ac和华为me60对接过程中mac认证的另类解决办法
  

新手346121 30261人觉得有帮助

{{ttag.title}}
ac和me60对接mac认证(注销禁用mac的问题可以联系某公司工程师打补丁)失败,折腾了一段时间。今天测试暂时正常了。写下排查过程ac上错误提示。
日志中心上错误提示
抓包分析
发现华为me60发了一个停止包。在me60上跟踪用户
Dec 24 2020 08:04:36 Me60-1 BTRC/7/BTRC_DebugInfo:
[objectID=1][slotID=9][WEB][user info:
  MAC Address    : F0DE-F197-A3A8
  IP Address     : 172.27.200.228
  Interface      : Eth-Trunk1.3601
  PE VLAN ID     : 3601
  User Name      : f0de-f197-a3a8@mac-auth-bef
[trace info:[Web-Err] [id/related block/related id = 0x640/na/0xffffffff][PORTALSERVER->WEB][Error]Authentication request packet is not chap]
发现这个错误。(华为也没有给出结论)
折腾吧。偶尔发现在ac上把控制器删除在建或改个端口,正常一段时间。但解决不了问题,又反复抓包,也看不出问题。(自己猜的,ac给华为发个包,华为认为错误发停止计费包。)因为对接华为的s12710正常,一直想着是对接参数的问题。反复调参数,其实也没什么可调的(两个设备也重启过)。后来ac上改控制器设置时ip时输错了。
mac认证正常了几天。但出现帐号登录不正常了。出现和上面一样的问题。问题找到了。ac和控制器通信导致mac认证失败(反正不知道问题出在哪个设备上)。
想个想用了一个另类的解决办法,me60上在新建个认证组
radius-server group dj
radius-server shared-key-cipher %^%#&8iSQHP4]MB0$YQgIF61y/ndQ$kq9EF*>aR^x^LH%^%#   
radius-server authentication 172.27.66.102 1812 weight 0
radius-server accounting 172.27.66.102 1813 weight 0
radius-server source interface Eth-Trunk1.4000  (这里地址和ac上地址不一致就行。)
undo radius-server user-name domain-included
修改mac认证域
domain mac-auth-bef
  authentication-scheme mac-auth-ceshi
  accounting-scheme zzcsjr
  radius-server group dj  (这里换上新的认证组)
  ip-pool ceshi
  mac-authentication enable
  dhcp discover user offline
ac和me60不通信,这样me60就不发停止包了。mac认证正常(刚测试,看几天在说)
正常帐号登录还用老的认证组。
web认证前域和认证后域还用老的(和ac上通信地址一致)。
(注意:mac认证的话,ac上注销用户是不起作用的。不管地址和ac上一致不一致都是这样。帐号登录注销后可以马上以mac免认证上线。)

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Sangfor_闪电回_朱丽 发表于 2021-1-7 09:11
  
感谢楼主带来的经验分享,文章已被收录到技术博客中,以便让更多的用户关注和学习!

社区有奖征文活动正在进行,发布技术笔记和原创分享,均有奖励!欢迎投稿,活动详见:
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=127729
gqce 发表于 2021-1-7 09:48
  
感谢分享         
司马缸砸了光 发表于 2021-1-13 09:08
  
图文并茂,非常详细,适合学习参考
sangfor_1143 发表于 2021-1-16 10:23
  
感谢楼主的分享,楼主针对ac和华为me60对接mac认证失败这一问题做了较为详细的一个排查,首先是在AC上看认证失败的日志以及抓包分析,到最后发现是在AC上修改控制器IP错误导致的问题,期待楼主后续带来更多有价值的分享
策马路 发表于 2021-1-16 19:39
  
感谢楼主图文并茂的分享
平凡的小网工 发表于 2021-12-5 20:55
  
多谢楼主的分享,十分详细的对接分享。学习了
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
每日一问
干货满满
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
功能体验
通用技术
秒懂零信任
安装部署配置
原创分享
技术晨报
自助服务平台操作指引
每周精选
标准化排查
排障笔记本
玩转零信任
深信服技术支持平台
社区新周刊
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人