S5720 认证后无法上网

发布时间:  2016-12-28 浏览次数:  122 下载次数:  0
问题描述
版本信息:
V200R008C00SPC500

组网概述:
内网环境配置,portal服务器和radius服务器在同一网段,认证点在S5720上

组网拓扑图:



配置脚本:

vlan batch 10 20
#
radius-server template rd1
 radius-server shared-key cipher %^%#Z@zO.2xp4(+yc`):z!%)C8A;65zdKB'Hby;eNcU-%^%#
 radius-server authentication 192.168.0.26 1812 weight 80
 radius-server accounting 192.168.0.26 1813 weight 80
 radius-server retransmit 2               
#
web-auth-server abc
 server-ip 192.168.0.155
 port 50100
 shared-key cipher %^%#=wsVO5qaZ1XUO(:M#[JAw/D<*]c3T~('%|Wi6|=$%^%#
 url http://192.168.0.155:8088
 server-detect action log
#
aaa
 authentication-scheme abc
  authentication-mode radius
 accounting-scheme abc
  accounting-mode radius
  accounting start-fail online
 domain daxia
  authentication-scheme abc
  accounting-scheme abc                   
  radius-server rd1
 local-user admin password irreversible-cipher %^%#!3ZsEK~6qA6dw]:G80L"lP+!9!'Qa%cMzDU)mKhB["(`EOqge:rKbY<<qgLB%^%#
 local-user admin service-type http
#
interface Vlanif1
 ip address 192.168.0.33 255.255.255.0
 web-auth-server abc direct
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 1
#
portal max-user 100
portal timer offline-detect 500
portal free-rule 0 destination ip 192.168.0.155 mask 255.255.255.255
portal free-rule 1 destination ip 192.168.0.26 mask 255.255.255.255
portal free-rule 2 destination ip 192.168.0.1 mask 255.255.255.255

故障现象:
用户可以登录portal页面,并且输入用户名密码,但认证完成后无法上网
处理过程
1.首先判断终端是否可以认证成功,使用命令display access-user可以确认用户终端认证成功
2.使用认证成功终端ping外网无法ping通外网,怀疑公网路由问题
3.在192.168.0.100设备上接入终端测试,可以上外网,可以确定公网没有问题
4.确认路由器已经配置对192.168.5.0网段NAT,取消S5720认证,终端可以上网
5.综上可以判断,问题出现认证阶段,但是第一步已经确认认证已经成功,检查配置发现认证配置在vlanif10下
interface Vlanif10
 ip address 192.168.0.33 255.255.255.0
 web-auth-server abc direct
6.与上层路由器想连接接口也配置在vlanif10下,导致S5720对从上层路由器到达数据做认证,而上层数据未认证导致回包不通,对上行流量做免认证
portal free-rule 3 source interface G0/0/5


根因

上联口和下联口放在同一VLAN,在VLAN下做认证时,回包数据无法通过认证,导致终端无法上网

解决方案
对上行流量做免认证

portal free-rule 3 source interface G0/0/5
建议与总结

1.认证时上行和上行接口最好使用不同VLAN,避免出现此类问题

2.排查问题时可以通过替换法确定故障点,确定故障点后再集中注意力处理

END