USG5120 本地portal认证不弹出认证页面

发布时间:  2015-04-27 浏览次数:  206 下载次数:  0
问题描述


拓扑如下:

PC--SW---(port1)FW(port2)---出口路由器

FW在该场景中为透明墙部署,配置对用户网段进行portal认证,客户反馈PC获取IP地址后,在浏览器中输入www.baidu.com没有弹出认证页面,提示访问不成功

只有直接在浏览器中输入FW的管理IP,才能弹出认证页面进行认证

 

处理过程

1.怀疑是由于DNS解析不正确导致

尝试让客户直接输入www.baidu.com 的公网IP,发现还是不能弹出认证页面,排除DNS解析不成功导致不能弹出认证页面的问题

(在做portal认证时,设备默认会允许DNS报文通过,设备不会阻断DNS报文交互过程)

2.查看配置后发现客户做透明模式配置时,将两端接口配置成access接口,并且加入vlan2,没有给vlanif2接口配置对应IP地址

建议客户给vlanif2接口配置一个和PC在同网段的IP,并且加入指定区域,放开对应域间策略后问题解决

根因

客户配置的是二层access接口,需要对应配置vlanif接口,推送页面时根据报文入接口来找相应的推送报文地址,二层接口时找对应vlanif接口地址。

#

interface GigabitEthernet0/0/1

portswitch

port link-type access

port access vlan 2

#

interface GigabitEthernet0/0/2

portswitch

port link-type access

port access vlan 2

解决方案

在FW上给vlanif2接口配置一个和PC在同网段的IP地址,将vlanif2接口加入trust区域,放开trust区域到local区域的域间策略。

具体配置如下:

interface vlanif2

ip address X.X.X.X //x.x.x.x必须与PC IP在同网段

firewall zone trust

add interface vlanif 2 //将vlanif2接口加入trust区域

firewall packet-filter default permit interzone local trust direction inboun //放开trust区域到本地区域的域间策略

END