AR2220配置与RADIUS联动的Portal认证失败

摘要:AR2220配置与RADIUS联动的Portal认证失败...

AR2220配置与RADIUS联动的Portal认证失败

关键字

AR2220,RADIUS,Portal认证,失败

摘要

AR2220配置与RADIUS联动的Portal认证失败。

问题描述

如下图所示,AR2220路由器作为接入设备访问网络,将IP地址为192.168.30.250/24的服务器作为RADIUS和Portal认证服务器,然后在AR设备上配置与RADIUS联动的Portal认证。配置完成后,Portal认证界面可以推送出来,但输入用户名和密码后提示认证失败。

AR路由器配置如下:


		#
radius-server template rd1
radius-server shared-key cipher %^%#%f&o@nS,(WOKb5L-g0:(>}(l%^%#
radius-server authentication 192.168.30.250 1812 weight 80
radius-server accounting 192.168.30.250 1813 weight 80
radius-server retransmit 2
undo radius-server user-name domain-included
#
web-auth-server portal server-ip 192.168.30.250 port 50100 shared-key cipher %^%#0w/^)`Wj-S&rq\1da@)S>xG)%^%# url http://192.168.30.250:9098
		

处理过程

  1. 执行display web-auth-server configuration命令查看Portal认证服务器的配置信息。Portal认证服务器的IP地址为192.168.30.250/24,与其通信的是AR设备的VLANIF接口,IP地址为192.168.30.254/24。
  2. 用户打开浏览器,在推送出来的认证界面上输入用户名和密码后,查看RADIUS服务器的日志信息,表明RADIUS认证已通过,排除接入设备与RADIUS认证的报文交互出现问题。
  3. 执行以下命令打开调试信息开关。在PC上打开浏览器,在推送的认证页面上输入用户名和密码后,查看接入设备的调试信息。

     

    
    				<Huawei> debugging portal all
    <Huawei> debugging web all
    <Huawei> debugging cm all
    <Huawei> debugging aaa all
    <Huawei> debugging radius all
    <Huawei> terminal monitor
    <Huawei> terminal debugging
    <Huawei> debugging timeout 0
    				

    调试信息如下:

    
    				Sep 17 2015 12:37:08.925.31+00:00 Huawei WEB/7/DEBUG: 
    Sent packet to socket (length = 16 ): 
    Version    : 1 
    Type       : authentication ack 
    Method     : chap 
    SerialNo   : 14223 
    RequestID  : 22 
    UserIP     : 192.168.20.245 
    ErrorCode  : 4 
    AttributeNumber : 0
    				

    表明接入设备在完成与RADIUS服务器报文交互后,同时向Portal服务器发送了认证应答报文。但之后,没有出现Type字段为ack of authentication ack的调试信息,表明Portal服务器在接收到认证应答报文后没有向接入设备发送认证应答确认报文,因此接入设备认为认证超时,导致认证失败。

     

  4. 查看Portal服务器的日志信息,发现Portal服务器确实接收到了接入设备发送的认证应答报文,但认证应答报文的内容为用户认证失败,因此Portal服务器没有向接入设备上报认证应答确认报文,从而导致认证失败。

     

     

  5. 至此确认RADIUS认证是成功的,但接入设备返回给Portal服务器的是认证失败的应答报文,怀疑是对设备接口板上的接口授权时失败。执行display device命令查看设备采用的单板类型为4ES2G-S,经确认该单板不支持NAC功能,不支持Portal用户接入。更换支持NAC功能的单板后,问题解决。

根因

用户采用不支持Portal用户接入的单板来实现Portal认证,导致认证失败。

解决方案

更换支持NAC功能的单板来实现Portal认证,如8FE1GE、24GE单板。

建议与总结

用户在路由器上配置Portal认证时,如果是在接口板上的接口接入认证用户,要先确认这些单板是否支持NAC功能,否则会导致Portal认证失败。目前,4GE-2S、4ES2G-S、4ES2GP-S和9ES2单板不支持NAC功能。

热门产品推荐

联系我们

全国服务热线:18718880727 公司邮箱:2437931819@qq.com

  工作日 9:00-18:00

关注我们

官网公众号

官网公众号

Copyright©2019 mxict.com 明宣电子 版权所有 粤ICP备19019157号-1客服热线 18718880727

技术支持:明宣电子