S12700配置Portal认证，无法为终端用户推送认证页面

     1:网络拓扑如下:

        说明: PC地址:172.18.1.253，网关为172.18.1.254,业务Vlan为3001；
              S12708-B（下文统称S12700）互联USG6300地址:172.18.10.13/30、172.18.10.14/30；
              Portal服务器地址:192.168.220.150,网关为:192.168.220.254；

  2: S12700设备版本:V200R005C00SPC300
  3:问题现象:用户电脑接入网络后,能正常通过DHCP方式正常获取地址和DNS,此时打开浏览器,访问任何页面都不会定向到portal页面,ping  portal服务器和DNS服务器均不通,但在未配置portal认证之前是可以正常访问的。

无

1、更换PC终端和浏览器进行测试,问题现象依旧，排除终端PC和浏览器的问题。

2.1、测试在S12700上取消配置portal认证,PC可以正常访问服务器，portal页面可以正常访问,同时跟踪tracert路由无问题。

2.2、在S12700上配置portal认证后,PC无法访问portal服务器和DNS服务器,而在S12700上带源地址(PC网关)分别ping 192.168.220.150,可正常访问，说明S12700到DNS和Portal服务器通信正常 。

2.3、测试S12708-B和Radius服务器的联动性:
[HW12700]test-aaa test1  Test1243   radius-template  test
[HW12700]
Info: Account test succeed.
[HW12700]
同时Policy center上查看日志也可以看到用户认证成功的信息:
测试成功,说明S12700和服务器联动没有问题,问题基本定位在S12700上面。

2.4、 S12700 上打开诊断日志开关,PC上访问portal服务器,查看日志信息，具体诊断命令如下：
Debugging  portal all
Debugging  web  all
Terminal  debugging
Terminal  monitor
Terminal  timeout  0
具体诊断日志见附件,通过分析发现页面已经推送,但是未正常在PC端推送。问题具体原因为客户端PC未认证是无法访问S12700上行的业务资源的,此时需要放行portal服务器和DNS服务器的地址在免认证规则内,对这些资源进行免认证从而能访问。

3、在S12700上添加如下命令,问题解决,PC端浏览器输入任何地址,都会定向到portal服务器,问题解决。
#
authentication free-rule 1 source ip 192.168.220.0 mask 255.255.255.0
#

1:portal认证用户在未认证成功之前是无法访问网络的，通过配置免认证规则(free-rule)则可使特定的用户无需通过portal认证即可访问网络中的特定资源。由于向客户端推送web认证的portal服务器在Switch S12700的上行网络,未放入免认证,用户未认证是无法访问的,需使用命令portal free-rule创建免认证规则并且保证服务器处于免认证规则内。
2:同时指向web服务器的URL需要DNS服务器解析,并且DNS服务器处于Switch S12700的上行网络未放入免认证规则,则同样需创建免认证规则并且保证DNS服务器处于免认证规则内。

1：在部署网络时，工程师一定要考虑全面，思路严密，做好网络规划和设计；

2：遇到问题时，要学会分段分范围处理问题，条理清晰，把问题范围逐步缩小，达到最终定位出问题的效果。