中文讨论区

Reply
Contributor I
Posts: 28
Registered: ‎06-15-2014

在没有clearpass的情况下,能否实现MAC与portal的混合认证?

 

没有clearpass, 同一个SSID下,能不能实现部分特殊设备用内部数据MAC认证,其它的用portal 认证? 
当前我一个客户有这个需求,部分广告机,监控等约40来个特殊设备无法用portal认证要使用内部服务器的MAC认证,其它手机终端等用portal 认证,现在发现部分portal认证的用户在切换AP漫游时,提示认证失败,需要重新走一次portal认证才可以上网,这部分客户是极少数。这些客户终端各种OS或型号都有,没有规律,感觉象是随机的。
 
通过debug认证过程,发现切换AP时,系统会请求一次MAC认证,大多数不报错,但有部分报错,报错后拿到的角色就不对了,所以不能上网,需要重新走portal认证。
 
当前临时解决方法是单独启用一个SSID给需要MAC认证设备用。但用户是希望只用一个SSID,同时满足特殊设备走MAC认证,其它走Portal认证,请问大虾有什么好的建议或方案来实现?
 
以下是关闭MAC认证,开启MAC认证后不正常用户与正常用户的认证跟踪部分信息。
 
关闭内部数据库的MAC认证功能后,漫游时不会有MAC认证
(Aruba7210) #show auth-tracebuf mac 84:38:38:04:0e:16

Warning: user-debug is enabled on one or more specific MAC addresses;
only those MAC addresses appear in the trace buffer.

Auth Trace Buffer
Sep 11 17:17:16 station-down * 84:38:38:04:0e:16 9c:1c:12:4c:f8:a0 - -
Sep 11 17:17:23 station-up * 84:38:38:04:0e:16 9c:1c:12:4c:f8:a0 - - open system
Sep 11 17:18:11 station-down * 84:38:38:04:0e:16 9c:1c:12:4c:f8:a0 - -
Sep 11 17:18:11 station-up * 84:38:38:04:0e:16 9c:1c:12:4d:05:40 - - open system
Sep 11 17:18:27 station-down * 84:38:38:04:0e:16 9c:1c:12:4d:05:40 - -
Sep 11 17:18:27 station-up * 84:38:38:04:0e:16 d8:c7:c8:7a:84:50 - - open system
Sep 11 17:18:50 station-down * 84:38:38:04:0e:16 d8:c7:c8:7a:84:50 - -
Sep 11 17:18:50 station-up * 84:38:38:04:0e:16 9c:1c:12:4d:9e:f0 - - open system
Sep 11 17:19:37 station-down * 84:38:38:04:0e:16 9c:1c:12:4d:9e:f0 - -
Sep 11 17:19:37 station-up * 84:38:38:04:0e:16 9c:1c:12:4d:a5:30 - - open system
Sep 11 17:20:26 station-down * 84:38:38:04:0e:16 9c:1c:12:4d:a5:30 - -
Sep 11 17:20:26 station-up * 84:38:38:04:0e:16 9c:1c:12:4d:58:e0 - - open system
 
开启内部服务器MAC认证功能后,切换AP时会走MAC认证,大多数用户正常,但有少数用户出现MAC认证失败报错,如下:
Sep 11 17:50:23  station-down           *  84:38:38:04:0e:16  9c:1c:12:4d:52:b0  -  -  
Sep 11 17:50:24  mac-auth-req          ->  84:38:38:04:0e:16  9c:1c:12:b7:06:b0  -  -  
Sep 11 17:50:24  mac-auth-fail         <-  84:38:38:04:0e:16  9c:1c:12:b7:06:b0  -  -  
Sep 11 17:50:24  station-up             *  84:38:38:04:0e:16  9c:1c:12:b7:06:b0  -  -  open system
Sep 11 17:50:35  station-down           *  84:38:38:04:0e:16  9c:1c:12:b7:06:b0  -  -  

以下是可以正常切换AP,且漫游成功仍能正上网的认证过程:
 
Sep 10 13:37:55  station-down           *  28:e3:1f:82:f0:4b  9c:1c:12:4c:f8:a0  -  -  
Sep 10 13:38:00  mac-auth-success      <-  28:e3:1f:82:f0:4b  9c:1c:12:4c:f8:a0  -  -  no registration
Sep 10 13:38:00  station-up             *  28:e3:1f:82:f0:4b  9c:1c:12:4c:f8:a0  -  -  open system
Sep 10 13:39:52  station-down           *  28:e3:1f:82:f0:4b  9c:1c:12:4c:f8:a0  -  -  
Sep 10 13:39:52  mac-auth-success      <-  28:e3:1f:82:f0:4b  9c:1c:12:4d:05:40  -  -  no registration
Sep 10 13:39:52  station-up             *  28:e3:1f:82:f0:4b  9c:1c:12:4d:05:40  -  -  open system
Sep 10 13:40:15  station-down           *  28:e3:1f:82:f0:4b  9c:1c:12:4d:05:40  -  -  
Sep 10 13:40:15  mac-auth-success      <-  28:e3:1f:82:f0:4b  d8:c7:c8:7a:84:50  -  -  no registration
Sep 10 13:40:15  station-up             *  28:e3:1f:82:f0:4b  d8:c7:c8:7a:84:50  -  -  open system
Sep 10 13:40:58  station-down           *  28:e3:1f:82:f0:4b  d8:c7:c8:7a:84:50  -  -  
Sep 10 13:40:58  mac-auth-success      <-  28:e3:1f:82:f0:4b  9c:1c:12:4d:9e:e0  -  -  no registration
 
Moderator
Posts: 224
Registered: ‎04-02-2013

Re: 在没有clearpass的情况下,能否实现MAC与portal的混合认证?

你描述的流程应该是正确的。有些用户漫游不成功,会重新进行MAC认证,会根据认证结果分配不同的Role

Search Airheads
Showing results for 
Search instead for 
Did you mean: