MA5200F由于DNS故障导致强制WEB认证用户输入网站域名时无法打开认证页面

发布时间:  2012-07-26 浏览次数:  53 下载次数:  0
问题描述
MA5200F版本:MA2.130-7135(与版本无关)
问题现象:WEB认证用户在IE地址栏输入portal的IP地址可以正常打开认证页面认证上网,输入其他网站的域名时无法打开认证页面
告警信息

处理过程
1、登录设备display current-configuration查看配置,没有问题。
2、用户可以正常获取IP地址,在认证前域display access-user查看,用户在线。
3、在IE中输入其他的IP地址,如1.1.1.1,可以正常打开认证页面,且认证通过后可以正常上网,而输入网站的域名时无法强制到认证页面,由此判断可能为DNS问题。
4、查看地址池配置,每个地址池都配置了主备两个DNS。
5、查看ACL配置,ACL中的rule只permit了一个DNS的地址,即认证前域的用户只能访问一台DNS,将另一个DNS地址添加到ACL中并permit后业务正常,问题解决。
根因
导致此问题可能的原因:
1、MA5200F配置的有误。
2、DNS问题。
3、WEB服务器的问题。
由于MA5200F做强制WEB认证时是根据IP地址强制的,即用户输入域名后首先要由DNS解析为IP地址,MA5200F收到IP地址后通过报文重定向功能将用户访问的页面定向到认证页面,所以一般遇到此类问题时,可以在确认能够访问WEB服务器的情况下在用户的IE中随便输入一个IP地址如1.1.1.1,看是否可以正常打开,如果此时可以,但输入域名不可以,则说明是DNS服务器不可达或不可用,可以试着换其它的DNS服务器测试。
本案例中ACL中只允许认证前域的用户访问一个DNS服务器,当此DNS服务器故障的时候由于无法正常解析IP地址,所以导致输入域名无法打开认证页面。

END