ac和华为me60对接过程中mac认证的另类解决办法

ac和me60对接mac认证（注销禁用mac的问题可以联系某公司工程师打补丁）失败，折腾了一段时间。今天测试暂时正常了。写下排查过程ac上错误提示。

日志中心上错误提示

抓包分析

发现华为me60发了一个停止包。在me60上跟踪用户

Dec 24 2020 08:04:36 Me60-1 BTRC/7/BTRC_DebugInfo:

[objectID=1][slotID=9][WEB][user info:

  MAC Address    : F0DE-F197-A3A8

  IP Address     : 172.27.200.228

  Interface      : Eth-Trunk1.3601

  PE VLAN ID     : 3601

  User Name      : f0de-f197-a3a8@mac-auth-bef

[trace info:[Web-Err] [id/related block/related id = 0x640/na/0xffffffff][PORTALSERVER->WEB][Error]Authentication request packet is not chap]

发现这个错误。（华为也没有给出结论）

折腾吧。偶尔发现在ac上把控制器删除在建或改个端口，正常一段时间。但解决不了问题，又反复抓包，也看不出问题。（自己猜的，ac给华为发个包，华为认为错误发停止计费包。）因为对接华为的s12710正常，一直想着是对接参数的问题。反复调参数，其实也没什么可调的（两个设备也重启过）。后来ac上改控制器设置时ip时输错了。

mac认证正常了几天。但出现帐号登录不正常了。出现和上面一样的问题。问题找到了。ac和控制器通信导致mac认证失败（反正不知道问题出在哪个设备上）。

想个想用了一个另类的解决办法，me60上在新建个认证组

radius-server group dj

radius-server shared-key-cipher %^%#&8iSQHP4]MB0$YQgIF61y/ndQ$kq9EF*>aR^x^LH%^%#   

radius-server authentication 172.27.66.102 1812 weight 0

radius-server accounting 172.27.66.102 1813 weight 0

radius-server source interface Eth-Trunk1.4000  （这里地址和ac上地址不一致就行。）

undo radius-server user-name domain-included

修改mac认证域

domain mac-auth-bef

  authentication-scheme mac-auth-ceshi

  accounting-scheme zzcsjr

  radius-server group dj  （这里换上新的认证组）

  ip-pool ceshi

  mac-authentication enable

  dhcp discover user offline

ac和me60不通信，这样me60就不发停止包了。mac认证正常（刚测试，看几天在说）

正常帐号登录还用老的认证组。

web认证前域和认证后域还用老的（和ac上通信地址一致）。

（注意：mac认证的话，ac上注销用户是不起作用的。不管地址和ac上一致不一致都是这样。帐号登录注销后可以马上以mac免认证上线。）

感谢楼主带来的经验分享，文章已被收录到技术博客中，以便让更多的用户关注和学习！

社区有奖征文活动正在进行，发布技术笔记和原创分享，均有奖励！欢迎投稿，活动详见：
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=127729

感谢分享         

图文并茂，非常详细，适合学习参考

感谢楼主的分享，楼主针对ac和华为me60对接mac认证失败这一问题做了较为详细的一个排查，首先是在AC上看认证失败的日志以及抓包分析，到最后发现是在AC上修改控制器IP错误导致的问题，期待楼主后续带来更多有价值的分享

感谢楼主图文并茂的分享

多谢楼主的分享，十分详细的对接分享。学习了