日日a.v拍夜夜添久久免费,九一精品裸体偷拍视频,国内精品久久久久久久久齐齐

HTTP協(xié)議Portal認(rèn)證流程

此過程中如下幾點(diǎn)需要關(guān)注：

WLAN無線場景在AP上完成，而不是AC。

Portal服務(wù)器和RADIUS服務(wù)器雖然大部分場景下是一個服務(wù)器，但是從邏輯和功能上來說，是兩個網(wǎng)元，不可混為一談。

關(guān)鍵配置檢查

VAP模板配置檢查

根據(jù)SSID找到對應(yīng)VAP模板，檢查VAP模板下配置，主要檢查認(rèn)證模板配置。

1. 通過命令display vap-profile all查看所有的VAP模板，根據(jù)SSID找到對應(yīng)的VAP模板。

[Huawei] display vap-profile all
FMode   : Forward mode
STA U/D : Rate limit client up/down
VAP U/D : Rate limit VAP up/down
BR2G/5G : Beacon 2.4G/5G rate
---------------------------------------------------------------
Name         FMode    Type     VLAN       AuthType     STA U/D(Kbps)  VAP U/D(Kbps)  BR2G/5G(Mbps)  Reference  SSID
---------------------------------------------------------------
default      direct   service  VLAN 1    Open         -/-            -/-               1/6              0           HUAWEI-WLAN
vap_portal  tunnel    service  VLAN 200 Open+Portal -/-            -/-               1/6              3           portal_test
---------------------------------------------------------------
Total: 2

說明

不建議多個VAP模板下綁定相同SSID，因為SSID相同的多個VAP模板綁定到同一AP時，會引起接入失敗等異?，F(xiàn)象。

2. 查看VAP模板下的配置，檢查VAP模板下綁定的認(rèn)證模板。

[Huawei] wlan
[Huawei-wlan-view] vap-profile name vap_portal
[Huawei-wlan-vap-prof-vap_portal]display this
#
 forward-mode tunnel
 service-vlan vlan-id 200
 ssid-profile localportal
 authentication-profile authen_portal
#

3. 查看認(rèn)證模板下的配置，需要綁定Portal接入模板。

[Huawei] authentication-profile name authen_portal
[Huawei-authentication-profile-authen_portal] display this
#
authentication-profile name authen_portal
 portal-access-profile access_portal
 access-domain domain_test
#

4. 查看Portal接入模板下的配置，需要綁定Portal服務(wù)器模板。

[Huawei] portal-access-profile name access_portal
[Huawei-portal-access-profile-access_portal] display this
#
portal-access-profile name access_portal
 web-auth-server portal_test direct
#

5. 查看Portal服務(wù)器模板配置，需要配置server-ip和URL。

URL有兩種配置方式，一是直接在Portal服務(wù)器下配置URL；二是在Portal服務(wù)器下引用URL模板，在URL模板下配置URL，同時URL模板下可以配置所需的URL參數(shù)，如果Portal服務(wù)器需要特定的URL參數(shù)，則只能通過URL模板方式配置。

方式一：Portal服務(wù)器下直接配置url。

[Huawei] web-auth-server portal_test
[Huawei-web-auth-server-portal_test] display this
#
web-auth-server server_portal
 server-ip 12.12.12.1
 port 50100
 url http://12.12.12.1:8080/portal
 protocol http
#

方式二：Portal服務(wù)器下配置url模板。

[Huawei] web-auth-server portal_test
[Huawei-web-auth-server-portal_test] display this
#
web-auth-server server_portal
 server-ip 12.12.12.1
 port 50100
 url-template url_test
 protocol http
#

查看URL模板下配置，需要配置URL及所需要的參數(shù)。

[Huawei]url-template name url_test
[Huawei-url-template-url_test] display this
#
url-template name url_test
 url http://12.12.12.1:8080/portal
 url-parameter device-ip ac-ip user-ipaddress userip ssid ssid
#

6. 需要開啟HTTP/HTTPS協(xié)議的Portal對接功能。

開啟HTTP協(xié)議的Portal對接：

[Huawei] portal web-authen-server http port 8000

開啟HTTPS協(xié)議的Portal對接：

[Huawei] portal web-authen-server https ssl-policy default_policy port 8443

認(rèn)證模式配置檢查

外置Portal認(rèn)證支持本地認(rèn)證、RADIUS認(rèn)證、LDAP認(rèn)證和AD認(rèn)證，但大部分場景都是使用RADIUS認(rèn)證，本文僅考慮RADIUS認(rèn)證模式。

認(rèn)證模式在認(rèn)證方案下指定，認(rèn)證方案的引用有兩種方式：第一種方式是在認(rèn)證模板下直接引用認(rèn)證方案，第二種方式是在域下引用認(rèn)證方案，然后在認(rèn)證模板下引用域。第一種方式優(yōu)先級高于第二種方式優(yōu)先級，若兩種方式同時配置，第一種方式生效，第二種方式在認(rèn)證模板下配置默認(rèn)域或強(qiáng)制域不生效。

方式一：在認(rèn)證模板下引用認(rèn)證方案。

在認(rèn)證模板下引用認(rèn)證方案時，需要同時引用RADIUS服務(wù)器模板，如果需要計費(fèi)，還需要同時引用計費(fèi)方案。

[Huawei] authentication-profile name authen_portal
[Huawei-authentication-profile-authen_portal] display this
#
authentication-profile name authen_portal
 portal-access-profile access_portal
 authentication-scheme radius
 accounting-scheme radius
 radius-server radius_test
#

方式二：在域下引用認(rèn)證方案。

在域下引用認(rèn)證方案時，需要同時在域下引用RADIUS服務(wù)器模板，如果需要計費(fèi)，還需要同時在域下引用計費(fèi)方案。

[Huawei] aaa
[Huawei-aaa] domain domain_test
[Huawei-aaa-domain-domain_test] display this
#
 domain domain_test
  authentication-scheme radius
  accounting-scheme radius
  radius-server radius_test
#

后續(xù)需要在認(rèn)證模板下配置默認(rèn)域或者強(qiáng)制域。建議在認(rèn)證模板下配置不指定接入類型的默認(rèn)域：

[Huawei] authentication-profile name authen_portal
[Huawei-authentication-profile-authen_portal] display this
#
authentication-profile name authen_portal
 portal-access-profile access_portal
 access-domain domain_test
#

認(rèn)證域之間存在優(yōu)先級，終端在優(yōu)先級高的認(rèn)證域中進(jìn)行認(rèn)證：指定接入類型的強(qiáng)制域 > 非指定接入類型的強(qiáng)制域 > 用戶名中攜帶的合法域 > 指定接入類型的默認(rèn)域 > 非指定接入類型的默認(rèn)域 > 全局默認(rèn)域。各種域的配置示例如下：

指定接入類型的強(qiáng)制域：

[Huawei-authentication-profile-authen_portal] display this
#
authentication-profile name authen_portal
 portal-access-profile access_portal
 access-domain domain_test portal force

非指定接入類型的強(qiáng)制域：

[Huawei-authentication-profile-authen_portal] display this
#
authentication-profile name authen_portal
 portal-access-profile access_portal
 access-domain domain_test force

用戶名中攜帶的合法域：指用戶認(rèn)證時使用的用戶名中使用@攜帶了域名，并且該域在設(shè)備上已創(chuàng)建

指定接入類型的默認(rèn)域：

[Huawei-authentication-profile-authen_portal] display this
#
authentication-profile name authen_portal
 portal-access-profile access_portal
 access-domain domain_test portal

