MAC优先的Portal认证有效期内访问外网仍然推送认证前页面
MAC优先的Portal认证有效期内访问外网仍然推送认证前页面
现象描述
MAC优先的Portal认证有效期内访问外网仍然推送认证前页面。
可能原因
对于MAC优先的Portal认证出现最多的问题就是有效期内仍然推送认证页面。主要原因包括:
Policy Center版本的固有缺陷
接入控制设备未禁用blocktime
管理员在终端局部参数中设置了用户在线时长限制
管理员在授权规则里设置了终端IP地址范围作为授权条件
终端重新接入网络的SSID与上次进行Portal认证接入网络的SSID不一致
接入控制设备上配置了mac-authen quiet-times 1
处理步骤
MAC优先的Portal认证是解决移动终端网络接入的方案之一。
MAC优先的Portal认证原理如下图所示。终端关联Wi-Fi或在没有网络权限的情况下有流量通过设备就会触发设备向服务器发起MAC认证,如果认证不通过则推送认证页面。当用户输入用户名密码认证成功后,服务器会记住该MAC并将该MAC与认证帐号绑定。下次终端打开wifi触发MAC认证就能直接认证通过,设备不再向用户推送认证页面URL。服务器记住MAC有一个时间区间,这个时间区间我们称之为MAC优先的Portal认证的有效期。只有在有效期内发起的MAC认证可以通过,有效期之后,服务器会“忘记”该MAC,并删除该MAC与帐号的绑定关系。所以有效期之后MAC认证一定失败,所以会推送认证页面。
(1)检查是否由于Policy Center版本的固有缺陷导致的问题。
由于Policy Center版本的固有缺陷导致的问题以及对应的解决方法如下:
Policy Center V100R003C00SPC300版本缺陷,每日定时刷新Radius缓存后部门信息丢失,导致MAC优先的Portal认证失败。所以即使有效期大于1天。第二天关联Wi-Fi,打开浏览器访问外网仍然推送页面。请升级版本解决。
对于跨AC漫游场景,在Policy Center V100R003C10之前的版本都是不支持MAC优先的Portal认证,如果需要涉及该场景且需要使用MAC优先的Portal认证请升级到Policy Center V100R003C10。
AC6605在最新的版本更改了MAC认证触发机制。从原来的流量触发改成了关联Wi-Fi触发。这种改变对于移动终端的MAC优先Portal认证影响不大。但是对于PC或笔记本的MAC优先Portal认证影响较大。因为对于PC或笔记本首次Web认证的成功页面关闭后(界面有提示不允许关闭的,但是客户还是有可能关闭)。服务器在Web会话时间内(服务器的全局参数可以配置)未收到任何心跳(浏览器认证成功页面向服务器发起的http请求),服务器就会下线用户,并通知设备下线。此时用户访问外网设备是不会向服务器发起MAC认证。由于没有网络权限,设备会再次推送认证页面URL给终端。该问题可以通过在全局参数增大Web会话超时时间规避。该问题已在Policy Center V100R003C10SPC015及之后版本中解决。
Policy Center当前最新版本和Agile Controller-Campus V100R001C00SPC300之前的版本有一个共同的问题。如果配置了局部参数-帐号最大接入数,并且设置为1,很容易出现MAC认证失败,认证失败的原因大都是帐号接入数超过限制。这是因为服务器经常遇到设备没有发下线报文,导致某个MAC的帐号在服务器上在线的,在设备上是不在线的,此时该终端再做MAC认证总是认证不过,因为帐号接入数超过限制。只要MAC认证失败就会导致有效期内推送认证页面。该问题已在Policy Center V100R003C10SPC015及之后版本中解决。
两个SSID切换认证时会概率性出现重新推送Portal页面,需要再次认证的情况。该问题已在Policy Center V100R003C10SPC015及之后版本中解决。
(2)检查接入控制设备是否未禁用blocktime。
由于手机应用常常在后台发起http请求触发MAC认证,连续多次认证失败设备会block该MAC。可以通过如下命令查看设备是否block该MAC。
如果MAC地址已经被block,则在aaa视图下执行undo remote-aaa-user authen-fail可以解决。
(3)检查管理员在终端局部参数中设置了用户在线时长限制。
选择“系统 > 终端参数配置 > 局部参数”。
查看是否设置了“用户在线时长限制”。
终端在线时间超出单次在线时长导致下线,并且MAC优先的Portal认证MAC地址有效期小于单次在线时长,下线后重新上线需要重新输入帐号和密码。
(4)检查管理员在授权规则里是否设置了终端IP地址范围作为授权条件。
MAC优先的Portal认证,首次关联SSID进行的是Portal认证,再次关联SSID时,是直接进行MAC认证,AC使用终端的MAC地址进行认证时不会携带终端的IP地址信息,所以无法匹配授权条件,导致MAC优先认证失败。
解决方法:在授权规则中,不使用终端IP地址范围作为授权条件。
(5)终端重新接入网络的SSID与上次进行Portal认证接入网络的SSID不一致。
终端进行Portal认证时,RADIUS服务器记录了终端MAC地址和SSID,当终端再次连接该SSID接入网络时,直接通过MAC认证上线,如果终端再次接入网络时连接的SSID不是进行Portal认证时连接的SSID,则不会进行MAC优先上线。
(6)接入控制设备上配置了mac-authen quiet-times 1。
mac-authen quiet-times命令用来配置MAC认证用户被静默前60秒内允许认证失败的次数。当值设置为1时,意味着当MAC认证用户在60秒内认证失败的次数超过了1次时,接入控制设备会将该用户静默一段时间,且不再处理该用户的认证请求。MAC优先的Portal认证第一次进行MAC认证肯定是失败的,导致在MAC地址被接入控制设备静默的这段时间内,用户离开无线网络覆盖区再次进入时,每次都会推送认证页面。
解决方法:只要将该值改成大于1的值即可。
Huawei Agile Controller(列表、list、全)华为AClist、敏捷控制器list
http://www.zh-cjh.com/wenzhangguilei/3224.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » MAC优先的Portal认证有效期内访问外网仍然推送认证前页面
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm