain zxgj portal force

#

根因

在portal认证模板里没有配置强制MAC的domain,导致在进行mac认证时无法匹配到正确的domain域,而是匹配到默认的域里导致MAC认证失败。

MAC认证失败后直接进行了portal认证。

建议与总结

在配置MAC优先的portal认证时,一定要注意domain域的配置与引用。

END