1、二代web认证下线原因分析
“01”:用户请求下线
“01”:用户请求下线
“02”:端口连接丢失(无线上指的是stamg通告sta下线,遇到这个问题需要找stamg负责人继续定位下线原因)
“03”:不能提供服务,主要指连接异常中断
“04”:空闲超时(无流量下线)
“05”:会话超时(可用时长到达)
“06”:管理员复位端口或会话(radius服务器踢线、portal恢复之后逃生用户下线、通过clear命令删除用户)
“07”:管理员重启NAS
“08”:端口错误,需要中断会话
“09”:NAS出错,要求中断会话
“10”:NAS因为其他原因要求中断会话
“11”:NAS意外重启
“12”:NAS认为不再需要保留该端口而中断会话
“13”:NAS需要重新优先分配该端口而中断会话
“14”:NAS需要挂起端口而中断当前会话
“15”:NAS不能提供所需服务
“16”:NAS为新会话回调而中断当前会话
“17”:用户输入错误
“18”:主机请求中断
“103”:IP或MAC发生改变(发生地址抢占)
“115”:服务切换
“122”:流量用完
“250”:低流量下线(我司私有的属性,和code4原因一样)
“500”:认证超时,radius认证报文超时未响应。提供给无线wlog模块使用,snc也会关注
“501”:认证拒绝,radius服务器拒绝。提供给无线wlog模块使用,snc也会关注
“502”:设备上用户数达到上限。提供给无线wlog模块使用,snc也会关注
2、portal协议规范中errcode的含义
(1) 当Type值为 2 时,ack_challenge:
ErrCode=0,表示AC设备告诉Portal Server请求Challenge成功;
ErrCode=1,表示AC设备告诉Portal Server请求Challenge被拒绝;---->portal报文错误或是AC上用户不存在
ErrCode=2,表示AC设备告诉Portal Server此链接已建立; ---->这个用户已经通过认证,此时再发认证请求就会返回errcode2
ErrCode=3,表示AC设备告诉Portal Server有一个用户正在认证过程中,请稍后再试; ------>AC已经向radius发起认证请求,但是radius还没回应,在这个过程中portal再发起req_challeage请求就会返回errcode3
ErrCode=4,则表示AC设备告诉Portal Server此用户请求Challenge失败(发生错误); ------>AC内部处理出错,导致请求挑战失败
注:ErrCode非0时,具体错误原因以ErrID属性值为准。
(2) 当Type值为 4 时:ack_auth
ErrCode=0,表示AC设备告诉Portal Server此用户认证成功;
ErrCode=1,表示AC设备告诉Portal Server此用户认证请求被拒绝; ---->portal报文错误(req_id不对,或是portal属性错误)或是radius服务器返回认证拒绝
ErrCode=2,表示AC设备告诉Portal Server此链接已建立;
ErrCode=3,表示AC设备告诉Portal Server有一个用户正在认证过程中,请稍后再试;
ErrCode=4 ,表示AC设备告诉Portal Server此用户认证失败(发生错误);
注:ErrCode非0时,具体错误原因以ErrID属性值为准。
Portal报文交互流程:
【故障现象】
无线做mab+web认证与cisco认证服务器ISE对接,用户首次登陆是web页面上提示登陆失败
【排查过程】
在AC上联口抓包发现对应的portal ack_auth(type=4)报文提示errorcode=4;查看对应的radius交互报文发现被服务器拒绝(服 务器会reject);
分析该用户的mab认证报文发现该用户一分钟内发起了多次mab认证请求(怀疑是用户发现上不了网反复断开冲 连接导致),与cisco工程师确认ISE机制为1分钟内同一用户认证被拒绝5次,该用户在接下去的时间内认证均会被拒绝(被拉黑 ,最短5分钟);通过模拟用户行为,故障复现;
确认故障原因后通过在服务器上过滤AC的IP规避(类似加白名单)。
【故障总结】
该故障为认证服务器机制导致用户接入被服务器拒绝无法上网;在该类型对接故障的排查中,可通过查看服务器日志(最快捷) ,抓包,AC上对应调试来排查确认原因。
在type=4,errorcode=4时,一般有如下几种情况会导致:
(1)用户未发起重定向(如使用了收藏的portal页面);
(2)radius 服务器拒绝用户接入请求,
(3)报文错误(如报文格式)。
二、【WS跟第三方服务器对接做portal认证不成功,设备回应拒绝】
【故障现象】
WS跟第三方服务器对接做portal认证不成功,设备回应拒绝
【排查过程】
设备回应拒绝,需要查看服务器发起的portal报文中字段是否都正常,要找到设备回应拒绝的原因。
通过抓包分析发现使用的是chap方法,该方法中校验req_id,服务器发送的portal报文中下发了req_id为1,设备检验不通过,所以设备回应拒绝。chap方法中,req_id是设备生成后上传服务器的,当服务器给设备的第一个portal报文(REQ_AUTH)中req_id不是0的时候,设备校验不通过,就会拒绝,导致认证失败。
修改服务器发给设备的portal报文中req_id字段为0后,设备生成req_id给服务器,认证过程正常,问题解决。
【故障总结】
对于跟第三方portal对接的web认证中,很多时候是因为两边参数不一致或者校验不通过导致的故障。比如服务器发送的portal报文中终端ip地址为0,chap方法时服务器却填充了req_id字段为非0,设备和portal服务器的url校验参数不一致等都会导致故障。
三、【配置aaa domain enable导致二代web认证认证失败问题】
常见问题:配置aaa domain enable之后,没有配置对应的域认证方法,导致认证失败,设备返回errcode4
四、【AC从10.x版本升级到11.x版本后,web认证失败,提示 非法接入】
【网络环境】
AC与第三方portal跨公网对接做二代web认证,AC的loopback接口配置公网IP,通过公网IP与portal做对接。
【故障现象】
用户portal上提示认证被拒绝,认证失败。
【分析过程】
1、确认ac的配置,如portal key配置是否正确,radius端口,key配置是否正确,radius的ip radius source-interface 配置是否正确;
2、确认对应的url参数携带是否符合第三方portal平台的要求。
3、通过抓包发现portal发送chap挑战报文过来的时候目的地址是AC与portal对接的公网IP,而AC回复报文却用了AC上的内网IP,导致服务器认为AC没回报文不发起req_auth报文。从而导致用户认证出现失败提示。
4、通过命令ip portal source-interface xxx修改portal的源接口后故障消失。(11.x才支持这个地址的修改,10.x需要portal服务器修改添加的设备地址)
【故障总结】
该故障的原因是因为portal发给AC的报文的目的IP与AC回复portal报文的源IP不一致,导致Portal认为AC没有回包,从而发生认证失败的故障。
1、较为常见的AC与第三方portal交互异常主要有如下几点:
(1)ip portal source-interface xxx配置不正确;
(2)重定向url中携带的字段信息不正确;
(3)portal key配置不正确;
(4)portal报文格式不正确;
2、与portal交互正常,但是不发radius报文的,主要有如下几点:
(1)AC上配置的radius认证计费端口不正确;
(2)AC上配置了aaa domain enable,确未配置对应用户信息的domain信息(如用户携带的domain信息为test域的test\testuser,但是AC上却未配置test域的相关配置,导致AC找不到对应的radius,不发radius报文,此时给portal回复ack_auth报文中携带errcode4)。
(3)用户使用收藏的认证页面进行认证(未发生重定向,此时给portal回复ack_auth报文中携带errcode4);
(4)认证方法没配置AC也不会发送radius报文到服务器。