所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

Agile Controller 对接AC做portal 认证成功后不能上网

发布时间:  2019-07-18  |   浏览次数:  1413  |   下载次数:  22  |   作者:  xWX466258  |   文档编号: EKB1000710597

目录

问题描述

问题描述:

Agile Controller 对接ACportal认证,终端上输入用户名密码后,提示认证成功,但Controller上未产生radius日志,终端无法访问认证成功后应该访问的资源。

 

基本信息说明:
Controller ip10.XX.XX.190

AC          ip10.XX.XX.180
测试终端  ip172.XX.XX.122

测试终端的账号:XXXX

测试终端的macXXXX-XXXX-XXXX

处理过程

1、 进一步确认故障现象,认证后,AC上通过display access-user查看,终端的状态是pre-auth状态。

<AC6005>display access-user

------------------------------------------------------------------------------

UserID     Username               IP address      MAC            Status

------------------------------------------------------------------------------

42       XXXX            172.XX.XX.122    XXXX-XXXX-XXXX  Pre-authen      

------------------------------------------------------------------------------

2、状态是pre-aurh,且controller上未产生radius日志,怀疑portal 的认证过程还未发起,先按照以下思路进行基本的配置:

  • portal端口:Controller侧是2000AC侧需要配置5020050100
  • web-auth-server 源地址,AC上配置的和Controller上添加的IP地址是否一致;
  • portal秘钥AC侧和Controller上是否一致;
  • Controller上添加的接入终端ip地址范围是否包含测试终端的ip

#

web-auth-server controller

 server-ip 10.XX.XX.190

 port 50200

 shared-key cipher %^%#C}5zDqP982m(;%YI0!SUp/I@+@ME~Jl'/V+1qY^-%^%#

 url-template urlTemplate_0

 source-ip 10.XX.XX.180

#



  

通过以上对比未发现问题。


3、回顾portal正常的认证流程如下:


认证的第三步是:用户在Portal认证页面输入用户名和密码,向Portal服务器发起认证请求。故Controller服务器上获取数据看,确实发现portal服务器上并没有收到终端发起的portal请求;

 


但是同时发现有从ACController发起的大量的http报文。

 

 

3、进一步通过controller上的终端登录日志发现一个现象:所有的终端登录日志中记录的终端ip地址都是同一个,且是ACip(10.1.1.180),和刚刚获取数据中的看到的现象一致。



4进一步确认网络情况,发现终端172.XX.XX.0/24是通过AC做了NAT出去,Nat之后的地址就是AC的地址:10.XX.XX.180,所以说会出现上述获取数据和终端登录日志中看到的情况。

解决方法:

配置AC向Controller发送终端的真实地址,命令如下

[AC] url-template name url1 //创建URL参数模板
[AC-url-template-url1] url  

[AC-url-template-url1] url  http://110.XX.Xx.190:8080/portal
[AC-url-template-url1] 

[AC-url-template-url1] url-parameter  user-ipaddress  userip //携带终端用户的真实IP地址

[AC-url-template-url1]quit

添加配置后,问题成功解决。

根因

因AC配置NAT功能,导致用户发送的http报文源地址非终端地址,进而导致服务器无法识别,无法向设备发起Portal认证请求,终端进行假认证成功,无法接入网络

解决方案


配置AC向Controller发送终端的真实地址,命令如下

[AC] url-template name url1 //创建URL参数模板

[AC-url-template-url1] url  
http://110.XX.XX.190:8080/portal

[AC-url-template-url1] 
url-parameter  user-ipaddress  userip //携带终端用户的真实IP地址

[AC-url-template-url1]quit

添加配置后,问题成功解决。