发布时间: 2015-08-04 | 浏览次数: 957 | 下载次数: 12 | 作者: guo_daosheng | 文档编号: EKB1000083603
1:网络拓扑如下:
说明: PC地址:172.18.1.253,网关为172.18.1.254,业务Vlan为3001;
S12708-B(下文统称S12700)互联USG6300地址:172.18.10.13/30、172.18.10.14/30;
Portal服务器地址:192.168.220.150,网关为:192.168.220.254;
2: S12700设备版本:V200R005C00SPC300
3:问题现象:用户电脑接入网络后,能正常通过DHCP方式正常获取地址和DNS,此时打开浏览器,访问任何页面都不会定向到portal页面,ping portal服务器和DNS服务器均不通,但在未配置portal认证之前是可以正常访问的。
无
1、更换PC终端和浏览器进行测试,问题现象依旧,排除终端PC和浏览器的问题。
2.1、测试在S12700上取消配置portal认证,PC可以正常访问服务器,portal页面可以正常访问,同时跟踪tracert路由无问题。
2.2、在S12700上配置portal认证后,PC无法访问portal服务器和DNS服务器,而在S12700上带源地址(PC网关)分别ping 192.168.220.150,可正常访问,说明S12700到DNS和Portal服务器通信正常 。
2.3、测试S12708-B和Radius服务器的联动性:
[HW12700]test-aaa test1 Test1243 radius-template test
[HW12700]
Info: Account test succeed.
[HW12700]
同时Policy center上查看日志也可以看到用户认证成功的信息:
测试成功,说明S12700和服务器联动没有问题,问题基本定位在S12700上面。
2.4、 S12700 上打开诊断日志开关,PC上访问portal服务器,查看日志信息,具体诊断命令如下:
Debugging portal all
Debugging web all
Terminal debugging
Terminal monitor
Terminal timeout 0
具体诊断日志见附件,通过分析发现页面已经推送,但是未正常在PC端推送。问题具体原因为客户端PC未认证是无法访问S12700上行的业务资源的,此时需要放行portal服务器和DNS服务器的地址在免认证规则内,对这些资源进行免认证从而能访问。
3、在S12700上添加如下命令,问题解决,PC端浏览器输入任何地址,都会定向到portal服务器,问题解决。
#
authentication free-rule 1 source ip 192.168.220.0 mask 255.255.255.0
#
1:portal认证用户在未认证成功之前是无法访问网络的,通过配置免认证规则(free-rule)则可使特定的用户无需通过portal认证即可访问网络中的特定资源。由于向客户端推送web认证的portal服务器在Switch S12700的上行网络,未放入免认证,用户未认证是无法访问的,需使用命令portal free-rule创建免认证规则并且保证服务器处于免认证规则内。
2:同时指向web服务器的URL需要DNS服务器解析,并且DNS服务器处于Switch S12700的上行网络未放入免认证规则,则同样需创建免认证规则并且保证DNS服务器处于免认证规则内。
1:在部署网络时,工程师一定要考虑全面,思路严密,做好网络规划和设计;
2:遇到问题时,要学会分段分范围处理问题,条理清晰,把问题范围逐步缩小,达到最终定位出问题的效果。