#原创分享#记一次ac结合华三IMC单点登录的经历

感谢分享，学习一下~

【IMC单点登录认证原理】

      用户通过H3C的IMC系统认证后，IMC系统向AC发送一个UDP包(UDP包，Radius协议); AC通过IMC认证后台创建一个线程进行监听，如果收到 IMC.上线通知包，解析出上线用户名和IP,  走单点登录流程，将用户添加到组织结构，然后上线；

【问题现象】

imc组单点登录失败以不需要认证上线，没有实现客户需求。

      起初同事转过来的远程，协助排查没有发包，让华三工程师查看imc的配置问题，因是周五，周末私人问题没有及时协调跟进，导致周末华三哥们一人排查半天什么结论没出来，周一华三销售群里大发脾气，挨人叼，后吃了个扣除绩效的处罚，也是第一个处罚，自我检讨下，协调协调永远是最重要的一环，真是优秀的一批...

后安排此上门协助排查：

1.检查配置，几个注意的点：华三imc配置私有报文协议传输，AC与h3c IMC对接的时候，IMC默认端口是61442，端口是否放通等，发现配置等无异常

2.在AC的eth0抓取与IMC设备通信的数据包，发现只要IMC发送给AC登录的数据包，用户都能够在设备上面单点登录上来

（图找不到了，凑合看看。。）

3.现场华三IMC设备在重新认证后重新上线也没有发出数据包。测试发现，账号下线后imc依然在线且1个多小时后仍然在线，重新上线后按照之前上线账号时长计时，且没有发送登录报文，判定可能是imc机制或者超时注销设置等细节问题，认定为依然是在线用户，不存在登录注销的操作，不发送登录上线报文，故ac单点登录失败以ip上线。

【当天结论】

通过抓包及现场确认，可能是IMC机制的问题或者超时注销等细节配置问题，imc不下线判处故不发送登录报文。

滴滴滴，时间来到了第二天，华三工程师协调研发更改超时注销时间，发现华三imc上上线后都成功单点登录，大部分用户在imc上线后，AC设备以单点登录方式上线，且显示用户名信息。有一个IP（192.168.65.30）未单点登录成功，怀疑是从未下线，建议进行重认证测试是否可以正常单点登录上线。极个IP（192.168.64.3/192.168.68.141）属于认证段，未在IMC上显示上线，在AC设备却能显示上线，建议客户排查是否是有线用户误用了无线网段，后排查确实是无线网段误用情况。

                                          

注：设计客户信息，已打马赛克

后强制下线重新认证上线，单点登录成功，个别不在imc上线列表，在imc无线网段的情况为有线私配地址上线，为业务不规范现象。

总结：

1.项目到手，协调资源很重要，吃了此项目血的教训，希望引以为戒。
2.本次结合华三imc单点登录案例排除配置问题，可进一步定位数据包传输问题，数据有发无收：排查中间拦截及设备问题。 数据无发：排查imc问题。 数据有收有发但仍单点失败：是否超时注销冲突，用户长时间不掉线，或者对于上下线不敏感设置，故不发UDP上线包等判处，具体问题具体分析。

以上为小白个人经历，才疏学浅，不喜勿喷。(有高见指教下也无伤大雅）