非指定接入類型的默認(rèn)域：

[Huawei-authentication-profile-authen_portal] display this
#
authentication-profile name authen_portal
 portal-access-profile access_portal
 access-domain domain_test

全局默認(rèn)域：指在系統(tǒng)視圖上通過domain xxx指定的全局默認(rèn)域

常見問題

Portal頁面輸入賬號密碼后，沒有跳轉(zhuǎn)到設(shè)備登錄URL或跳轉(zhuǎn)到錯誤的設(shè)備登錄URL 問題現(xiàn)象

分別以Cisco ISE服務(wù)器和Aruba Clearpass服務(wù)器為例。

Cisco ISE服務(wù)器：在Portal認(rèn)證頁面輸入賬號密碼后點(diǎn)擊登錄，之后再點(diǎn)擊繼續(xù)，直接跳轉(zhuǎn)到成功頁面，沒有看到跳轉(zhuǎn)到設(shè)備登錄URL，此時在設(shè)備上查看用戶狀態(tài)，仍然處于Pre-authen狀態(tài)，如下圖所示：

Aruba Clearpass服務(wù)器：在Portal認(rèn)證頁面輸入賬號密碼后點(diǎn)擊登錄，看到跳轉(zhuǎn)到“https://12.12.12.76:8080/login”，但該URL不是正確的設(shè)備登錄URL。

問題原因

如果沒有跳轉(zhuǎn)到設(shè)備登錄URL，其原因是Portal服務(wù)器不知道設(shè)備登錄URL，沒有配置設(shè)備登錄URL。

如果跳轉(zhuǎn)到錯誤的設(shè)備登錄URL，原因是配置的設(shè)備登錄URL錯誤。

解決方案

設(shè)備登錄URL的配置依賴于Portal服務(wù)器，不同的Portal服務(wù)器配置方式不同，一般分兩種情況：一種是直接在Portal服務(wù)器上配置設(shè)備登錄URL；另一種是在設(shè)備上配置URL參數(shù)，在URL參數(shù)中攜帶設(shè)備登錄URL。

方式一：在Portal服務(wù)器上配置設(shè)備登錄URL。

Aruba Clearpass服務(wù)器是在服務(wù)器上直接配置設(shè)備登錄URL，以該服務(wù)器為例，其他服務(wù)器需要服務(wù)器側(cè)提供支持： 1. 登錄Aruba ClearPass服務(wù)器。

在瀏覽器中輸入Aruba ClearPass的訪問地址，地址格式為https://Aruba ClearPass IP，其中Aruba ClearPass IP是Aruba ClearPass服務(wù)器的IP地址。

選擇“ClearPass Guest訪客管理”。

在登錄頁面中，輸入用戶名和密碼進(jìn)行登錄。

2. 配置認(rèn)證界面。依次選擇“配置 > Pages > 網(wǎng)頁登錄”，選擇已經(jīng)創(chuàng)建的網(wǎng)絡(luò)登錄頁面，點(diǎn)擊“編輯”進(jìn)入編輯頁面，在“提交URL”中設(shè)置設(shè)備登錄URL。

方式二：在設(shè)備上通過URL參數(shù)配置設(shè)備登錄URL。

Cisco ISE服務(wù)器是在設(shè)備上通過URL參數(shù)配置設(shè)備登錄URL。在設(shè)備URL模板下配置login-url參數(shù)：

[Huawei] url-template name url_test
[Huawei-url-template-url_test] url-parameter login-url switch_url https://12.12.12.76:8443/login

設(shè)備登錄URL格式為http(s)://ip:port/login，其中協(xié)議類型和端口號通過命令portal web-authen-server決定，IP地址為AC設(shè)備本機(jī)任一地址，后續(xù)需要通過免認(rèn)證free-rule放通該地址，且要確保終端與該地址路由可達(dá)。

開啟HTTP/HTTPS協(xié)議的Portal對接功能命令：

[Huawei] portal web-authen-server https ssl-policy default_policy port 8443  //協(xié)議為https，端口號為8443

[Huawei] portal web-authen-server http port 8000  //協(xié)議為http，端口號為8000

Portal頁面輸入賬號密碼后跳轉(zhuǎn)到設(shè)備登錄URL，但顯示超時

在Portal認(rèn)證頁面輸入賬號密碼后，能夠跳轉(zhuǎn)到設(shè)備登錄URL，但顯示“無法訪問此網(wǎng)站”，提示“ERR_CONNECTION_TIMED_OUT”。

該問題原因是終端與設(shè)備登錄URL地址不通，按照如下步驟排查：

1. 設(shè)備是否通過free-rule放通設(shè)備登錄URL對應(yīng)的IP地址；

終端在訪問設(shè)備登錄URL時，終端還沒有認(rèn)證成功，所以需要在free-rule下放通設(shè)備登錄URL對應(yīng)的IP地址。

2. 終端與設(shè)備登錄URL地址路由是否可達(dá)；

可在終端網(wǎng)關(guān)設(shè)備上使用網(wǎng)關(guān)地址作為源ping設(shè)備登錄URL對應(yīng)的IP地址，確認(rèn)路由是否可達(dá)，如果路由不可達(dá)，需要排查路由配置。

跳轉(zhuǎn)到設(shè)備登錄URL，提示安全告警

在Portal認(rèn)證頁面輸入賬號密碼登錄后，能夠跳轉(zhuǎn)到設(shè)備登錄URL，但提示安全告警，顯示“您的連接不是私密連接”。

該問題原因是設(shè)備配置HTTPS協(xié)議的Portal對接，使用的證書是設(shè)備預(yù)置證書，不是合法機(jī)構(gòu)頒發(fā)的證書，瀏覽器校驗設(shè)備證書不合法。有如下兩個方案：

使用HTTP協(xié)議的Portal對接。

購買合法證書，并導(dǎo)入到設(shè)備，設(shè)備登錄URL不能直接使用IP地址，需要使用域名方式配置，同時需要DNS服務(wù)器配合能夠解析該設(shè)備登錄URL域名。證書導(dǎo)入方法請參考Chrome瀏覽器無法打開頁面（一直顯示Connect to Wi-Fi頁面）。

跳轉(zhuǎn)到設(shè)備登錄URL，但認(rèn)證失敗 終端使用get方式提交，但設(shè)備不支持

通過debugging web all，可以看到收到終端get請求，顯示“Http method is GET, but web server config not permit GET: web server index[1], permit get flag[0].”。

