portal认证失败提示向设备发送请求失败故障排查.pdfVIP

知 portal认证失败提示向设备发送请求失败故 排查 Portal 杨银波 2016-03-09 发表 在portal认证场景中 ，认证过程主要包括两个阶段。第一阶段是用户与portal服务器之间的portal报文 交互 ：用户发起认证请求 ，portal服务器根据获取到的用户信息给用户推送认证页面 ，用户输入认证 账号密码等信息上传给portal服务器让其 “代理”后续认证。第二阶段是portal BAS设备和AAA服务 器之间的radius报文交互 ：BAS设备将从portal服务器获取到的认证账号密码以及challenge值等信息 发送给AAA服务器进行正确性校验 ，校验一致则认证成功用户上线 ，校验失败则认证终止。 H3C iMC智能管理中心的UA M组件作为H3C推出的用户接入管理解决方案产品 ，本身就包含portal和 AAA的功能 （即其可以同时作为portal服务器和AAA服务器 ）。在使用iMC来进行portal认证时由于i MC或portal BAS设备的配置错误经常会出现认证失败并提示向设备发送请求超时的问题 ，本文对此问 题进行详细分析并提供排查思路 ，供现场出现故 时参考。 向设备发送请求超时 iMC运行状态异常 ； 防火墙配置 ； 端口配置不一致或无法访问 ； 认证计费密码或portal密码配置不一致 ； NAS IP , PORTA L NAS IP配置问题 ； IMC能够正常提供portal认证服务的前提是安装部署了EIA组件 ，并且安装部署后的进程启动正常。在 portal认证场景中主要用到的进程有portalserver.exe和uam.exe进程 ，如下图所示 ： 注 ：不同的功能在iMC后台会对应到不同的进程 ，任何进程的运行异常都有可能导致其他相关功能的 故 ，所以请保证所有进程都是绿色成功启动状态。 一、 检查防火墙配置 在进行portal认证过程中 ，portal BAS设备主要和iMC服务器的UDP 50100,50200,50900以及1812 、1813端口进行报文交互。如果网络间有防火墙对这些端口进行了过滤就会导致报文交互异常 ，出现 此问题。此时可排查网络中的过滤策略 ，关闭iMC服务器系统 自带的防火墙解决。 二、 检查设备全局配置 BAS设备上的portal server地址错误也会导致此问题产生。检查在BAS设备的全局视图下配置的porta l server $server_ name ip 2 key h3ch3c url 2:8080/portal中的I P地址和端口是否正确。此处的url内容应与iMC页面portal服务管理中一致 ，如下图所示 ： 三、 检查设备端口配置 BAS设备上接口如果没有开启portal认证 ，也会出现此问题。检查BAS设备需要认证的接口视图下是否 配置了portal server $server_ name method direct ，保证$server_ name和全局视图下配置的一致 。这里的method有direct和layer3两种 ，需要视具体的组网情况来定。当终端和portal BAS设备处于 同一网段时需配置成direct模式 ，当终端和portal BAS设备是跨三层时需要配置成layer3模式。并且i MC上也需要进行相应的配置 ，如下图所示 ： 四、 检查portal nas ip BAS设备在发送给iMC服务器portal报文时所用的源地址叫做portal nas ip ，而iMC发送给BAS设备p ortal报文时是以在 【portal设备管理】中添加设备时输入的IP地址作为 目的地址的 ，当这两地址不一 致时就会造成此问题发生。此时需要检查B