问题描述
版本信息:
V200R008C00SPC500
组网概述:
内网环境配置,portal服务器和radius服务器在同一网段,认证点在S5720上
组网拓扑图:
配置脚本:
vlan batch 10 20
#
radius-server template rd1
radius-server shared-key cipher %^%#Z@zO.2xp4(+yc`):z!%)C8A;65zdKB'Hby;eNcU-%^%#
radius-server authentication 192.168.0.26 1812 weight 80
radius-server accounting 192.168.0.26 1813 weight 80
radius-server retransmit 2
#
web-auth-server abc
server-ip 192.168.0.155
port 50100
shared-key cipher %^%#=wsVO5qaZ1XUO(:M#[JAw/D<*]c3T~('%|Wi6|=$%^%#
url http://192.168.0.155:8088
server-detect action log
#
aaa
authentication-scheme abc
authentication-mode radius
accounting-scheme abc
accounting-mode radius
accounting start-fail online
domain daxia
authentication-scheme abc
accounting-scheme abc
radius-server rd1
local-user admin password irreversible-cipher %^%#!3ZsEK~6qA6dw]:G80L"lP+!9!'Qa%cMzDU)mKhB["(`EOqge:rKbY<<qgLB%^%#
local-user admin service-type http
#
interface Vlanif1
ip address 192.168.0.33 255.255.255.0
web-auth-server abc direct
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 1
#
portal max-user 100
portal timer offline-detect 500
portal free-rule 0 destination ip 192.168.0.155 mask 255.255.255.255
portal free-rule 1 destination ip 192.168.0.26 mask 255.255.255.255
portal free-rule 2 destination ip 192.168.0.1 mask 255.255.255.255
故障现象:
用户可以登录portal页面,并且输入用户名密码,但认证完成后无法上网
处理过程
1.首先判断终端是否可以认证成功,使用命令display access-user可以确认用户终端认证成功
2.使用认证成功终端ping外网无法ping通外网,怀疑公网路由问题
3.在192.168.0.100设备上接入终端测试,可以上外网,可以确定公网没有问题
4.确认路由器已经配置对192.168.5.0网段NAT,取消S5720认证,终端可以上网
5.综上可以判断,问题出现认证阶段,但是第一步已经确认认证已经成功,检查配置发现认证配置在vlanif10下
interface Vlanif10
ip address 192.168.0.33 255.255.255.0
web-auth-server abc direct
6.与上层路由器想连接接口也配置在vlanif10下,导致S5720对从上层路由器到达数据做认证,而上层数据未认证导致回包不通,对上行流量做免认证
portal free-rule 3 source interface G0/0/5
根因
上联口和下联口放在同一VLAN,在VLAN下做认证时,回包数据无法通过认证,导致终端无法上网
解决方案
对上行流量做免认证
portal free-rule 3 source interface G0/0/5
建议与总结
1.认证时上行和上行接口最好使用不同VLAN,避免出现此类问题
2.排查问题时可以通过替换法确定故障点,确定故障点后再集中注意力处理