[AC6605_8_76]
Nov 30 2020 1155.673.1+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Web receive http msg.
[AC6605_8_76]
Nov 30 2020 1155.673.2+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Web http msg accept.
[AC6605_8_76]
Nov 30 2020 1155.673.3+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt]  Src:User Event:Accept HTTP connect(IP:200.1.1.64 , PORT:49691 , RequestId:1119302816.)
[AC6605_8_76]
Nov 30 2020 1155.673.4+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] [WEB RecvHttp] Userip = 200.1.1.64,UserVrf = 0.
[AC6605_8_76]
Nov 30 2020 1155.673.5+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  Method:GET
[AC6605_8_76]
Nov 30 2020 1155.673.6+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  HTTP Version:HTTP/1.1
[AC6605_8_76]
Nov 30 2020 1155.673.7+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  Http Version:HTTP/1.1
[AC6605_8_76]
Nov 30 2020 1155.673.8+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1119302816, Field:Content-Length, ret:1
[AC6605_8_76]
Nov 30 2020 1155.673.9+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1119302816, Field:If-Modified-Since, ret:1
[AC6605_8_76]
Nov 30 2020 1155.673.10+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1119302816, Field:Cookie, ret:1
[AC6605_8_76]
Nov 30 2020 1155.673.11+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1119302816, Field:Referer, ret:1
[AC6605_8_76]
Nov 30 2020 1155.673.12+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1119302816, Field:Host, ret:1
[AC6605_8_76]
Nov 30 2020 1155.673.13+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] WEBAdp FindOut AccessIf By IpVrf. Find Sta Mac By Ip(0xc8010140) From AC Snooping Table!
[AC6605_8_76]
Nov 30 2020 1155.673.14+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] WEBAdp FindOut AccessIf By IpVrf. Get Sta Info(IfIndex = 2466349056, StaVlan = 200, CeVLAN = 0, MAC = 5cd9-98bc-034c) By Ip(0xc8010140) Success!
[AC6605_8_76]
Nov 30 2020 1155.673.15+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get user access L3IfIndex[38] by vlan[200]
[AC6605_8_76]
Nov 30 2020 1155.673.16+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get receive ifindex[2466349056].
[AC6605_8_76]
Nov 30 2020 1155.673.17+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get user ifindex[2466349056], L3IfIndex[38], VID[200].
[AC6605_8_76]
Nov 30 2020 1155.673.18+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] [WEB Get Server Index By IfIndex] IfIndex is 38, L2IfIndex is 2466349056.
[AC6605_8_76]
Nov 30 2020 1155.673.19+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] [WEB Get Server Index By IfIndex] Server Index is 1, User IfIndex is 2466349056.
[AC6605_8_76]
Nov 30 2020 1155.673.20+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] Http method is GET, but web server config not permit GET: web server index[1], permit get flag[0].
[AC6605_8_76]
Nov 30 2020 1155.683.1+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Err] Get body fail.

該問題原因是終端使用GET方式向設(shè)備提交用戶名密碼信息，但設(shè)備默認(rèn)只開啟了HTTP POST的方式，未開啟HTTP GET方式（HTTP GET方式存在密碼泄露風(fēng)險，推薦使用POST方式）。

在設(shè)備Portal服務(wù)器模板下開啟允許用戶使用GET方式向設(shè)備提交用戶名和密碼等信息：

[Huawei] web-auth-server portal_test
[Huawei-web-auth-server-portal_test] http get-method enable

終端提交的用戶名密碼請求中未攜帶用戶名或密碼，或用戶名密碼的識別關(guān)鍵字不匹配

通過debugging web all，可以看到收到終端get請求，顯示“[WEB HTTP SendAuthMsg] No user name[].”或者“[WEB HTTP SendAuthMsg] No password.”。

[AC6605_8_76]
Dec 01 2020 1437.71.1+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Web receive http msg.
[AC6605_8_76]
Dec 01 2020 1437.71.2+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Web http msg accept.
[AC6605_8_76]
Dec 01 2020 1437.71.3+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt]  Src:User Event:Accept HTTP connect(IP:200.1.1.64 , PORT:56870 , RequestId:1093830080.)
[AC6605_8_76]
Dec 01 2020 1437.71.4+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] [WEB RecvHttp] Userip = 200.1.1.64,UserVrf = 0.
[AC6605_8_76]
Dec 01 2020 1437.71.5+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  Method:GET
[AC6605_8_76]
Dec 01 2020 1437.71.6+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  HTTP Version:HTTP/1.1
[AC6605_8_76]
Dec 01 2020 1437.71.7+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  Http Version:HTTP/1.1
[AC6605_8_76]
Dec 01 2020 1437.71.8+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1093830080, Field:Content-Length, ret:1
[AC6605_8_76]
Dec 01 2020 1437.71.9+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1093830080, Field:If-Modified-Since, ret:1
[AC6605_8_76]
Dec 01 2020 1437.71.10+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1093830080, Field:Cookie, ret:1
[AC6605_8_76]
Dec 01 2020 1437.71.11+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1093830080, Field:Referer, ret:1
[AC6605_8_76]
Dec 01 2020 1437.71.12+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:1093830080, Field:Host, ret:1
[AC6605_8_76]
Dec 01 2020 1437.71.13+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] WEBAdp FindOut AccessIf By IpVrf. Find Sta Mac By Ip(0xc8010140) From AC Snooping Table!
[AC6605_8_76]
Dec 01 2020 1437.71.14+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] WEBAdp FindOut AccessIf By IpVrf. Get Sta Info(IfIndex = 2466349057, StaVlan = 200, CeVLAN = 0, MAC = 5cd9-98bc-034c) By Ip(0xc8010140) Success!
[AC6605_8_76]
Dec 01 2020 1437.71.15+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get user access L3IfIndex[38] by vlan[200]
[AC6605_8_76]
Dec 01 2020 1437.71.16+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get receive ifindex[2466349057].
[AC6605_8_76]
Dec 01 2020 1437.71.17+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get user ifindex[2466349057], L3IfIndex[38], VID[200].
[AC6605_8_76]
Dec 01 2020 1437.71.18+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] [WEB Get Server Index By IfIndex] IfIndex is 38, L2IfIndex is 2466349057.
[AC6605_8_76]
Dec 01 2020 1437.71.19+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] [WEB Get Server Index By IfIndex] Server Index is 1, User IfIndex is 2466349057.
[AC6605_8_76]
Dec 01 2020 1437.71.20+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Read get info: read length[146].
[AC6605_8_76]
Dec 01 2020 1437.71.1+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Err] Str[] invalid.
[AC6605_8_76]
Dec 01 2020 1437.71.2+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Decode request info: CMD[login], user name[], MAC[0000-0000-0000], IP[0.0.0.0], URL[].
[AC6605_8_76]
Dec 01 2020 1437.71.3+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Err] [WEB HTTP SendAuthMsg] No user name[].
[AC6605_8_76]
Dec 01 2020 1437.71.4+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] Send Auth Msg Fail, Stop Proc LoginReq.
[AC6605_8_76]
Dec 01 2020 1437.71.5+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Err] Decode request info fail.
[AC6605_8_76]
Dec 01 2020 1455.366.1+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Web receive http msg.
[AC6605_8_76]
Dec 01 2020 1455.366.2+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Web http msg accept.
[AC6605_8_76]
Dec 01 2020 1455.366.3+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt]  Src:User Event:Accept HTTP connect(IP:200.1.1.64 , PORT:57230 , RequestId:669981044.)
[AC6605_8_76]
Dec 01 2020 1455.366.4+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] [WEB RecvHttp] Userip = 200.1.1.64,UserVrf = 0.
[AC6605_8_76]
Dec 01 2020 1455.366.5+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  Method:GET
[AC6605_8_76]
Dec 01 2020 1455.366.6+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  HTTP Version:HTTP/1.1
[AC6605_8_76]
Dec 01 2020 1455.366.7+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  Http Version:HTTP/1.1
[AC6605_8_76]
Dec 01 2020 1455.366.8+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669981044, Field:Content-Length, ret:1
[AC6605_8_76]
Dec 01 2020 1455.366.9+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669981044, Field:If-Modified-Since, ret:1
[AC6605_8_76]
Dec 01 2020 1455.366.10+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669981044, Field:Cookie, ret:1
[AC6605_8_76]
Dec 01 2020 1455.366.11+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669981044, Field:Referer, ret:1
[AC6605_8_76]
Dec 01 2020 1455.366.12+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669981044, Field:Host, ret:1
[AC6605_8_76]
Dec 01 2020 1455.366.13+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] WEBAdp FindOut AccessIf By IpVrf. Find Sta Mac By Ip(0xc8010140) From AC Snooping Table!
[AC6605_8_76]
Dec 01 2020 1455.366.14+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] WEBAdp FindOut AccessIf By IpVrf. Get Sta Info(IfIndex = 2466349057, StaVlan = 200, CeVLAN = 0, MAC = 5cd9-98bc-034c) By Ip(0xc8010140) Success!
[AC6605_8_76]
Dec 01 2020 1455.366.15+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get user access L3IfIndex[38] by vlan[200]
[AC6605_8_76]
Dec 01 2020 1455.366.16+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get receive ifindex[2466349057].
[AC6605_8_76]
Dec 01 2020 1455.366.17+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get user ifindex[2466349057], L3IfIndex[38], VID[200].
[AC6605_8_76]
Dec 01 2020 1455.366.18+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] [WEB Get Server Index By IfIndex] IfIndex is 38, L2IfIndex is 2466349057.
[AC6605_8_76]
Dec 01 2020 1455.366.19+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] [WEB Get Server Index By IfIndex] Server Index is 1, User IfIndex is 2466349057.
[AC6605_8_76]
Dec 01 2020 1455.366.20+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Read get info: read length[140].
[AC6605_8_76]
Dec 01 2020 1455.366.1+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Err] Str[] invalid.
[AC6605_8_76]
Dec 01 2020 1455.366.2+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Decode request info: CMD[login], user name[test], MAC[0000-0000-0000], IP[0.0.0.0], URL[].
[AC6605_8_76]
Dec 01 2020 1455.366.3+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Err] [WEB HTTP SendAuthMsg] No password.
[AC6605_8_76]
Dec 01 2020 1455.366.4+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] Send Auth Msg Fail, Stop Proc LoginReq.
[AC6605_8_76]
Dec 01 2020 1455.366.5+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Err] Decode request info fail.

