| 03 Web认证无法弹出认证界面 | 您所在的位置:网站首页 › 锐捷开启web › 03 Web认证无法弹出认证界面 |
|
1、故障现像
WEB认证用户通过浏览器进行WEB认证无法弹出认证界面。
2、故障可能原因 1) 交换机功能配置错误,如:直通地址是否正确、KEY是否正确等等。 2) 服务器问题,如:认证服务器上是否添加交换机IP、是否配置正确的。 3) 网络配置错误或网络不通,如:交换机和认证服务器是否通路正常。
3、故障处理步骤 注意:DEBUG信息有风险,需要和客户同步风险后才能收集,最好和抓包一起进行 步骤1、检查交换机配置 确认交换机配置是否正确,具体命令可参考如下:一代web配置如下: #配置通信密钥,对ePortal服务器返回的链接加密 Ruijie(config)#web-auth portal key ruijie \\配置通信密钥,对ePortal服务器返回的链接加密 #配置直通地址 Ruijie(config)#http redirect direct-site 192.168.33.1 arp \\在开启arpcheck时需要配置直通地址,未认证用户要访问直通地址,必须先学习到网关arp,这里设置网关为直通地址并放行arp报文 #配置重定向页面 Ruijie(config)#http redirect homepage http://192.168.51.180/eportal/index.jsp \\设置重定向页面的主页,未认证用户访问网络将被重定到ePortal上的这个页面 #配置重定向服务器地址 Ruijie(config)#http redirect 192.168.51.180 \\设置重定向服务器地址 #接口开启web认证 Ruijie(config)#interface FastEthernet 0/1 Ruijie(config)#web-auth port-control \\端口开启web认证 #SNMP及基础配置 Ruijie(config)#snmp-server host 192.168.51.180 informs version 2c public web-auth \\ web认证下线相关配置,设置允许发送web相关的snmp报文 Ruijie(config)#snmp-server enable traps web-auth Ruijie(config)#snmp-server community public rw Ruijie(config)#interface VLAN 1 Ruijie(config)#ip address 192.168.56.26 255.255.255.128Ruijie(config)#ip default-gateway 192.168.56.254
二代web配置: #配置portal2.0服务器参数 Ruijie(config)#portal-server eportalv2 ip 192.168.30.31 url http://192.168.30.31:8080/eportal/index.jsp port 50100 #配置全局Portal服务器指定为Portal2.0服务器 Ruijie(config)# web-auth portal eportalv2 #配置直通地址Ruijie(config)#http redirect direct-site 192.168.33.1 arp \\在开启arpcheck时需要配置直通地址,未认证用户要访问直通地址,必须先学习到网关arp,这里设置网关为直通地址并放行arp报文 #端口使能 web 认证 Ruijie(config)# interface range fa0/2-3 Ruijie(config-if-range)# web-auth port-control #配置 AAA Ruijie(config)# aaa new-model Ruijie(config)# radius-server host 172.20.1.20 key aaatest Ruijie(config)# aaa authentication web-auth default group radius Ruijie(config)# aaa accounting network default start-stop group radius
注:当有开启DM(Disconnect-Messages)功能时,才需要配置SNMP配置,获取NAS设备信息。 Ruijie(config)# radius dynamic-authorization-extension enable 步骤2、检查服务器配置 web认证服务器是否添加交换机IP及正确的KEY,检查eportal服务器配置的交换机key及ip是否与交换机一致,如果是三层交换机做web认证,需要在认证服务器上添加交换机出接口IP。 步骤3、检查认证用户网络参数 对于开启web认证的端口默认方通DNS及DHCP报文,正常情况下应该能获取到地址(如果有配置dhcp服务器的话)。所以在认证前请先确认客户端的IP、网关地址、DNS等网络参数是否正确获取,同时确认网关arp是否学习正常。 步骤4、检查网络连通性 1)检查交换机能否ping通认证服务器,如果不能ping通,请确认路由、网关、IP设置是否正确,排除网络连通性问题。 2) 关闭接口web认证功能,测试无web认证情况下,是否可以正常访问外网web,排除本身的网络问题。 步骤5、通过抓包分析定位故障点 在故障出现的时候,进行上下联端口分别进行抓包,查看报文交互是否正常,可通过下图进行分析。 正常的报文交过程互如下: 锐捷一代 Web 认证流程图 锐捷二代 Web 认证流程 一代和二代对比: ・ 一代web认证,用户的认证过程都由portal server完成,设备只负责打开上网通道。 ・ Portal2.0,即二代web认证,用户的认证过程由接入设备发起,认证结果由接入设备告知portal server。 ・ 一代web认证,portal server和设备交互使用snmp协议,只能与我司的portal对接 ・ Portal2.0,portal server和设备的交互使用标准的中移动portal协议,目前可以和包括我司eportal的多家portal厂商对接(安腾、深澜、城市热点)
4、故障信息搜集 收集log信息(注意时间开关和时间的准确性)提供后台分析。 [设备debug信息、配置、软硬件版本、设备log、操作log] 收集基础信息 show ver show ver slo show run show arp show mac show int co sum show log show ip route show ip re收集web认证相关信息 show web-auth port-control show web-auth direct-host show web-auth user show http redirect 开启debug调试开关 对于S29E交换机10.4(2b12)软件版本,开启web认证debug的命令是debug web-auth http-rd; 其它交换机的调试开关为 debug web-auth 关闭命令是un all
|
| CopyRight 2018-2019 实验室设备网 版权所有 |