portal认证注销失败问题处理

2023-10-3

问题描述

认证节点为华为S7706交换机，portal认证服务器及radius服务器为深澜，当认证成功后在portal认证界面点击注销或登录自助服务页面强制终端下线、终端仍可以上网，服务器侧状态已经是下线状态，但是交换机侧还在线。

关键配置如下：
#
domain xxxx
authentication-scheme xxxx
accounting-scheme xxxx
radius-server xxxx
#
authentication-profile name xxxx
portal-access-profile xxxx
free-rule-template default_free_rule
access-domain xxxx
#
web-auth-server xxxx
server-ip xx.68.66.12
port 50200
shared-key cipher xxxx
url http://xx.68.66.12/index_2.html
source-ip 10.xxx.10.38
#
radius-server template xxxx
radius-server shared-key cipher xxxx
radius-server authentication xx.68.66.12 1812 weight 80
radius-server accounting xx.68.66.12 1813 weight 80
radius-server authorization xx.68.66.12 shared-key cipher xxxx
#

处理过程

1、首先在交换机上执行命令查看终端在线情况：

<Huawei>display access-user ip-address 192.XX.XX.123

此时看到终端认证状态仍为success，并未随radius端进行下线

2、检查交换机侧已配置授权服务器（radius-server authorization xx.68.66.12 shared-key cipher xxxx）

3、交换机侧查询终端上下线信息：

display aaa online-fail-record ip x.x.x.x
display aaa abnormal-offline-record ip x.x.x.x
display aaa offline-record ip x.x.x.x

均为看到相关信息。

4、尝试配置与radius服务器交互的源地址：

radius-server authorization server-source all-interface

问题解决，服务器端进行离线操作，交换机侧同步下线

根因

该版本交换机与radius服务器交互需对源地址进行配置，且因为计费报文为1812而非3799，指定源地址时无法指定nas-ip，只能配置all-interface。

版权声明网站名称： 树洞笔记
本站网址：www.x8xx.cn
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
我们非常重视版权问题，如有侵权请邮件与我们联系处理。敬请谅解！邮件：hole8443@gmail.com
网站部分内容来源于网络，版权争议与本站无关。请在下载后的24小时内从您的设备中彻底删除上述内容。
如无特别声明本文即为原创文章仅代表个人观点，版权归《树洞笔记》所有，欢迎转载，转载请保留原文链接。

THE END