終端使用post或者get方式提交用戶名密碼信息給設(shè)備時，需要同時攜帶用戶名和密碼，且用戶名的識別關(guān)鍵字和密碼的識別關(guān)鍵字需要和設(shè)備配置的識別關(guān)鍵字一致。

1. 當(dāng)終端使用get方式提交用戶名密碼信息給設(shè)備時，可以在URL中看到用戶名密碼信息，如下圖所示。

如果設(shè)備登錄URL使用HTTP協(xié)議，可以在終端上抓取報文，確認(rèn)提交給設(shè)備的用戶名密碼信息。

2. 當(dāng)終端使用post方式提交用戶名密碼信息給設(shè)備時，如果設(shè)備登錄URL使用HTTP協(xié)議，可以在終端上抓取報文，確認(rèn)提交給設(shè)備的用戶名密碼信息。

上述示例報文中用戶名的識別關(guān)鍵字為username，密碼的識別關(guān)鍵字為password，如果沒有用戶名密碼信息，需要Portal服務(wù)器確認(rèn)根因；如果用戶名密碼的識別關(guān)鍵字與設(shè)備不一致，可以在Portal服務(wù)器側(cè)修改，也可在設(shè)備上修改。方法如下：

在Portal服務(wù)器上修改用戶名密碼識別關(guān)鍵字。

以Aruba Clearpass服務(wù)器為例，其他服務(wù)器需要服務(wù)器側(cè)提供支持。

a. 登錄Aruba ClearPass服務(wù)器。

i. 在瀏覽器中輸入Aruba ClearPass的訪問地址，地址格式為https://Aruba ClearPass IP，其中Aruba ClearPass IP是Aruba ClearPass服務(wù)器的IP地址。

ii. 選擇“ClearPass Guest訪客管理”。

iii. 在登錄頁面中，輸入用戶名和密碼進(jìn)行登錄。

b. 配置認(rèn)證界面。

依次選擇“配置 > Pages > 網(wǎng)頁登錄”，選擇已經(jīng)創(chuàng)建的網(wǎng)絡(luò)登錄頁面，點(diǎn)擊“編輯”進(jìn)入編輯頁面，在“用戶名字段”和“密碼字段”中設(shè)置用戶名識別關(guān)鍵字和密碼識別關(guān)鍵字。

在設(shè)備上修改用戶名密碼識別關(guān)鍵字。

在Portal服務(wù)器模板下配置HTTP/HTTPS協(xié)議的POST/GET請求報文的參數(shù)。

說明

用戶名的識別關(guān)鍵字默認(rèn)為username，密碼的識別關(guān)鍵字默認(rèn)為password

[Huawei] web-auth-server portal_test
[Huawei-web-auth-server-portal_test] http-method post username-key username password-key password

RADIUS服務(wù)器認(rèn)證拒絕

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示Radius authentication reject。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32846
User login time         : 2020/10/19 1422
User online fail reason : Radius authentication reject
Authen reply message    : ErrorReason is Incorrect user na...
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

通過業(yè)務(wù)診斷功能，追蹤終端用戶上線認(rèn)證過程，看到RADIUS服務(wù)器回應(yīng)了拒絕報文：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication reject packet from radius server(server ip = 10.10.10.1).
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 10.10.10.1
Server Port : 1812
Protocol: Standard
Code    : 3
Len     : 176
ID      : 80
[EAP-Message                        ] [6 ] [04 22 00 04 ]
[State                              ] [16] [01u?237372O]
[Reply-Message                      ] [116] [ErrorReason is Incorrect user name or password or Incorrect dataSource or Incorrect access device key.ErrCode:4101]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/19 1423][6144][RADIUS][64e5-99f3-18f6]:Send authentication reject message to AAA.
[BTRACE][2020/10/19 1423][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENREJECT message(51) from RADIUS module(235).

服務(wù)器回應(yīng)認(rèn)證拒絕有多種原因，最常見的有用戶名密碼錯誤、授權(quán)策略無法匹配等，這些問題需要首先通過排查服務(wù)器日志找到根因后，再調(diào)整服務(wù)器、終端或設(shè)備配置解決。

RADIUS服務(wù)器不響應(yīng)

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示The radius server is up but has no reply或者The radius server is not reachable。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32861
User login time         : 2020/10/19 1702
User online fail reason : The radius server is up but has no reply
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domain_test
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32865
User login time         : 2020/10/19 2021
User online fail reason : The radius server is not reachable
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

通過業(yè)務(wù)診斷功能，追蹤終端用戶上線認(rèn)證過程，看到RADIUS服務(wù)器無響應(yīng)：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(235).
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
CID:51  TemplateNo:4  SerialNo:62
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:10.10.10.1 Vrf:0
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:Radius server is up but no response.
[BTRACE][2020/10/19 1703][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:8,reason is:Radius server is up but no response.
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(235).
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
CID:55  TemplateNo:4  SerialNo:69
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:10.10.10.1 Vrf:0
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:Radius authentication has no response.
[BTRACE][2020/10/19 2022][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:7,reason is:Radius authentication has no response.

