某项目当中处理ME60认证前域无法访问的问题

发布时间:  2017-03-28 浏览次数:  218 下载次数:  0
问题描述

     首先:根据客户的描述故障现象,已经配置完了ME60的BAS功能,也配置了前域ACL放行的资源, 终端用户采用RADIUS认证和计费,在配置完毕后客户进行测试时发现从客户端PING DNS服务器,网关、和RADIUS服务器、PORTAL服务等前域资源全部不通,更谈不上认证成功。根据客户描述,了解一下客户的网络拓扑结构如下:


以上是项目当中简单的拓扑结构

      首先ME60和RADIUS服务器全部是旁挂在S12708交换机上,但当用户的认证流量从S12708进入后采用策略路由全部引入到ME60的BAS认证接口进行认证,完后ME60去和RADIUS服务器进行交换认证报文这样的一个认证过程,接下来,进一步去解决问题:

     第一步:采用命令进行查看上线的用户发现前域用户和后域用户全部为0 ,只有一个管理员域用户:

  [ME60]dis domain

  ------------------------------------------------------------------------------

  Domain name           State        CAR Access-limit   Online  BODNum RptVSMNum

  ------------------------------------------------------------------------------

  default0              Active         0       283648        0       0         0

  default1              Active         0       283648        0       0         0

  default_admin         Active         0       283648        1       0         0

  net                   Active         0       283648        0       0         0

  pre_web               Active         0       283648        0       0         0

  ------------------------------------------------------------------------------

  Total 1,1 printed

处理过程

        第一步:了解了客户的组网结构和流量方向。

        第二步:对各个服务器进行PING测试,发现确实不通。

        第三步:开始检查配置文件是正确性,配置如下:

sysname ME60

#

 user-group huawei   配置用户组

#

radius-server group net    配置和RADIUS服务器进行认证和计费

 radius-server authentication 10.0.0.13 1812

 radius-server accounting 10.0.0.13 1813

 radius-server shared-key huawei2123

 radius-server source interface GigabitEthernet4/0/4

#

radius-server authorization 10.0.0.13 shared-key huawei@123   配置RADIUS服务器的授权

#

由于篇幅原因ACL策略省略请查看相关ME60手册:

.....

#

traffic policy web

 share-mode

 classifier web_permit behavior web_permit

 classifier web_deny behavior web_deny    

traffic policy web_out

 share-mode

 classifier web_permit behavior web_permit

 classifier web_out behavior web_out

#


aaa

 http-redirect enable           

 domain net   配置后域,RADIUS认证和计费并绑定RADIUS服务组

  authentication-scheme net

  accounting-scheme net

  radius-server group net

 domain pre_web    配置前域,采用不认证不计费,可以访问的portal 服务器

  authentication-scheme mm

  accounting-scheme mm

  user-group huawei

  web-server 10.0.0.12

  web-server url http://10.0.0.12/index_2.html

 #                                        

#

interface GigabitEthernet4/0/5      该接口为BAS认证接口

 description TO_S12708_X5/0/8

 undo shutdown

 ip address 172.31.206.10 255.255.255.248

 bas

 access-type layer3-subscriber default-domain pre-authentication pre_web authentication net  该接口下启动BAS 3层认证并绑定前域和后域

 #

#

 traffic-policy web inbound            全局启动策略路由

 traffic-policy web_out outbound

#

 web-auth-server source interface GigabitEthernet4/0/4

 web-auth-server version v2

 web-auth-server 10.0.0.12 port 2000 key simple huawei@123   配置portal服务器的认证

#

根据以上的配置进行分析发现客户基本配置并没有问题,但客户缺忽略了一条命令:以为只要放行了traffic就自动可以访问前域的一些服务器了,其实还有一条命令控制着前域访问权限:

根因

经过查看配置文件发现用户在配置时缺少本条命令:

本条命令是在全局模式下配置该命令的解释:终端用户可以访问的绑定域资源(本案例绑定为前域pre_web),配置完后,172.100.0.0这个段的IP地址,就可以放行去访问 pre_web 前域的资源。当然该命令配合其它域也可以实现部分网段不认证,即可进行访问资源。在此就不详细解说。

 layer3-subscriber 172.100.0.0 172.100.255.255 domain-name pre_web


END