NCE-Campus上强制用户下线不生效

问题描述

NCE通过不纳管设备的方式做portal认证，认证控制点设备为S7706，用户认证成功后，通过NCE的用户在线控制，将用户强制下线后，用户还可继续访问网络资源。

处理过程

在交换机上打开业务诊断功能，创建诊断对象，然后在平台上将用户强制下线

trace enable

trace object mac-address  xxxx-xxxx-xxxx

trace object ip-address  x.x.x.x

在NCE平台上将用户强制下线后，用户还可继续访问网络资源，并且在交换机上为打印任何用户下线的相关信息，通过display access-user 命令查看NAC接入用户的信息，发现用户还是认证成功的。

通过查看配置发现，没有配置可以接收和响应RADIUS授权服务器请求报文的地址；以及没有使能RADIUS服务器会话管理功能和没有开启设备接收和响应的RADIUS会话管理服务器的所有请求报文

radius-server authorization server-source { ip-address ip-address | all-interface }

radius-server session-manage { ip-address [ vpn-instance vpn-instance-name ] shared-key cipher share-key | any }

radius-server session-manage server-source { ip-address ip-address | all-interface }

配置完成后，在平台上将用户强制下线，登录交换机可以看到用户下线的相关信息，用户也随之不能访问网络了。

根因

没有配置可以接收和响应RADIUS授权服务器请求报文的地址；以及没有使能RADIUS服务器会话管理功能和没有开启设备接收和响应的RADIUS会话管理服务器的所有请求报文。所以针对NCE平台下发的用户下线报文，交换机不做响应，所以导致NCE上已显示用户下线，交换机上查看用户还是认证成功的，用户访问网络也是正常的。

解决方案

在设备上配置支持RADIUS CoA/DM功能，提供一种动态修改在线用户权限或者强制用户下线的机制。