RADIUS服務(wù)器不響應(yīng)問題排查步驟如下：

1. 確認(rèn)RADIUS服務(wù)器是否正確添加設(shè)備IP。

RADIUS服務(wù)器如果沒有添加設(shè)備IP地址則需要添加正確的設(shè)備IP。

2. 如果RADIUS服務(wù)器已經(jīng)添加設(shè)備IP地址，需要確認(rèn)添加的設(shè)備IP與設(shè)備發(fā)送RADIUS認(rèn)證請求報文的源IP是否相同。

設(shè)備發(fā)送RADIUS認(rèn)證請求報文的源IP可通過命令配置，如果沒有通過命令配置，則使用路由出接口IP地址。如果RADIUS服務(wù)器上添加的設(shè)備IP地址與路由出接口IP地址一致，則不需要在設(shè)備上配置與RADIUS服務(wù)器通信的源IP地址，否則需要通過命令配置源IP地址。

a. 先根據(jù)RADIUS服務(wù)器IP地址查找路由表獲取出接口，然后再根據(jù)出接口確認(rèn)IP地址，如果RADIUS服務(wù)器添加的設(shè)備IP地址與路由出接口地址一致，則不需要再通過命令配置與RADIUS服務(wù)器通信的源IP地址。

[Huawei] display ip routing-table 10.10.10.1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto  Pre Cost Flags NextHop     Interface
10.10.10.0/24     Direct 0   0     D     10.10.10.76   Vlanif12
[Huawei] interface Vlanif 12
[Huawei-Vlanif12] display this
#
interface Vlanif12
 ip address 10.10.10.76 255.255.255.0
#

b. 如果RADIUS服務(wù)器添加的設(shè)備IP地址與路由出接口地址不同，則需要在設(shè)備上配置與RADIUS服務(wù)器通信的源IP地址。源IP地址可在全局下配置，也可在RADIUS服務(wù)器模板下配置，RADIUS服務(wù)器模板下配置的源IP地址優(yōu)先級高于全局下的配置。在VRRP雙機(jī)熱備場景開啟了無線配置同步條件下，只能在全局下配置與RADIUS服務(wù)器通信的源IP地址，如果是單機(jī)場景下，建議在RADIUS服務(wù)器模板下配置源IP地址。查詢設(shè)備上配置的與RADIUS服務(wù)器通信的源IP地址。

i. 查看全局是否配置與RADIUS服務(wù)器通信的源IP地址：

[Huawei] display radius-server configuration
------------------------------------------------------
Global:
 Radius Server Source IP Address           : -
 Radius Server Source IPv6 Address         : ::
 Radius Attribute Nas IP Address           : -
 Radius Attribute Nas IPv6 Address         : ::
------------------------------------------------------
[Huawei] display radius-server configuration
------------------------------------------------------
Global:
 Radius Server Source IP Address           : 100.1.1.1
 Radius Server Source IPv6 Address         : ::
 Radius Attribute Nas IP Address           : -
 Radius Attribute Nas IPv6 Address         : ::
------------------------------------------------------

如果“Radius Server Source IP Address”為“-”，則表明全局下沒有配置源IP地址，如果“Radius Server Source IP Address”為具體IP地址，則表明配置了源IP地址。

ii. 查看RADIUS服務(wù)器模板是否配置與RADIUS服務(wù)器通信的源IP地址

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] display this
#
radius-server template radius_test
 radius-server shared-key cipher %^%#x[yB5Wd"!3GqH6,@[kW(Xi6PYA%^%#
 radius-server authentication 10.10.10.1 1812 source ip-address 100.1.1.1 weight 80
 radius-server accounting 10.10.10.1 1813 source ip-address 100.1.1.1 weight 80
#
[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] display this
#
radius-server template radius_test
 radius-server shared-key cipher %^%#x[yB5Wd"!3GqH6,@[kW(Xi6PYA%^%#
 radius-server authentication 10.10.10.1 1812 source Vlanif 100 weight 80
 radius-server accounting 10.10.10.1 1813 source Vlanif 100 weight 80

如果RADIUS服務(wù)器模板下再認(rèn)證服務(wù)器或計費(fèi)服務(wù)器后面寫的“source ip-address”或者“source vlanif”，則表明RADIUS服務(wù)器模板下配置了源IP地址。

配置設(shè)備與RADIUS服務(wù)器通信的源IP地址。

i. 在全局下配置與RADIUS服務(wù)器通信源地址：

[Huawei] radius-server source ip-address 100.1.1.1

ii. 在RADIUS模板下配置與RADIUS服務(wù)器通信源IP地址：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server authentication 10.10.10.1 1812 source ip-address 100.1.1.1

3. 確認(rèn)設(shè)備與RADIUS服務(wù)器之間中間鏈路是否正常。

a. 從設(shè)備指定源IP ping服務(wù)器測試，確認(rèn)路由是否可達(dá)；

[Huawei] ping -a 10.10.10.76 10.10.10.1

b. 在設(shè)備和服務(wù)器同時抓包確認(rèn)認(rèn)證報文收發(fā)是否正常，常見問題有中間網(wǎng)絡(luò)存在防火墻，防火墻未放通RADIUS（默認(rèn)認(rèn)證端口：1812）報文。 4. 查看RADIUS服務(wù)器狀態(tài)是否正常，STState字段如果不是STState-up狀態(tài)，則為異常。

[Huawei] display radius-server item template radius_test
---------------------------------------------------------------
  STState    = STState-up
  STChgTime  = -
  Type       = auth-server
  State      = state-up
  AlarmFlag  = false
  STUseNum   = 1
  IPAddress  = 10.10.10.76
  AlarmTimer = 0xffffffff
  Head       = 10274
  Tail       = 10273
  ProbeID    = 255
 --------------------------------------------------------------

5. 確認(rèn)設(shè)備與RADIUS服務(wù)器配置的共享密鑰（shared-key）是否一致?？梢酝ㄟ^test-aaa命令測試，同時開啟radius debug打印，debug信息中如出現(xiàn)“Authenticator error·”則表示設(shè)備與RADIUS服務(wù)器配置的共享密鑰不一致，需要同時修改設(shè)備與RADIUS服務(wù)器上共享密鑰，使其相同。

[Huawei] test-aaa test test radius-template radius_test
[Huawei]
Oct 24 2020 1549.591.1+08:00 AC6605_129_76 RDS/7/DEBUG:
RADIUS packet: IN (TotalLen=20)
Len 1 ~ 20:
02 08 00 14 F6 DA 06 57 40 25 32 2A A9 70 6E FD
46 F6 B1 25
[Huawei]
Oct 24 2020 1549.591.2+08:00 AC6605_129_76 RDS/7/DEBUG:
[RDS(Err):] Receive a illegal packet(Authenticator error), please check share key config.(ip:10.10.10.1 port:1812)

設(shè)備支持在全局下配置指定RADIUS服務(wù)器的共享密鑰及在RADIUS服務(wù)器模板下配置共享密鑰，其中全局下的配置優(yōu)先級高于模板下的配置.

建議在RADIUS服務(wù)器模板下配置共享密鑰，如果兩個都配置的條件下，建議刪除全局下的配置，僅保留模板下的配置。

RADIUS服務(wù)器模板下配置共享密鑰：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server shared-key cipher huawei@123

全局下配置RADIUS服務(wù)器共享密鑰：

[Huawei] radius-server ip-address 10.10.10.1 shared-key cipher huawei@123

RADIUS服務(wù)器授權(quán)數(shù)據(jù)失敗

通過命令display aaa online-fail-record mac-address H-H-H查看終端上線失敗記錄，用戶上線失敗原因（User online fail reason）顯示Authorization data error。

[Huawei] display aaa online-fail-record mac-address 64e5-99f3-18f6
----------------------------------------------------------------
User name               : test
Domain name             : domaintest
User MAC                : 64e5-99f3-18f6
User access type        : 802.1x
User access interface   : Wlan-Dbss17496
Qinq vlan/User vlan     : 0/200
User IP address         : -
User IPV6 address       : -
User ID                 : 32873
User login time         : 2020/10/24 1634
User online fail reason : Authorization data error
Authen reply message    : -
User name to server     : test
AP ID                   : 0
Radio ID                : 0
AP MAC                  : 18de-d777-c120
SSID                    : dot1x_test
----------------------------------------------------------------

