所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

S12708随板AC和Agile Controller对接部署portal认证,出现浏览器不转跳故障

发布时间:  2019-07-15  |   浏览次数:  840  |   下载次数:  15  |   作者:  sh-yxf  |   文档编号: EKB1001719369

目录

问题描述


1、现网采用S12708(V200R009C00SPC500)的X1E板卡作为AC部署无线网络,采用Agile Controller(V100R003C30)作为portal认证服务。参照S12700产品文档中的《配置有线无线用户统一接入示

例》进行了交换机和控制器的配置,配置如下:
#
authentication-profile name portal    ---------账号密码认证模板(模板名:portal)
mac-access-profile acc_mac            --------调用MAC接入模板(模板名acc_mac)
portal-access-profile portal          --------调用portal接入模板(模板名:portal)
free-rule-template default_free_rule  --------调用免认证规则模板(模板名:default_free_rule )
access-domain portal force
#
radius-server template policy         ------radius服务器模板(模板名:policy)
radius-server shared-key cipher %^%#pfL(7a=`FW8Dd[SvG$FOUoGo'z5n~F-1-DISL(I!%^%#    ------radius共享秘钥(秘钥:xxxxx)
radius-server authentication X.X.X.X 1812 source ip-address X.X.X.X weight 80       ------radius服务器认证 服务器IP和源IP
radius-server accounting X.X.X.X 1813 source ip-address X.X.X.X weight 80           ------radius服务器计费 服务器IP和源IP
undo radius-server user-name domain-included         ------配置用户名不包括域名
radius-server authorization X.X.X.X shared-key cipher %^%#-&(KNOkJS>!zAzJ)EA`K      ------radius授权 服务器IP和秘钥
#
acl number 3001        -------认证后域可访问网络资源            
rule 100 permit ip  
#
free-rule-template name default_free_rule                -------免认证规则模板(模板名:default_free_rule)
free-rule acl 6000                                       -------调用微信认证后域ACL
free-rule 1 destination ip x.x.x.x mask 255.255.255.255  -------放行认证服务器IP
free-rule 2 destination ip x.x.x.x mask 255.255.255.255  -------放行DNS服务器IP
#
web-auth-server portal    -------WEB认证服务器模板(模板名portal)
server-ip x.x.x.x         -------服务器IP
port 50200                -------服务器通信端口
shared-key cipher %^%#u3yjM#c]l~O=&g9rO   ------通信秘钥xxxxx
url http://x.x.x.x:8080/portal           ------推送URL地址:http://认证服务器IP:8080/portal
url-template weixin                       ------调用URL模板weixin
source-ip x.x.x.x                         ------与认证服务器通信源IP
server-detect interval 100 max-times 5 critical-num 1 action log  ------逃生检测
#
portal-access-profile name portal       -------portal接入模板(模板名:portal)
authentication event portal-server-down action authorize service-scheme taosheng-91    -------认证服务器down时调用逃生业务模板taosheng-91
authentication event portal-server-up action re-authen     -------周期重认证,保证用户合法性
web-auth-server portal direct                              -------调用web-auth-server模板portal,模式为直连direct(终端和联动AC二层可达时用直连模式)
#
aaa
authentication-scheme default
authentication-scheme radius
authentication-mode radius
authorization-scheme default
accounting-scheme default
accounting-scheme radius
accounting-mode radius
accounting realtime 15        ------计费时间,与认证服务器设置一致
service-scheme taosheng
user-vlan 90
service-scheme taosheng_1
user-vlan 99
service-scheme taosheng_2
user-vlan 98
service-scheme taosheng-91    -------vlan 91下的逃生业务模板
user-vlan 91
domain default
authentication-scheme default
domain default_admin                    
authentication-scheme default
domain portal                 -------用户域(域名portal)
authentication-scheme radius  -------调用radius认证模板(模板名:radius)
accounting-scheme radius      -------调用radius计费模板(模板名radius)
radius-server policy          -------调用radius服务器模板(模板名policy)
local-user admin password irreversible-cipher %^%#gzh^2Kp<=&^YNFH0$wCD`xUyVLQH]>QL9"+g|;9Gj|:x/=$;OUHm95WM>l|9%^%#
local-user admin privilege level 15
local-user admin ftp-directory flash:\
local-user admin service-type telnet terminal ftp http
vap-profile name 91           -------无线下的VAP模板(模板名91)用于账号密码认证
forward-mode tunnel                    
service-vlan vlan-id 91                
ssid-profile 91                        
security-profile 90                    
authentication-profile portal -------VAP下调用认证模板(模板名portal)
#
2、在控制器上配置完后相应参数后使用手机进行关联测试,测试时发现比较老的手机使用自带的浏览器接入到无线网中时会自动进行portal认证界面的弹出,使用新手机或者苹果手机接入无线

中时portal界面不转跳。


告警信息

处理过程

1、第一步先排查portal认证服务是否有问题,直接使用新旧手机连接号无线后手工在浏览器里输入portal认证界面地址http://x.x.x.x:8080/portal 。发现界面都能正常显示,排除了认证服务器的问题。

2、第二步使用新旧手机多次关联无线,并且在自带的浏览器里通过点击其他的应用来排除是否为浏览器缓存导致。清除浏览器缓存后,旧手机的浏览器仍然可以打开portal界面,新手机在不带安全https界面的界面可以转跳到portal界面,在带https安全加密的界面无法转跳到portal界面。初步怀疑是认证服务器对https界面的浏览器有限制,于是排查控制器参数设备,通过示例对比没有发现问题。

3、第三步排查AC上的配置,通过display current 命令查看AC配置,在全局模式下发现有一条undo portal https-redirect enable 命令,怀疑跟此命令有关。修改命令为 portal https-redirect enable 并重新提交了wlan配置下发命令后进行测试,测试发现https安全浏览器也可以成功转跳。

4、第四步通过命令在产品文档中查看,发现此命令在此版本默认是开启状态。经和代理商沟通发现,他们的工程师在前期做过一次配置,配置不成功后才找原厂来处理的,可能是当时关闭了此功能。

根因

1、没有在AC上使能Portal认证HTTPS重定向功能导致https加密的浏览器界面无法进行转跳。

解决方案

1、在全局使能Portal认证HTTPS重定向功能:portal https-redirect enable 解决此问题。

 

建议与总结

1、建议在处理客户网络问题时尽量让客户提供前期处理的进展和修改前后的配置,如无法提供这些信息时则按照文档示例规范配置,针对对接类问题,推荐采用逐步排除法一一排除问题进行精准定位。