AR1220-S路由器Portal认证时无法推送认证页面

发布时间:  2015-12-24 浏览次数:  725 下载次数:  0
问题描述
如下图所示,AR1220-S路由器作为AC设备以旁挂的方式部署在网络中,控制和管理整网的接入设备。Agile Controller作为Portal服务器,对接入用户进行Portal认证。



当用户接入网络进行认证时,输入公网地址或域名后,AR设备无法推送认证界面。只有直接输入推送页面的地址才能弹出认证界面。

AC设备的配置信息如下:

#
web-auth-server portal
server-ip 192.168.6.16
port 50100
shared-key cipher %^%#4R7w%QsKY9F#4DJUyq]V}$V-%^%#
url http://192.168.6.16:8080/portal
source-ip 192.168.11.1
处理过程
步骤 1 执行display version和display device命令检查设备的版本及板卡状态,确定设备软件版本是ARV200R005,板卡加载状态正常。

步骤 2 确定Portal认证方式及故障发生时间。确认该组网下,Portal认证为三层认证方式,配置完成后即出现无法推送认证页面的故障。

步骤 3 在PC上输入ipconfig命令确认PC获取到了IP地址。执行ping命令确认PC能够ping通DNS服务器,排除网络连接故障。

步骤 4 执行display portal free-rule命令查看所有的Portal认证用户的免认证规则信息。确认DNS服务器地址也添加在免认证规则中,PC能够访问DNS服务器。

步骤 5 执行debugging web packet命令开启WEB模块报文信息的调试开关。通过调试信息发现Portal认证使用的HTTP报文在转发过程中未上传至AC设备,导致认证时无法推送认证界面。

步骤 6 执行tunnel-forward protocol http命令使能HTTP认证报文的隧道转发功能后,问题解决。
根因
客户未使能设备的HTTP认证报文的隧道转发功能。
解决方案
使能HTTP认证报文的隧道转发功能:

service-set name portal id 2
  service-vlan 14
tunnel-forward protocol http

AR默认未使能HTTP认证报文的隧道转发功能。

这个在AC6605 V2R3及以后都是默认使能的。
建议与总结
Portal认证时使用的HTTP报文,在转发过程中封装为二层报文,当认证客户端与AC间为三层组网时,此报文不能通过三层转发,造成认证失败。ARV200R005及以后版本支持三层转发认证报文、HTTP认证报文的隧道转发功能。如果Portal认证的配置步骤没有错误,建议用户使能HTTP认证报文的隧道转发功能。

END