AR2220配置与RADIUS联动的Portal认证失败
摘要:AR2220配置与RADIUS联动的Portal认证失败...
AR2220配置与RADIUS联动的Portal认证失败
问题描述
如下图所示,AR2220路由器作为接入设备访问网络,将IP地址为192.168.30.250/24的服务器作为RADIUS和Portal认证服务器,然后在AR设备上配置与RADIUS联动的Portal认证。配置完成后,Portal认证界面可以推送出来,但输入用户名和密码后提示认证失败。
# radius-server template rd1 radius-server shared-key cipher %^%#%f&o@nS,(WOKb5L-g0:(>}(l%^%# radius-server authentication 192.168.30.250 1812 weight 80 radius-server accounting 192.168.30.250 1813 weight 80 radius-server retransmit 2 undo radius-server user-name domain-included # web-auth-server portal server-ip 192.168.30.250 port 50100 shared-key cipher %^%#0w/^)`Wj-S&rq\1da@)S>xG)%^%# url http://192.168.30.250:9098
处理过程
- 执行display web-auth-server configuration命令查看Portal认证服务器的配置信息。Portal认证服务器的IP地址为192.168.30.250/24,与其通信的是AR设备的VLANIF接口,IP地址为192.168.30.254/24。
- 用户打开浏览器,在推送出来的认证界面上输入用户名和密码后,查看RADIUS服务器的日志信息,表明RADIUS认证已通过,排除接入设备与RADIUS认证的报文交互出现问题。
-
执行以下命令打开调试信息开关。在PC上打开浏览器,在推送的认证页面上输入用户名和密码后,查看接入设备的调试信息。
<Huawei> debugging portal all <Huawei> debugging web all <Huawei> debugging cm all <Huawei> debugging aaa all <Huawei> debugging radius all <Huawei> terminal monitor <Huawei> terminal debugging <Huawei> debugging timeout 0
Sep 17 2015 12:37:08.925.31+00:00 Huawei WEB/7/DEBUG: Sent packet to socket (length = 16 ): Version : 1 Type : authentication ack Method : chap SerialNo : 14223 RequestID : 22 UserIP : 192.168.20.245 ErrorCode : 4 AttributeNumber : 0表明接入设备在完成与RADIUS服务器报文交互后,同时向Portal服务器发送了认证应答报文。但之后,没有出现Type字段为ack of authentication ack的调试信息,表明Portal服务器在接收到认证应答报文后没有向接入设备发送认证应答确认报文,因此接入设备认为认证超时,导致认证失败。
-
查看Portal服务器的日志信息,发现Portal服务器确实接收到了接入设备发送的认证应答报文,但认证应答报文的内容为用户认证失败,因此Portal服务器没有向接入设备上报认证应答确认报文,从而导致认证失败。
- 至此确认RADIUS认证是成功的,但接入设备返回给Portal服务器的是认证失败的应答报文,怀疑是对设备接口板上的接口授权时失败。执行display device命令查看设备采用的单板类型为4ES2G-S,经确认该单板不支持NAC功能,不支持Portal用户接入。更换支持NAC功能的单板后,问题解决。