原因為RADIUS服務(wù)器授權(quán)了相關(guān)權(quán)限（如VLAN或者ACL等），但設(shè)備上無對應(yīng)的授權(quán)內(nèi)容配置（如未創(chuàng)建授權(quán)VLAN或者未創(chuàng)建授權(quán)ACL）。

通過業(yè)務(wù)診斷功能，追蹤終端用戶上線認(rèn)證過程，看到RADIUS服務(wù)器下發(fā)的授權(quán)內(nèi)容：

[Huawei] trace object mac-address 64e5-99f3-18f6
[Huawei] trace enable

授權(quán)VLAN檢查失敗

[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 194
ID      : 194
[Tunnel-Type                        ] [6 ] [13]
[Tunnel-Medium-Type                 ] [6 ] [6]
[Tunnel-Private-Group-ID            ] [6 ] [201]
[EAP-Message                        ] [6 ] [03 4a 00 04 ]
[State                              ] [16] [01uY31125N]
[MS-MPPE-Send-Key                   ] [52] [fb a1 e9 55 16 62 a3 e5 da 35 fc ce 3e 8f ae 7d ac 0a d6 0b 20 59 ad 82 a8 66 88 06 6a 81 10 82 61 95 2e cf 44 50 c0 79 e5 3f a4 32 43 45 a5 9e 2b c4 ]
[MS-MPPE-Recv-Key                   ] [52] [fb a1 e9 65 b1 18 6d 60 8f 0a ed af 53 1e 26 8a e6 18 9d 26 8c 21 c8 4f c2 8a 6a d5 a8 85 8a 9d ba d8 be 8d 97 b8 b8 d3 24 04 21 23 90 71 33 35 f4 6b ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/24 1614][6144][RADIUS][64e5-99f3-18f6]:Send authentication reply message to AAA.
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENACCEPT message(50) from RADIUS module(235).
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
CID:57  TemplateNo:4  SerialNo:73
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:12.12.12.1 Vrf:0
SessionTimeout:0 IdleTimeout:0
AcctInterimInterval:0 RemanentVolume:0
InputPeakRate:0 InputAverageRate:0
OutputPeakRate:0 OutputAverageRate:0
InputBasicRate:0 OutputBasicRate:0
InputPBS:0 OutputPBS:0
Priority:[0,0] DNS:[0.0.0.0, 0.0.0.0]
ServiceType:0 LoginService:0 AdminLevel:0 FramedProtocol:0
LoginIpHost:0 NextHop:0
EapLength:4 ReplyMessage:
TunnelType:13 MediumType:6 PrivateGroupID:201
WlanReasonCode:0
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]AAA check authen ack, check VLANID error!
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:Radius authorization data error.
[BTRACE][2020/10/24 1614][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:16,reason is:Radius authorization data error.

授權(quán)VLAN須知：

授權(quán)VLAN需要同時下發(fā)RADIUS 64號屬性Tunnel-Type，值固定為13，表示VLAN協(xié)議，RADIUS 65號屬性Tunnel-Medium-Type，值固定為6，表示以太類型，RADIUS 81號屬性Tunnel-Private-Group-ID，支持通過VLAN編號、VLAN描述信息、VLAN名稱和VLAN Pool授權(quán)，并且授權(quán)生效順序為：VLAN編號 > VLAN描述信息 > VLAN名稱 > VLAN Pool。

授權(quán)ACL檢查失敗

Received a authentication accept packet from radius server(server ip = 12.12.12.1).
[BTRACE][2020/10/24 1619][6144][RADIUS][64e5-99f3-18f6]:
Server Template: 4
Server IP   : 12.12.12.1
Server Port : 1812
Protocol: Standard
Code    : 2
Len     : 182
ID      : 205
[Filter-Id                          ] [6 ] [3000]
[EAP-Message                        ] [6 ] [03 4c 00 04 ]
[State                              ] [16] [01uY31432103]
[MS-MPPE-Send-Key                   ] [52] [bd ce 7f 1d bf 78 33 d4 6c 45 d8 d0 1b f7 ee d2 02 16 7a ac fd 62 25 88 f7 84 7a 22 44 d8 01 8a 99 a3 33 66 7d 47 e9 a7 ed 88 d5 01 f8 62 4f 9d cd 56 ]
[MS-MPPE-Recv-Key                   ] [52] [bd ce 7f 54 6f 27 35 d1 01 5c f1 5e aa e8 27 91 c7 8b 89 2f 06 8f ac 46 13 5c 92 78 ec cf 39 aa dc bb f8 ff b1 b8 5c 42 6b f8 ca 80 76 b1 e8 35 c9 ed ]
[Message-Authenticator              ] [18] [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ]
[BTRACE][2020/10/24 1619][6144][RADIUS][64e5-99f3-18f6]:Send authentication reply message to AAA.
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
AAA receive AAA_RD_MSG_AUTHENACCEPT message(50) from RADIUS module(235).
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
CID:58  TemplateNo:4  SerialNo:75
SrcMsg:AAA_RD_MSG_AUTHENREQ
PriyServer::: Vrf:0
SendServer:12.12.12.1 Vrf:0
SessionTimeout:0 IdleTimeout:0
AcctInterimInterval:0 RemanentVolume:0
InputPeakRate:0 InputAverageRate:0
OutputPeakRate:0 OutputAverageRate:0
InputBasicRate:0 OutputBasicRate:0
InputPBS:0 OutputPBS:0
Priority:[0,0] DNS:[0.0.0.0, 0.0.0.0]
ServiceType:0 LoginService:0 AdminLevel:0 FramedProtocol:0
LoginIpHost:0 NextHop:0
EapLength:4 ReplyMessage:
TunnelType:0 MediumType:0 PrivateGroupID:
ACLID:3000
WlanReasonCode:0
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]AAA check radius authen ack, check acl error!
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:Radius authorization data error.
[BTRACE][2020/10/24 1619][6144][AAA][64e5-99f3-18f6]:
[AAA ERROR]authen finish,the authen fail code is:16,reason is:Radius authorization data error.

授權(quán)ACL須知：無線場景下，授權(quán)ACL ID取值范圍為3000-3031，ACL中rule id最大為64。

RADIUS服務(wù)器授權(quán)數(shù)據(jù)失敗排查步驟如下：

1. 確認(rèn)是否需要對應(yīng)的授權(quán)。

如果需要，則需要在設(shè)備上創(chuàng)建對應(yīng)的授權(quán)內(nèi)容，如授權(quán)VLAN需要在設(shè)備上創(chuàng)建對應(yīng)VLAN；如授權(quán)ACL需要創(chuàng)建對應(yīng)ACL，并且在ACL中配置相應(yīng)規(guī)則。

如果不需要，可以修改RADIUS服務(wù)器上的授權(quán)策略，將對應(yīng)授權(quán)內(nèi)容刪除，也可以在設(shè)備通過配置忽略對應(yīng)的授權(quán)內(nèi)容，配置命令如下：

忽略授權(quán)VLAN：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Tunnel-Private-Group-ID receive

忽略授權(quán)ACL：

[Huawei] radius-server template radius_test
[Huawei-radius-radius_test] radius-server attribute translate
[Huawei-radius-radius_test] radius-attribute disable Filter-Id receive

終端與設(shè)備之間存在NAT

通過debugging web all，可以看到收到終端http請求報文，但源IP地址不是用戶實際IP地址，出現(xiàn)報錯“[Web-Evt] WEBAdp FindOut AccessIf By IpVrf. Can't Find Sta Mac By Ip(0xc0c0c4b) From AC Snooping Table!”。


Dec 01 2020 1714.947.1+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Web receive http msg.

