问题现象

此局点采用portal认证方式上网,客户表示现场曾触发过portal逃生,服务器恢复以后portal user表项与实际portal认证的用户个数不一致,老用户无需重新认证即可上网,并且display portal user表项中没有老用户的信息,display wlan client有老用户信息,新用户的portal认证流程正常。

设备版本:

H3C WX5540E Version 5.20, Release 2609P58

组网如图所示:

原因分析

根据客户反馈现场有两台服务器之前做过替换,并且是在portal逃生发生之后,控制器的配置也做了相应的改变,具体改动过程如下:

1)新建一个portal server potal-test,ip地址改为服务器2的地址(原先portal server为portal,地址为服务器1的ip);

2)vlan接口下undo portal server portal,并开启新的portal server portal-test method direct;

3)停止服务器1,并且取消原先的服务器可达性检测功能undo portal server portal server-detect,然后开启新的服务器可达性检测功能portal server portal-test server-detect method portal-heartbeat http action trap log permit-all interval 60 retry 2;

4)开启服务器2;

经过实验室复现上述操作过程,现象也完全吻合,分析触发老用户无需认证即可上网的原因是:

1)首先Portal server不可达,触发了portal逃生;

2)Portal server未恢复时,删除了逃生配置“undo portal server xxx server-detect”;--此时触发问题

因此,在portal逃生的状态下,设备上删除了服务器可达性探测功能,此时设备不对逃生规则做任何处理,也即逃生规则还存在,使得原先的用户不用认证即可上网。

解决办法

由于逃生规则一直存在,即使再配置其他portal命令时,这个逃生规则都不受影响,只有在接口去使能portal可以删除逃生规则,然后重新使能一次即可正常恢复认证上网,用户表项也可以对应上。此问题的触发是有人为因素的,触发条件是人为修改了控制器配置。

案例信息

案例类型:经验案例
案例号:201804170011
创建时间:2018年4月17日
更新时间:2018年4月24日
发布时间:2018/4/24 17:57:50
文章密级:游客可见
有效期:长期有效
发布者:刘郑畅 [L15231]
点击次数:12489
评论平均得分:0
关键词:无线控制器,portal服务器,portal逃生
产品线:无线控制器
产品系列:WX5500E系列
产品版本:Version 5.20, Release 2609P58
故障类型:

常用操作
收藏