S12700配置MAC优先Portal认证MAC认证不生效

发布时间:  2017-01-21 浏览次数:  431 下载次数:  0
问题描述

S12700配置MAC优先Portal认证,设备侧和服务器侧均启用了MAC优先Portal相关配置。但用户Portal认证成功后,断开网络再接入,仍然弹出Portal认证页面,认证成功后才能够接入网络。

设备侧认证模板同时绑定MAC和Portal认证模板配置:

authentication-profile name p1
 mac-access-profile m1
 portal-access-profile portal1
 free-rule-template default_free_rule
 access-domain huawei.com portal force
#

 

服务器侧开启MAC优先Portal认证:

告警信息

处理过程

步骤1:

在服务器Agile Controller查询测试用户Radius认证日志,只有用户Portal认证Radius日志显示,无用户MAC认证Radius日志显示,说明服务器侧未收到设备侧发送的MAC认证的Radius认证请求报文,或设备侧用户再次接入网络未触发用户M进行AC认证(如用户使用MAC帐户进行MAC优先Portal认证,Radius认证日志认证规则显示为空)。

 

步骤2:

测试用户先Portal认证成功,离开网络再次接入场景,查询用户接入信息,同时trace用户上线信息。

1)用户接入网络Portal认证成功,查询用户上线信息显示用户WEB认证成功。

[FCNGXX_S7706]display access-user mac-address  7423-4496-9e98

Basic:
  User ID                         : 16543
  User name                       : swj
  Domain-name                     : huawei.com
  User MAC                        : 7423-4496-9e98
  User IP address                 : 172.16.7.252
  User vpn-instance               : -
  User IPv6 address               : -
  User access Interface           : Wlan-Dbss54
  User vlan event                 : Success
  QinQVlan/UserVlan               : 0/3004
  User access time                : 2017/01/21 15:08:11
  User accounting session ID      : FCNGXX_01123000003004b60e5a00040ae
  Option82 information            : -
  User access type                : WEB
  AP name                         : d4c8-b002-72a0
  Radio ID                        : 0
  AP MAC                          : d4c8-b002-72a0
  SSID                            : Feixian_EDU
  Online time                     : 31(s)

AAA:
  User authentication type        : WEB authentication
  Current authentication method   : RADIUS
  Current authorization method    : -
  Current accounting method       : None

 

2)用户离开无线网络,设备显示用户离线:

[FCNGXX_S7706]access-user mac-address 7423-4496-9e98
Info: No online user.

 

3)用户再次接入无线网络,查询用户上线信息,显示用户接入信息为MAC地址,但接入认证信息为None,用户还在认证前域。

[FCNGXX_S7706]display access-user mac-address 7423-4496-9e98

Basic:
  User ID                         : 16549
  User name                       : 742344969e98
  Domain-name                     : -
  User MAC                        : 7423-4496-9e98
  User IP address                 : 172.16.7.252
  User vpn-instance               : -
  User IPv6 address               : -
  User access Interface           : Wlan-Dbss54
  User vlan event                 : Pre-authen
  QinQVlan/UserVlan               : 0/3004
  User access time                : 2017/01/21 15:09:57
  Option82 information            : -
  User access type                : None
  AP name                         : d4c8-b002-72a0
  Radio ID                        : 0
  AP MAC                          : d4c8-b002-72a0
  SSID                            : Feixian_EDU
  Online time                     : 11(s)

AAA:
  User authentication type        : None
  Current authentication method   : None
  Current authorization method    : Local
  Current accounting method       : None

 

4)查询用户MAC地址是否存在上线记录,显示用户MAC地址存在上线失败记录,原因为Radius服务器未响应认证报文。

[FCNGXX_S7706] display aaa online-fail-record mac-address   7423-4496-9e98
  ------------------------------------------------------------------------------
  User name               : 742344969e98
  Domain name             : default
  User MAC                : 7423-4496-9e98
  User access type        : MAC
  User access interface   : Wlan-Dbss54
  Qinq vlan/User vlan     : 0/3004
  User IP address         : -
  User IPV6 address       : -
  User ID                 : 16549
  User login time         : 2017/01/21 15:09:56
  User online fail reason : The radius server is up but has no reply
  Authen reply message    : -
  ------------------------------------------------------------------------------
  Are you sure to display some information?(y/n)[y]:n

 

步骤3:

确认设备与Radius服务器通信无故障,且用户Portal认证均认证成功,根据Trace信息确认用户上线信息,用户关联无线成功后触发了用户MAC地址认证,但用户MAC上线信息,显示用户未进入指定huawei.com认证域而是进入了缺省的default认证域,向default域绑定中的Radius服务器发起了认证请求报文,未收到Radius服务器响应,导致用户上线不成功。

 

步骤4:

确认设备配置,用户认证模板中只配置了用户Portal认证强制认证域,未配置用户MAC认证时强制认证域。

authentication-profile name p1
 mac-access-profile m1
 portal-access-profile portal1
 free-rule-template default_free_rule
 access-domain huawei.com mac-authen force  //增加用户MAC认证强制认证域
 access-domain huawei.com portal force

 

增加用户MAC认证强制认证域为huawei.com,测试用户MAC认证接入情况,显示用户使用MAC地址认证成功。

[FCNGXX_S7706]display access-user mac-address  7423-4496-9e98

Basic:
  User ID                         : 16558
  User name                       : 742344969e98
  Domain-name                     : huawei.com
  User MAC                        : 7423-4496-9e98
  User IP address                 : 172.16.7.252
  User vpn-instance               : -
  User IPv6 address               : -
  User access Interface           : Wlan-Dbss54
  User vlan event                 : Success
  QinQVlan/UserVlan               : 0/3004
  User access time                : 2017/01/21 15:25:02
  User accounting session ID      : FCNGXX_01123000003004b60e5a00040ae
  Option82 information            : -
  User access type                : MAC
  AP name                         : d4c8-b002-72a0
  Radio ID                        : 0
  AP MAC                          : d4c8-b002-72a0
  SSID                            : Feixian_EDU
  Online time                     : 29(s)

AAA:
  User authentication type        : MAC authentication
  Current authentication method   : RADIUS
  Current authorization method    : -
  Current accounting method       : None

根因

认证方案未绑定用户MAC认证强制认证域,导致用户MAC认证未进入指定认证域,而进入default认证域进行认证,用户MAC认证失败,指定用户MAC强制认证域后问题解决。

涉及交换机设备版本:V200R009

解决方案

在用户认证模板中使用命令access-domain 配置用户MAC认证强制认证域后问题解决

 

authentication-profile name p1
 mac-access-profile m1
 portal-access-profile portal1
 free-rule-template default_free_rule
 access-domain huawei.com mac-authen force  //增加用户MAC认证强制认证域
 access-domain huawei.com portal force

END