由于接收WEB报文的端口号被屏蔽导致MA5200G web认证提示用户名和密码错误

发布时间:  2009-03-13 浏览次数:  113 下载次数:  0
问题描述
组网:pc-router-bras--web
现象描述:pc为三层web认证,能够进入认证前域和获得地址。弹出web页面后,输入用户名和密码提示认证失败。查看下线失败原因为认证超时。debug web packet没有任何信息。
处理过程

1、在处理过程中依次查看了web服务器和bas的配置(如密钥,是否为支持的服务器等),bas配置的web-au-server的地址和web服务器向bas发送的地址都正确。
2、经过抓包发现bas上行口确实收到了web发送的udp报文,目的端口号为2000。
3、但debug web packet仍没有信息。最后确定bas丢弃了challenge req报文。最后发现在全局Inbound方向下发了
acl number 6000 
rule 190 permit udp destination-port eq 2000
traffic classifier vir-deny operator or
if match acl 6000                                                                                  
traffic behavior vir-deny                                                       
 deny  
traffic policy vir-deny                                                         
 classifier vir-deny behavior vir-deny     
traffic-policy vir-deny inbound        
这样就禁掉了入方向的访问2000端口号的udp报文。而challenge req报文正是目的地址为2000的udp报文。取消此rule后问题解决。

根因
因为debug web packet没有任何信息,所以有三个原因:
1、web服务器没有发送challenge req报文,可能原因需要查web服务器和bas的配置(如密钥,是否为支持的服务器等)。
2、web服务器发送了challenge req报文,但设备没有收到。可能原因有链路问题,bras配置的web-au-server的地址是否正确,web服务器向bras发送的地址是否正确。
3、web服务器发送了challenge req报文,但设备丢弃或过滤掉了。
解决方案

N/A

建议与总结
web-auth-server listening-port 缺省情况下,设备接收报文的端口号为2000。所以在添加防病毒列表时端口号要有目的有针对性的添加,否则可能会造成一些本该访问的端口受限。

END