TSM 使用portal 认证,PC端不认证即可访问认证后域

发布时间:  2013-11-30 浏览次数:  161 下载次数:  0
问题描述
Tsm服务器--------S9700---------PC
Pc ,tsm服务器通过access直连S9700, 分属不同vlan
配置完成后,发现不认证即可访问认证后域资源,web浏览器没有推送页面

告警信息
处理过程
1. 测试网络连通性,在测试终端上手动输入认证页面url 测试是否可以访问  ,输入用户名、密码可以认证成功,认证相关配置无问题
http://172.18.12.3:8080/webauth

2.检查交换机 和 tsm通信 参数是否正确,基本无问题

3. 哪些网段需要使用portal 认证需要在 对应vlanif  上配置 web-auth-server  参数,怀疑访问认证后域或受控域的流量没有经过此vlanif接口
检查pc 上路由表 route print  发现有2个默认路由
Tracert  www.baidu.com   显示第一跳地址 不是S9700上对应的vlanif ip
发现笔记本上开启了wlan ,造成2个网关,数据包通过其他路径访问公网,没有触发portal认证过程

4 .关闭笔记本wlan 后,现场表示可以不能访问外网,并且没有认证页面
根据现场描述测试时使用www.baidu.com 测试,但是交换机上认证前域不包含dns,加上如下配置后问题解决
portal free-rule 0 destination ip 8.8.8.8 mask 255.255.255.255
portal free-rule 1 source ip 8.8.8.8 mask 255.255.255.255

根因
认证前域没有包含dns地址,电脑上路由错误导致数据流没有经过配置portal认证的端口
建议与总结
portal认证在保证配置正确的情况下,测试环境也很重要 portal认证触发条件: 1. 通过web访问 2. 访问隔离域或认证后域资源 3. 如果使用域名访问,需要把dns加入认证前域

END