Dec 01 2020 1714.947.2+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Web http msg accept.

Dec 01 2020 1714.947.3+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt]  Src:User Event:Accept HTTP connect(IP:12.12.12.75 , PORT:10253 , RequestId:669978704.)

Dec 01 2020 1714.947.4+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] [WEB RecvHttp] Userip = 12.12.12.75,UserVrf = 0.

Dec 01 2020 1714.947.5+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  Method:GET

Dec 01 2020 1714.947.6+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  HTTP Version:HTTP/1.1

Dec 01 2020 1714.947.7+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg]  Http Version:HTTP/1.1

Dec 01 2020 1714.947.8+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669978704, Field:Content-Length, ret:1

Dec 01 2020 1714.947.9+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669978704, Field:If-Modified-Since, ret:1

Dec 01 2020 1714.947.10+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669978704, Field:Cookie, ret:1

Dec 01 2020 1714.947.11+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669978704, Field:Referer, ret:1

Dec 01 2020 1714.947.12+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] WEB Get Header Value, RequestId:669978704, Field:Host, ret:1

Dec 01 2020 1714.947.13+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] WEBAdp FindOut AccessIf By IpVrf. Can't Find Sta Mac By Ip(0xc0c0c4b) From AC Snooping Table!

Dec 01 2020 1714.947.14+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] WEBAdp FindOut AccessIf By IpVrf. Get IP information.(ulGwIpaddr=12.12.12.76,ulDstIpaddr=12.12.12.0, ulDstIpMask=255.255.255.0)

Dec 01 2020 1714.947.15+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Evt] Get ulNextHop.(ulNextHop=0xc0c0c4c)

Dec 01 2020 1714.947.16+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Err] WEBAdp FindOut AccessIf By IpVrf. Get Sta Info By Mac Failed!

Dec 01 2020 1714.947.17+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get user access ifinex by ip fail[1]: ip[12.12.12.75]

Dec 01 2020 1714.947.18+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get receive ifindex by CIB fail!.

Dec 01 2020 1714.947.19+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Get user ifindex[4], L3IfIndex[4294967295], VID[12].

Dec 01 2020 1714.947.20+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Msg] Portal disable on ifindex[4], L3IfIndex[4294967295].

Dec 01 2020 1714.947.1+08:00 AC6605_8_76 WEB/7/DEBUG:
[Web-Err] Get web server config fail[1].
[Huawei] display access-user
-----------------------------------------------------------------
UserID  Username        IP address     MAC                Status
-----------------------------------------------------------------
16654   5cd998bc034c    200.1.1.64     5cd9-98bc-034c     Pre-authen
-----------------------------------------------------------------
Total: 1, printed: 1

該問題原因為終端用戶與設(shè)備之間存在NAT，設(shè)備收到終端http請求報文的源IP地址為NAT轉(zhuǎn)后之后的IP地址，設(shè)備根據(jù)該IP地址無法查找到用戶信息，導(dǎo)致認(rèn)證失敗。

如果設(shè)備版本為V200R019及之后版本，該問題可通過增加配置使用HTTP/HTTPS協(xié)議進(jìn)行Portal認(rèn)證時CAPWAP隧道轉(zhuǎn)發(fā)的IP地址來解決，該CAPWAP隧道轉(zhuǎn)發(fā)的IP地址為設(shè)備本機(jī)地址，與設(shè)備登錄URL對應(yīng)的IP地址相同。

[Huawei] portal tunnel-forward ip 12.12.12.76

信息采集

用戶狀態(tài)

[Huawei] display access-user mac-address xxxx-xxxx-xxxx

trace和station-trace

在AC上采集trace信息，復(fù)現(xiàn)問題，可看到終端認(rèn)證過程。

[Huawei] trace object mac-address xxxx-xxxx-xxxx
[Huawei] trace object ip-address xx.xx.xx.xx
[Huawei] trace enable

在AC上采集station-trace信息，復(fù)現(xiàn)問題，可看到AP上終端認(rèn)證報文收發(fā)情況。

[Huawei-diagnose] station-trace sta-mac xxxx-xxxx-xxxx

采集完成后，需要關(guān)閉trace信息

[Huawei] undo trace object mac-address xxxx-xxxx-xxxx
[Huawei] undo trace object ip-address xx.xx.xx.xx
[Huawei] undo trace enable
[Huawei-diagnose] undo station-trace sta-mac xxxx-xxxx-xxxx

終端上下線原因

AAA側(cè)終端上下線原因查看命令：

[Huawei] display aaa online-fail-record mac-address xxxx-xxxx-xxxx
[Huawei] display aaa abnormal-offline-record mac-address xxxx-xxxx-xxxx
[Huawei] display aaa offline-record mac-address xxxx-xxxx-xxxx

WLAN側(cè)終端上下線原因查看命令：

[Huawei-diagnose] display station online-fail-record sta-mac xxxx-xxxx-xxxx [Huawei-diagnose] display station offline-record sta-mac xxxx-xxxx-xxxx

協(xié)議回放

RADIUS協(xié)議回放

[Huawei-diagnose] display aaa abnormal-radius-track mac xxxx-xxxx-xxxx

日志

AAA上線日志（記錄在AC log日志中）

%%01CM/5/USER_ACCESSRESULT(s)[395622]:[WLAN_STA_INFO_AUTHENTICATION]ACMAC:xx-xx-xx-xx-xx-xx;ACNAME:xxx;APMAC:xx-xx-xx-xx-xx-xx;APNAME:xxx;SSID:xxx;RADIOID:1;USER:xxx;MAC:xx-xx-xx-xx-xx-xx;IPADDRESS:-;TIME:1608639482;ZONE:UTC+0300;DAYLIGHT:false;ERRCODE:4294967295;RESULT:Open;USERGROUP:NULL;CIB ID:10192;INTERFACE:Wlan-Dbss18108;ACCESS TYPE:None;RDSIP:-;Portal TYPE:-;AUTHID=866625466;AuthFailType:MAC;AUTHPROTOCOL:PAP;

AAA下線日志（記錄在AC log日志中）

%%01CM/5/USER_OFFLINERESULT(s)[395621]:[WLAN_STA_INFO_OFFLINE]ACMAC:xx-xx-xx-xx-xx-xx;ACNAME:xxx;APMAC:xx-xx-xx-xx-xx-xx;APNAME:xxx;SSID:xxx;RADIOID:1;USER:xxx;MAC:xx-xx-xx-xx-xx-xx;IPADDRESS:-;TIME:1608639482;ZONE:UTC+0300;DAYLIGHT:false;SESSIONTIME:2;ERRCODE:208;RESULT:Authentication during association failed;USERGROUP:NULL;AUTHENPLACE:None;EXTENDINFO:The signal strength of the STA is -43 dbm.;CIB ID:11430;INTERFACE:Wlan-Dbss18108;ACCESS TYPE:None;RDSIP:-;Portal TYPE:-;AUTHID=1837558961;AUTHPROTOCOL:-;

