基于SSID弹出不同认证页面问题PAGE\*MERGEFORMAT5华三AC+华为ME60+IMCUAM基于不同SSID弹出不同Portal页面问题分析报告杭州华三通信技术有限公司一、问题描述:长春市电信公司早期利用H3CAC+IMCUAM为吉林省光大银行提供了定制portal页面的业务，效果满意。经过方案的推广，吉林省多家银行也希望与电信合作实现此功能。电信方面考虑到购买服务器和IMC的成本，希望我司提供较合理的方案实现以上功能。我司IMCUAM可以根据不同的属性(操作系统、SSID、业务地址)为不同的客户提供不同的portal页面。利用电信现有WLAN网络组网进行业务测试。组网如下：组网说明：H3CAC旁挂华为ME60（BAS认证设备），AC与AP三层注册，用户网关和AP网关均在ME60上，并且ME60作为认证设备与IMC对接。PORTAL服务器和RADIUS服务器采用H3CIMC+UAM组件。最初测试阶段，基于用户地址段为用户弹出制定的认证页面，测试成功。若想实现方案，为另一银行弹出另外的页面就需重新分配一段业务地址。但是与电信方面沟通，WLAN均未采用NAT技术，用户地址仍为公网地址，IP地址资源有限，为不同的银行分配不同的公网地址段势必增加IP资源负担，因此根据地址段区分页面的方案搁浅。测试后期改为基于SSID的方式来区分认证页面，用户可以共享地址池，方案较为合理。IMCUAM主要配置如下：二、问题现象：AP放射出两个SSID分别为H1C和H2C，但是客户端无论关联哪个SSID都只弹出默认的页面，测试失败。发现流量器地址栏中URL地址中并没有“SSID=”字样。三、问题分析：流量器地址栏中URL地址中并没有“SSID=”字样：http://222.168.202.16/wlan/index.php?wlanacname=xxxx.xxxx.xxx.xx&wlanuserip=36.129.8.178&wlanacip=222.168.25.214；在IMC中开启调测信息，发现从认证设备ME60收到的HTTP报文中SSID字段等于空。进过抓包分析，华为BASME60没有把SSID字段携带并发送给IMC认证服务器。比较H3CAC+IAG板卡，如果认证服务器是根据SSID字段弹出认证页面，由于IAG本身不是无线设备，无法识别AC发送过来的SSID字段，也就无法传递给服务器。所以需要在IAG设备上配置与AC配合的漫游组配置。这样IAG就可以和AC配合，携带SSID字段发送给认证服务器，作为服务器推送不同portal页面的依据。漫游组配置例：IAG：172.16.31.30AC：172.16.31.1IAG上配置：wlanmobility-group1memberip172.16.31.1sourceip172.16.31.30mobility-groupenableAC上配置：wlanmobility-group1memberip172.16.31.30sourceip172.16.31.1mobility-groupenable与二线沟通后，确定了问题所在，不建议我司AC与其他厂家认证设备对接实现上述功能。最好是可以在我司的AC上做认证，这样能保证SSID字段的正常发送。四、问题总结：由于认证设备与AC设备厂家不配套产生的该类问题在延吉市移动也有发生。Aruba的AC与我司IAG做对接，用IAG作认证设备。移动集团服务器采用的就是基于SSID区分portal的方式，结果用户关联CMCC-EDU也会弹出默认的CMCC的portal页面。同样由于无法配置漫游组配置，认证设备无法携带SSID字段导致。鉴于以上问题情况，在采用基于SSID区分认证页面的方式下，AC+IAG要配套使用，尽量避免不同厂家设备对接。