S12700配置Portal认证,无法为终端用户推送认证页面

发布时间:  2015-08-04 浏览次数:  340 下载次数:  3
问题描述

     1:网络拓扑如下:

        说明: PC地址:172.18.1.253,网关为172.18.1.254,业务Vlan为3001;
              S12708-B(下文统称S12700)互联USG6300地址:172.18.10.13/30、172.18.10.14/30;
              Portal服务器地址:192.168.220.150,网关为:192.168.220.254;

  2: S12700设备版本:V200R005C00SPC300
  3:问题现象:用户电脑接入网络后,能正常通过DHCP方式正常获取地址和DNS,此时打开浏览器,访问任何页面都不会定向到portal页面,ping  portal服务器和DNS服务器均不通,但在未配置portal认证之前是可以正常访问的。

告警信息


处理过程

1、更换PC终端和浏览器进行测试,问题现象依旧,排除终端PC和浏览器的问题。

2.1、测试在S12700上取消配置portal认证,PC可以正常访问服务器,portal页面可以正常访问,同时跟踪tracert路由无问题。

2.2、在S12700上配置portal认证后,PC无法访问portal服务器和DNS服务器,而在S12700上带源地址(PC网关)分别ping 192.168.220.150,可正常访问,说明S12700到DNS和Portal服务器通信正常 。

2.3、测试S12708-B和Radius服务器的联动性:
[HW12700]test-aaa test1  Test1243   radius-template  test
[HW12700]
Info: Account test succeed.
[HW12700]
同时Policy center上查看日志也可以看到用户认证成功的信息:
测试成功,说明S12700和服务器联动没有问题,问题基本定位在S12700上面。

2.4、 S12700 上打开诊断日志开关,PC上访问portal服务器,查看日志信息,具体诊断命令如下:
Debugging  portal all
Debugging  web  all
Terminal  debugging
Terminal  monitor
Terminal  timeout  0
具体诊断日志见附件,通过分析发现页面已经推送,但是未正常在PC端推送。问题具体原因为客户端PC未认证是无法访问S12700上行的业务资源的,此时需要放行portal服务器和DNS服务器的地址在免认证规则内,对这些资源进行免认证从而能访问。

3、在S12700上添加如下命令,问题解决,PC端浏览器输入任何地址,都会定向到portal服务器,问题解决。
#
authentication free-rule 1 source ip 192.168.220.0 mask 255.255.255.0
#

根因
由于在部署portal认证时,终端在未认证前是无法访问的,且需要访问的资源未放入免认证规则内,导致终端PC访问这些资源最终导致了推送页面到客户端失败的问题。
解决方案

1:portal认证用户在未认证成功之前是无法访问网络的,通过配置免认证规则(free-rule)则可使特定的用户无需通过portal认证即可访问网络中的特定资源。由于向客户端推送web认证的portal服务器在Switch S12700的上行网络,未放入免认证,用户未认证是无法访问的,需使用命令portal free-rule创建免认证规则并且保证服务器处于免认证规则内。
2:同时指向web服务器的URL需要DNS服务器解析,并且DNS服务器处于Switch S12700的上行网络未放入免认证规则,则同样需创建免认证规则并且保证DNS服务器处于免认证规则内。

建议与总结

1:在部署网络时,工程师一定要考虑全面,思路严密,做好网络规划和设计;

2:遇到问题时,要学会分段分范围处理问题,条理清晰,把问题范围逐步缩小,达到最终定位出问题的效果。

END