AP上dot1x高精度日志（記錄在AP log日志中）

%%01WSRV/6/STA_EVENT_DOT1X_PROC(l)[294062]:dot1x authentication procedure(ApMac=xx-xx-xx-xx-xx-xx,UserMac=xx-xx-xx-xx-xx-xx,Identify=xxx,RadioId=1,Band=2,VapId=20,SSID=xxx,Result=Fail,Msg=ae 5 17;se 0 19;se 38 26;ae 6 47;se 166 49;ae 1012 77;se 6 104;ae 1008 121;se 6 122;ae 10 154;se 136 162;ae 57 219;se 6 229;ae 36 246;se 69 248;ae 69 269;se 123 272;ae 82 293;se 37 294;ae 46 314;se 46 315;ae 4

AP上終端關(guān)聯(lián)/去關(guān)聯(lián)日志

一鍵診斷信息

[Huawei] display diagnostic-information

原文標(biāo)題：S系列交換機(jī)維護(hù)寶典 | HTTP協(xié)議外置Portal認(rèn)證失敗

文章出處：【微信公眾號：華為產(chǎn)品資料】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

審核編輯：彭菁

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴

服務(wù)器

服務(wù)器

+關(guān)注

關(guān)注
12

文章
8862

瀏覽量
84959
HTTP

HTTP

+關(guān)注

關(guān)注
0

文章
496

瀏覽量
30897
URL

URL

+關(guān)注

關(guān)注
0

文章
138

瀏覽量
15273

原文標(biāo)題：S系列交換機(jī)維護(hù)寶典 | HTTP協(xié)議外置Portal認(rèn)證失敗

文章出處：【微信號：huaweidoc，微信公眾號：華為產(chǎn)品資料】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

什么是HTTP協(xié)議？HTTP協(xié)議的基本特點(diǎn)和發(fā)展歷程

上期文章小編給大家介紹了一些關(guān)于MQTT協(xié)議的基礎(chǔ)知識，今天我們來了解另一個應(yīng)用層協(xié)議——HTTP協(xié)議。

發(fā)表于 08-04 09:52 ?1484次閱讀

什么是<b class='flag-5'>HTTP</b><b class='flag-5'>協(xié)議</b>？<b class='flag-5'>HTTP</b><b class='flag-5'>協(xié)議</b>的基本特點(diǎn)和發(fā)展歷程

基于模塊HTTP測試流程

多，對于 HTTP 其實并沒有太過深入的了解，寫本文的目的就是記錄一下 EC800 HTTP 協(xié)議的使用流程，給大家提供一個例子，在對 HTTP

發(fā)表于 09-11 15:05 ?1140次閱讀

Protal wifidog的認(rèn)證流程

此時并沒有下線 3. 當(dāng)wifidog再次發(fā)起?；钫埱髸r，認(rèn)證服務(wù)器會告訴它用戶已下線，此時wifidog會將用戶下線 認(rèn)證流程描述（摘自apfree wifidogV2協(xié)議文檔

發(fā)表于 07-24 08:10

超文本傳輸協(xié)議（HTTP）介紹

超文本傳輸協(xié)議（HTTP）是一種用于分布式、協(xié)作式、超媒體信息系統(tǒng)的應(yīng)用層協(xié)議。HTTP是萬維網(wǎng)（World Wide Web）數(shù)據(jù)通信的基礎(chǔ)，超文本文檔包括指向用戶可以輕松訪問的其他

發(fā)表于 11-20 17:53

WebClient軟件包在嵌入式設(shè)備上實現(xiàn)HTTP協(xié)議的流程

WebClient軟件包在嵌入式設(shè)備上實現(xiàn)HTTP協(xié)議的工作原理及流程

發(fā)表于 04-02 07:17

HTTP協(xié)議是什么

前言HTTP協(xié)議（HyperText Transfer Protocol，超文本傳輸協(xié)議）是因特網(wǎng)上應(yīng)用最為廣泛的種網(wǎng)絡(luò)傳輸協(xié)議，所有的WWW文件都必須遵守這個標(biāo)準(zhǔn)。

發(fā)表于 08-03 06:12

什么是Http協(xié)議？

文章目錄**1、說一下什么是Http協(xié)議？****2、什么是Http無狀態(tài)協(xié)議？怎么解決Http無狀態(tài)協(xié)

發(fā)表于 12-22 06:27

HTTP協(xié)議的相關(guān)資料分享

前言HTTP協(xié)議是一個簡單的請求-響應(yīng)協(xié)議，它通常運(yùn)行在TCP之上，傳輸端口一般為80。它指定了客戶端可能發(fā)送給服務(wù)器什么樣的消息以及得到什么樣的響應(yīng)。請求和響應(yīng)消息的頭以ASCII碼形式給出；在

發(fā)表于 02-10 07:46

HTTP,HTTP協(xié)議的作用是什么?

HTTP,HTTP協(xié)議的作用是什么? HTTP：Hypertext Transfer Protocol 超文本傳輸協(xié)議（

發(fā)表于 03-22 10:45 ?2.5w次閱讀

HTTP協(xié)議培訓(xùn)教程資料

HTTP協(xié)議培訓(xùn)教程資料 協(xié)議基礎(chǔ)　　HTTP（HyperText Transfer Protocol）是超文本傳輸協(xié)議的縮寫，它用于傳送

發(fā)表于 03-22 10:47 ?577次閱讀

什么是HTTP/超文本傳送協(xié)議

什么是HTTP/超文本傳送協(xié)議 WWW建立在因特網(wǎng)上并且使用因特網(wǎng)協(xié)議族，是Web協(xié)議集中的重要協(xié)議。

發(fā)表于 03-22 10:59 ?2199次閱讀

HTTP協(xié)議的使用方式和設(shè)計原理講解

HTTP 協(xié)議在網(wǎng)絡(luò)知識中占據(jù)了重要的地位，HTTP 協(xié)議最基礎(chǔ)的就是請求和響應(yīng)的報文，而報文又是由報文頭（Header）和實體組成。大多數(shù) Htt

發(fā)表于 06-28 09:08 ?4157次閱讀

第三方Portal服務(wù)器認(rèn)證介紹

Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。用戶上網(wǎng)時，必須在門戶網(wǎng)站進(jìn)行

發(fā)表于 12-22 09:38 ?4055次閱讀

大話HTTP協(xié)議前世今生

HTTP 全稱 Hypertext Transfer Protocol，中文是超文本傳輸協(xié)議。網(wǎng)上講 HTTP 協(xié)議的資料可以說是五花八門，但大多數(shù)都在羅列

發(fā)表于 02-07 16:03 ?650次閱讀

如何理解HTTP協(xié)議是無狀態(tài)的

1、HTTP 協(xié)議與 TCP/IP 協(xié)議的關(guān)系 HTTP 的長連接和短連接本質(zhì)上是 TCP 長連接和短連接。HTTP 屬于應(yīng)用層

發(fā)表于 11-11 15:46 ?2307次閱讀

搜索歷史

HTTP協(xié)議Portal認(rèn)證流程

評論

什么是HTTP協(xié)議？HTTP協(xié)議的基本特點(diǎn)和發(fā)展歷程

基于模塊HTTP測試流程

Protal wifidog的認(rèn)證流程

超文本傳輸協(xié)議（HTTP）介紹

WebClient軟件包在嵌入式設(shè)備上實現(xiàn)HTTP協(xié)議的流程

HTTP協(xié)議是什么

什么是Http協(xié)議？

HTTP協(xié)議的相關(guān)資料分享

HTTP,HTTP協(xié)議的作用是什么?

HTTP協(xié)議培訓(xùn)教程資料

什么是HTTP/超文本傳送協(xié)議

HTTP協(xié)議的使用方式和設(shè)計原理講解

第三方Portal服務(wù)器認(rèn)證介紹

大話HTTP協(xié)議前世今生

如何理解HTTP協(xié)議是無狀態(tài)的